В общем суть вопроса.
Многие из нас сталкивались с такими ситуациями, когда канал интернета забивался неизвестным.
Так вот интересует мониторинг такой ситуации применительно к моей сети. Что есть в моей сети, оборудование Cisco L2/L3, прокси TMG2010. К сожалению TMG не может показать кто и как использует канал, вернее кто он показывает, но это не то. Надо выявить именно, кто захватил большую ширину канала. Есть ubuntu, на ней развернуты mrtg и cacti, они просто показывают загруженность каналов, но опять же не могут показать какой ip качает интенсивнее...

Собственно интересуют бесплатные решения данной проблемы применительно к исходным данным... ну и просто дельные советы. Есть такое решение netflow для Cisco, но что то пока не допер как бесплатно получить желаемое...

Ладно хорошо ... Как тогда вы, а главное чем видите кто ложит канал, какой ip ???

Diesel315, cisco позволяет просматривать активность портов даже через web интерфейс комутаторов

поставьте traffic quota или BSPlitter на TMG.

Diesel315, cisco позволяет просматривать активность портов даже через web интерфейс комутаторов »
Хм какого рода активность вы имеете ввиду? Единственное по умолчанию что там можно увидеть это количество переданных и принятых байтов, не более. Для моей задачи нужно увидеть кто больше всего качает, для этого сперва логично нужно накопить данные как пример за 10 секунд. По идеи с этим справиться netflow, но вот незадача на моих устройствах он не поддерживается. Пример как это можно сделать описан тут (http://habrahabr.ru/blogs/cisconetworks/59037/).
поставьте traffic quota или BSPlitter на TMG. »
Это платно. Не вариант.
Думаю дальше...

Diesel315,ну для начала надо определить с какого порта идёт много трафика (вот это то и можно посмотреть на комутаторе), а потом уже смотреть на пк чем он забивает канал.

Diesel315,ну для начала надо определить с какого порта идёт много трафика (вот это то и можно посмотреть на комутаторе), а потом уже смотреть на пк чем он забивает канал. »
Не продуктивно. Объясню, сеть стандартная звезда, tmg подключен к ядру сети, пользователи соответственно на концах звезды (при этом еще неизвестно насколько большая эта звезда), ядро сети также выполняет маршрутизацию сетей на 3 уровне (если проще intervlan роутинг), трафик сам по себе не маленький. Итак допусти имеем инет на скорости 5 мбит. Кто то начал скачивать и занял весь канал, в то же время кто то просто копирует большой файл на файл-сервер. Логично понятно что максисум переданного трафика покажет порт, который был задействован на копировании файла. Это раз. Второе логично что вы начнете проверять с ядра сети с перспективой опуститься по звезде вниз до нужного клиента, и вот тут мне что то подсказывает что вы банально не успеете это сделать, да и на нижних уровнях 5 мбит запросто затеряется...
В общем не вариант. Не много не красиво, но... запихнуть всех пользователй не в одну группу, а допустим по 10/20/30 и в случае такой ситуации отключать по группам. Да пострадают невинные, но все же не плохо...

Diesel315, отличный ответ.
а что за кошки в которых netflow не поддерживается?

These devices do not support NetFlow: Cisco 2900, 3500, 3660, 3750
У мну как раз 2960 на access layer и 3750 на Core...