artplanet Posted February 2, 2017 · Report post Сидим тестируем разные софт сенсоры. На данный момент выбрали одну из стоек где генерируется около 1Gb/s трафика для начала поставили линукс - поставили softflowctl - нагрузка на одно ядро 60% по статистике все вроде хорошо softflowctl statistics softflowd[2258]: Accumulated statistics since 2017-02-02T15:42:55 UTC: Number of active flows: 8192 Packets processed: 261817301 Fragments: 2867 Ignored packets: 22139 (22139 non-IP, 0 too short) Flows expired: 967490 (967490 forced) Flows exported: 1872674 in 206398 packets (0 failures) Packets received by libpcap: 261840259 Packets dropped by libpcap: 0 Packets dropped by interface: 4294953845 Но смущает что используется одно ядро, и если отправить в 2 раза больше трафика - ядро уходит в полку и начинаются дропы. При этом на коллектор отправляется около 2 мегабит трафика Дальше поставили fprobe Нагрузка на каждое ядро по 15%, делиться примерно поровну, общая нагрузка около 30%. Но вот смущает то - что в отличии от softflowd тут отправляется не 2 мегабита - а всего 300 килобит статистики. Причем 10 секунд ничего не отправляется - потом раз - и отправилось. Средняя скорость отправки 300килобайт Различия очень не понятны. Так же вопрос - есть ли сенсор под FreeBSD чтобы он работал через netmap - желательно бесплатный Кто что посоветует ? Share this post Link to post Share on other sites
zhenya` Posted February 2, 2017 · Report post Ipt_netflow Share this post Link to post Share on other sites
stalker86 Posted February 2, 2017 · Report post +1 за Ipt_netflow Share this post Link to post Share on other sites
artplanet Posted February 2, 2017 · Report post Ipt_netflow это чудо - ядро нужно перекомпилить как я понял Share this post Link to post Share on other sites
stalker86 Posted February 2, 2017 · Report post нет не нужно. это обычный ядерный модуль. никто не запрещает его собрать отдельно Share this post Link to post Share on other sites
pppoetest Posted February 2, 2017 · Report post +1 за Ipt_netflow +1 Share this post Link to post Share on other sites
vlad11 Posted February 3, 2017 · Report post Для FreeBSD сенсор - ng_netflow. Share this post Link to post Share on other sites
Dyr Posted February 6, 2017 · Report post Удивительно, что по слову "netflow" и на этом форуме, и в инете просто ТОННЫ информации, в которых повторяется одна и та же простая мысль - "не используйте user-space netflow-коллекторы", но автор топика ловким домкратом пронёсся мимо... Для FreeBSD сенсор - ng_netflow. Похейтю немного. ;) Пока ng_netflow не научится v9, IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет. Share this post Link to post Share on other sites
vlad11 Posted February 7, 2017 · Report post Для FreeBSD сенсор - ng_netflow. Похейтю немного. ;) Пока ng_netflow не научится v9 Умеет. IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет. Клиенты обычно ставят бесплатные коллекторы и анализаторы. Им Netflow v5/v9 с головой хватает. Если надо что-то дописать - код открыт, пишите. Если рабочее решение, то и в основную ветку примут. Share this post Link to post Share on other sites
napTu Posted February 15, 2018 · Report post нужна freebsd+netflow v9 с расширением NEL (NAT events extension ) нашел только упоминание https://lists.freebsd.org/pipermail/freebsd-net/2013-October/036993.html Share this post Link to post Share on other sites
Tosha Posted May 15, 2018 · Report post а почему именно freebsd? Share this post Link to post Share on other sites
bbober25 Posted June 25 · Report post Коллеги, кому либо удалось реализовать FreeBSD + сенсор, который умеет работать со информацией до и после NAT? Share this post Link to post Share on other sites
