artplanet Posted February 2, 2017 Posted February 2, 2017 Сидим тестируем разные софт сенсоры. На данный момент выбрали одну из стоек где генерируется около 1Gb/s трафика для начала поставили линукс - поставили softflowctl - нагрузка на одно ядро 60% по статистике все вроде хорошо softflowctl statistics softflowd[2258]: Accumulated statistics since 2017-02-02T15:42:55 UTC: Number of active flows: 8192 Packets processed: 261817301 Fragments: 2867 Ignored packets: 22139 (22139 non-IP, 0 too short) Flows expired: 967490 (967490 forced) Flows exported: 1872674 in 206398 packets (0 failures) Packets received by libpcap: 261840259 Packets dropped by libpcap: 0 Packets dropped by interface: 4294953845 Но смущает что используется одно ядро, и если отправить в 2 раза больше трафика - ядро уходит в полку и начинаются дропы. При этом на коллектор отправляется около 2 мегабит трафика Дальше поставили fprobe Нагрузка на каждое ядро по 15%, делиться примерно поровну, общая нагрузка около 30%. Но вот смущает то - что в отличии от softflowd тут отправляется не 2 мегабита - а всего 300 килобит статистики. Причем 10 секунд ничего не отправляется - потом раз - и отправилось. Средняя скорость отправки 300килобайт Различия очень не понятны. Так же вопрос - есть ли сенсор под FreeBSD чтобы он работал через netmap - желательно бесплатный Кто что посоветует ? Вставить ник Quote
artplanet Posted February 2, 2017 Author Posted February 2, 2017 Ipt_netflow это чудо - ядро нужно перекомпилить как я понял Вставить ник Quote
stalker86 Posted February 2, 2017 Posted February 2, 2017 нет не нужно. это обычный ядерный модуль. никто не запрещает его собрать отдельно Вставить ник Quote
vlad11 Posted February 3, 2017 Posted February 3, 2017 Для FreeBSD сенсор - ng_netflow. Вставить ник Quote
Dyr Posted February 6, 2017 Posted February 6, 2017 Удивительно, что по слову "netflow" и на этом форуме, и в инете просто ТОННЫ информации, в которых повторяется одна и та же простая мысль - "не используйте user-space netflow-коллекторы", но автор топика ловким домкратом пронёсся мимо... Для FreeBSD сенсор - ng_netflow. Похейтю немного. ;) Пока ng_netflow не научится v9, IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет. Вставить ник Quote
vlad11 Posted February 7, 2017 Posted February 7, 2017 Для FreeBSD сенсор - ng_netflow. Похейтю немного. ;) Пока ng_netflow не научится v9 Умеет. IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет. Клиенты обычно ставят бесплатные коллекторы и анализаторы. Им Netflow v5/v9 с головой хватает. Если надо что-то дописать - код открыт, пишите. Если рабочее решение, то и в основную ветку примут. Вставить ник Quote
napTu Posted February 15, 2018 Posted February 15, 2018 нужна freebsd+netflow v9 с расширением NEL (NAT events extension ) нашел только упоминание https://lists.freebsd.org/pipermail/freebsd-net/2013-October/036993.html Вставить ник Quote
bbober25 Posted June 25, 2020 Posted June 25, 2020 Коллеги, кому либо удалось реализовать FreeBSD + сенсор, который умеет работать со информацией до и после NAT? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.