[artplanet]

Сидим тестируем разные софт сенсоры.

На данный момент выбрали одну из стоек где генерируется около 1Gb/s трафика

для начала поставили линукс - поставили softflowctl - нагрузка на одно ядро 60%

по статистике все вроде хорошо

softflowctl statistics
softflowd[2258]: Accumulated statistics since 2017-02-02T15:42:55 UTC:
Number of active flows: 8192
Packets processed: 261817301
Fragments: 2867
Ignored packets: 22139 (22139 non-IP, 0 too short)
Flows expired: 967490 (967490 forced)
Flows exported: 1872674 in 206398 packets (0 failures)
Packets received by libpcap: 261840259
Packets dropped by libpcap: 0
Packets dropped by interface: 4294953845

Но смущает что используется одно ядро, и если отправить в 2 раза больше трафика - ядро уходит в полку и начинаются дропы.

При этом на коллектор отправляется около 2 мегабит трафика

 

Дальше поставили fprobe

Нагрузка на каждое ядро по 15%, делиться примерно поровну, общая нагрузка около 30%.

Но вот смущает то - что в отличии от softflowd тут отправляется не 2 мегабита - а всего 300 килобит статистики. Причем 10 секунд ничего не отправляется - потом раз - и отправилось. Средняя скорость отправки 300килобайт

Различия очень не понятны.

 

Так же вопрос - есть ли сенсор под FreeBSD чтобы он работал через netmap - желательно бесплатный

 

 

Кто что посоветует ?

[zhenya`]

Ipt_netflow

[stalker86]

+1 за Ipt_netflow

[artplanet]

Ipt_netflow

 

 

это чудо - ядро нужно перекомпилить как я понял

[stalker86]

нет не нужно. это обычный ядерный модуль. никто не запрещает его собрать отдельно

[pppoetest]

+1 за Ipt_netflow

+1

[vlad11]

Для FreeBSD сенсор - ng_netflow.

[Dyr]

Удивительно, что по слову "netflow" и на этом форуме, и в инете просто ТОННЫ информации, в которых повторяется одна и та же простая мысль - "не используйте user-space netflow-коллекторы", но автор топика ловким домкратом пронёсся мимо...

 

Для FreeBSD сенсор - ng_netflow.

Похейтю немного. ;)

Пока ng_netflow не научится v9, IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет.

[vlad11]

Для FreeBSD сенсор - ng_netflow.

Похейтю немного. ;)

Пока ng_netflow не научится v9

Умеет.

 

IPFix, NEL/NSEL (ну в данном случае не актуально, но всё же), логики ставить Фрю с ним нет.

Клиенты обычно ставят бесплатные коллекторы и анализаторы. Им Netflow v5/v9 с головой хватает.

 

Если надо что-то дописать - код открыт, пишите. Если рабочее решение, то и в основную ветку примут.

[napTu]

нужна freebsd+netflow v9 с расширением NEL (NAT events extension )

 

нашел только упоминание

https://lists.freebsd.org/pipermail/freebsd-net/2013-October/036993.html

 

[Tosha]

а почему именно freebsd?

[bbober25]

Коллеги, кому либо удалось реализовать FreeBSD + сенсор, который умеет работать со информацией до и после NAT?