由于活跃流老化时间过长导致NE5000E上送Netsteam流量采样不准确

发布时间:  2012-07-27 浏览次数:  172 下载次数:  0
问题描述
组网拓扑:NE5000E上做为出口路由器,对省干下行至NE5000E的流量进行采样分析.上送NTG设备.用于流量清洗和防范攻击.
在模拟进行DOS攻击时,NE5000E上送至NTG的流量不准确,长时间延时,导致攻击防范无法生效.
告警信息
无.
处理过程
与NTG厂家联系分析,确认与其它厂家设备对接不存在问题。且之前与我司其它路由器对接也是正常,排除NTG侧问题。
分析上送攻击流量,因其五元组内容一致,在NE5000E上判断为非活跃流,在NE5000E V2R2版本上默认NetStream的活跃流老化时间30为分钟(每30分钟流老化后,报文才会输出到网管),导致上送的Netstream采样数据出现延时而准确。
根因
原因可能为
1、NTG设备与我司Netstream不一致,流量分析出现问题。
2、NE5000E上送的Netstream内容不准确。
建议与总结
因NE5000E V2R2版本无法更改活跃流的老化时间,升级至V2R3版本后使用使用命令ip netstream timeout active 1更改老化时间为1分钟后正常。

END