Pocitani dat.

Tomas Podermanski tpoder at cis.vutbr.cz
Sun Feb 16 17:32:34 CET 2003


Dobre odpoledne,
    abych nazvazal na Ivoshuv prispevek tak tedy nase dosavadni 
zkusenosti jsou nasledujici:
Jako nejrozumnejsi cesta se nam jevi pouzit standartni netflow exporty 
BSD smerovace. Problem je prave v netflow exporteru pro PC. Pokud je mi 
znamo existuji 2 varainty. Jeden je z dilny autora produktu ntop 
(http://www.ntop.org/nProbe.html), ale ten je za penize. Dalsi dostupny 
je fprobe (http://psi.home.ro/flow/). Oba se zacycuji na BPF - muzete 
tedy zapomenou treba na informaci o vstupnim a vystupnim interfejsu. Oba 
rovnez silenym zpusobem zatezuji CPU a tedy  BPF vetsinu paketu zahodi.

Rozhodli jsme se tedy postupovat vlastni cestou a vyrobit svuj netflow 
exporter. V soucasne dobe bezi na nize uvedene konfiguraci a pri tocich 
kolem 300Mbps se prumerna ztrata paketu pohybuje kolem 1%, coz je 
myslism unosne vzhledem k tomu ze router se pohybuje na hranici svych 
moznosti. Jen pro informaci behem minuty dochazi k exportu cca 20 az 80 
tis. zaznamu. Casem bych se rad pokusil nacpat netflow do kernelu a tim 
padem by bylo mozne z BSD routeru tahat kompletni NetFlow exporty - to 
je ovsem hudba budoucnosti. Pokud mate zajem muzete se podivat na 
http://k4-332c.kn.vutbr.cz/~tpoder/NETFLOW/, kde je vyvojova verze, 
ktera ovsem funguje a pouziva se :-). Stejne jako predchozi produkty 
pouziva BPF. Pro jeste vetsi zatizeni by se dala jeste ponekud rozsirit 
hashovaci fce za cenu vetsiho kusu obsazene pameti. V podminkach, ktere 
popisujete by ovsem nemel nastat problem (tok neni nijak drasticky a 
konfigurace routeru je docela solidni). Pokud by Vas zajimaly dalsi 
postrehy teto problermatiky muzete se podivat na 
http://k4-332c.kn.vutbr.cz/~tpoder/NETFLOW/pi2_4.rtf 
<http://k4-332c.kn.vutbr.cz/%7Etpoder/NETFLOW/pi2_4.rtf>  ve stejnem 
adresari, ktery se prave touto problematikou zabyva.

PS: V rade prispevku jsem pozoroval znacnou spokojenost s Netflow 
collectory, nicmene odkaz na zadny konkretni produkt jsem nezachytil (s 
vyjimkou NTOPu, ktery je nasimi exporty zahlcen na PIII po nekolika malo 
minutach a v pameti si uzme skromnych 500MB).


T. Podermanski

Ivo Hazmuk wrote:

>Dobry vecer,
>
>skacu ...
>
>nejakou dobu se tim zabyva kolega...
>
>dobre vime z mereni, ze IPFW zere CPU (1995-6).
>Taky nas tizi tento problem.
>57Mb/s je pro nas hodinovy prumer po ranu. Navecer se rychlosti pohybuji
>okolo 150 Mb/s hodinove.
>
>Ted nemohu nic konkretniho rici, protoze bych se mohl dopustit rady
>nepresnosti a to by si zde nikdo nepral.
>
>Vysledkem snazeni v poslednich dnech je, ze pres FreeBSD spickove
>protlacime 300Mb/s full-duplex. Odchozi rozhrani mame P4/2GHz a
>masinka ma co delat. Moznosti zvyseni vykonu/sledovani jsou v 2x CPU
>(rozdeleni prace kernel/aplikace) a PCI-X. Dalsi cestou je sahnout po HW
>reseni.
>
>	Ivosh
>  
>





More information about the Users-l mailing list