Jump to content
Калькуляторы

netflow sensor linux/freebsd

Reply to this topic

artplanet   

artplanet
Posted

Сидим тестируем разные софт сенсоры.

На данный момент выбрали одну из стоек где генерируется около 1Gb/s трафика

для начала поставили линукс - поставили softflowctl - нагрузка на одно ядро 60%

по статистике все вроде хорошо

softflowctl statistics
softflowd[2258]: Accumulated statistics since 2017-02-02T15:42:55 UTC:
Number of active flows: 8192
Packets processed: 261817301
Fragments: 2867
Ignored packets: 22139 (22139 non-IP, 0 too short)
Flows expired: 967490 (967490 forced)
Flows exported: 1872674 in 206398 packets (0 failures)
Packets received by libpcap: 261840259
Packets dropped by libpcap: 0
Packets dropped by interface: 4294953845

Но смущает что используется одно ядро, и если отправить в 2 раза больше трафика - ядро уходит в полку и начинаются дропы.

При этом на коллектор отправляется около 2 мегабит трафика

 

Дальше поставили fprobe

Нагрузка на каждое ядро по 15%, делиться примерно поровну, общая нагрузка около 30%.

Но вот смущает то - что в отличии от softflowd тут отправляется не 2 мегабита - а всего 300 килобит статистики. Причем 10 секунд ничего не отправляется - потом раз - и отправилось. Средняя скорость отправки 300килобайт

Различия очень не понятны.

 

Так же вопрос - есть ли сенсор под FreeBSD чтобы он работал через netmap - желательно бесплатный

 

 

Кто что посоветует ?

Share this post

Link to post
Share on other sites

Dyr   

Dyr
Posted

Удивительно, что по слову "netflow" и на этом форуме, и в инете просто ТОННЫ информации, в которых повторяется одна и та же простая мысль - "не используйте user-space netflow-коллекторы", но автор топика ловким домкратом пронёсся мимо...

 

Для FreeBSD сенсор - ng_netflow.

Похейтю немного. ;)

Пока ng_netflow не научится v9, IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет.

Share this post

Link to post
Share on other sites

vlad11   

vlad11
Posted

Для FreeBSD сенсор - ng_netflow.

Похейтю немного. ;)

Пока ng_netflow не научится v9

Умеет.

 

IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет.

Клиенты обычно ставят бесплатные коллекторы и анализаторы. Им Netflow v5/v9 с головой хватает.

 

Если надо что-то дописать - код открыт, пишите. Если рабочее решение, то и в основную ветку примут.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...