Pocitani dat.
Tomas Podermanski
tpoder at cis.vutbr.cz
Sun Feb 16 17:32:34 CET 2003
Dobre odpoledne,
abych nazvazal na Ivoshuv prispevek tak tedy nase dosavadni
zkusenosti jsou nasledujici:
Jako nejrozumnejsi cesta se nam jevi pouzit standartni netflow exporty
BSD smerovace. Problem je prave v netflow exporteru pro PC. Pokud je mi
znamo existuji 2 varainty. Jeden je z dilny autora produktu ntop
(http://www.ntop.org/nProbe.html), ale ten je za penize. Dalsi dostupny
je fprobe (http://psi.home.ro/flow/). Oba se zacycuji na BPF - muzete
tedy zapomenou treba na informaci o vstupnim a vystupnim interfejsu. Oba
rovnez silenym zpusobem zatezuji CPU a tedy BPF vetsinu paketu zahodi.
Rozhodli jsme se tedy postupovat vlastni cestou a vyrobit svuj netflow
exporter. V soucasne dobe bezi na nize uvedene konfiguraci a pri tocich
kolem 300Mbps se prumerna ztrata paketu pohybuje kolem 1%, coz je
myslism unosne vzhledem k tomu ze router se pohybuje na hranici svych
moznosti. Jen pro informaci behem minuty dochazi k exportu cca 20 az 80
tis. zaznamu. Casem bych se rad pokusil nacpat netflow do kernelu a tim
padem by bylo mozne z BSD routeru tahat kompletni NetFlow exporty - to
je ovsem hudba budoucnosti. Pokud mate zajem muzete se podivat na
http://k4-332c.kn.vutbr.cz/~tpoder/NETFLOW/, kde je vyvojova verze,
ktera ovsem funguje a pouziva se :-). Stejne jako predchozi produkty
pouziva BPF. Pro jeste vetsi zatizeni by se dala jeste ponekud rozsirit
hashovaci fce za cenu vetsiho kusu obsazene pameti. V podminkach, ktere
popisujete by ovsem nemel nastat problem (tok neni nijak drasticky a
konfigurace routeru je docela solidni). Pokud by Vas zajimaly dalsi
postrehy teto problermatiky muzete se podivat na
http://k4-332c.kn.vutbr.cz/~tpoder/NETFLOW/pi2_4.rtf
<http://k4-332c.kn.vutbr.cz/%7Etpoder/NETFLOW/pi2_4.rtf> ve stejnem
adresari, ktery se prave touto problematikou zabyva.
PS: V rade prispevku jsem pozoroval znacnou spokojenost s Netflow
collectory, nicmene odkaz na zadny konkretni produkt jsem nezachytil (s
vyjimkou NTOPu, ktery je nasimi exporty zahlcen na PIII po nekolika malo
minutach a v pameti si uzme skromnych 500MB).
T. Podermanski
Ivo Hazmuk wrote:
>Dobry vecer,
>
>skacu ...
>
>nejakou dobu se tim zabyva kolega...
>
>dobre vime z mereni, ze IPFW zere CPU (1995-6).
>Taky nas tizi tento problem.
>57Mb/s je pro nas hodinovy prumer po ranu. Navecer se rychlosti pohybuji
>okolo 150 Mb/s hodinove.
>
>Ted nemohu nic konkretniho rici, protoze bych se mohl dopustit rady
>nepresnosti a to by si zde nikdo nepral.
>
>Vysledkem snazeni v poslednich dnech je, ze pres FreeBSD spickove
>protlacime 300Mb/s full-duplex. Odchozi rozhrani mame P4/2GHz a
>masinka ma co delat. Moznosti zvyseni vykonu/sledovani jsou v 2x CPU
>(rozdeleni prace kernel/aplikace) a PCI-X. Dalsi cestou je sahnout po HW
>reseni.
>
> Ivosh
>
>
More information about the Users-l
mailing list