Shape-NAT-Netflow в больших сетях. Часть 2

[Navu]

Как получить netflow с хорошей точностью на потоках интернета от 1 гбит/с.

 

Полный текст новости

[новый год]

еще один сэйлз циско

[Картуччо]

по ссылке фигурирует домашняя сеть "Ниеншанц-Хоум", а не продавцы циско.

[cmhungry]

Если бы я был сейлом циски, я бы еще порекомендовал к Cisco SCE обязательно купить ASR как ISG, и портал от Uniper, например. А, еще поставить еще дополнительно 3 сервера для database/connection manager/subscriber manager. А потом как интегратор бы еще попытался "со всем этим взлететь".

[userpost]

Можно поподробнее про PC, какая примерно нужна конфигурация компьютера для обсчета 1Гбит/c или 500 Мбит/c и 250 Мбит/c?

Edited December 28, 2009 by userpost

[cmhungry]

В комментариях к первой части статьи все есть

[Гoсть]

Чувак на фотке - рокер или на худой конец металлист.

Хорошая точность это скока?

[cmhungry]

Сейчас у нас, по тестам, около 95-98% точность.

[Гoсть]

Дак это ты на фотке? Хороший бесплатный совет хочешь?

Во-первых, не держи так микрофон. Во-вторых, вывод не должен занимать больше пары-тройки предложений, максимум один абзац.

Иначе ты - рокер металлист или на худой конец рэппер ;)

[troyand]

Cisco ASA 5505 - 5550 ... не имеют средств по сбору статистики о прошедшем через них трафике

Вроде бы, уже прикрутили на все, даже на пасочки:

NSEL - 8.2(1) - The NetFlow feature has been ported to all ASA 5500 series adaptive security appliances.

http://www.cisco.com/en/US/docs/security/a....html#wp1117013

 

Правда, оно немного странноватое и v9.

 

 

А по структуре статьи, в выводах не выводы, а разрыв пера академического письма.

 

 

[mantyr]

Такое впечатление, что всё просто горит. Интересно, при каком соотношении гигабиты/количествосессий/количествопакетов стоит пересматривать мозг в сторону содержимого статьи... Конечно у каждого свой, частный случай, но почитав об этом так уже не скажешь... начинаешь бояться гигабитных трафиков... хм... забавно.

 

Я думаю, трафик можно пропускать через 1-2-3 PC-сервера (в зависимости от облачности загрузки) и уже с них отдавать netflow или кож.заменитель на 1-2 сервера, которые это дело будут обсчитывать. В результате не тормозим трафик, имеем не плохое масштабирование и универсально считаем и обрабатываем данные отдельным(и) серверами. Цена вопроса... хм... да пожалуй соизмерима с пионернетом на вдвое-трое меньший трафик. Или я заблуждаюсь? Если заблуждаюсь, то дело точно в количествах_сессий/количество_пакетов и уже в меньший степени в гигабитах... Ваше мнение?

[cmhungry]

Основное - это PPS.

А насчет 2-3 серверов... когда трафика гиг-два - это нормально, это работает. А вот когда их 14... чисто на нат - вот тогда напрягает.

[mantyr]

Вопросов два:

1. а зачем вы столько трафика в одну трубу загоняете. Ваши клиенты не воют, когда вы в ЧС такую трубу меняете/конфигурируете?:)

2. не помню что бы провайдеры и IX давали вход в 14, в 1 или 10гб ещё понятно. В целом, всё что больше 4гб стоит разделять, конечно если используются PC-сервера. За адекватность не ручаюсь.

[mantyr]

В целом, ты крут, так держать.:)

[cmhungry]

1. Если трубу держать на 65м или 76м коте, например, и его конфигурячить - есс-но, будут выть. Если держать на нормальном устройстве, которое конфигурируется без "performance impact" - то не воют.

 

2. Я про количество серверов. Но и внешними каналами 14 гбит/с набрать не проблема =)

[Guest Луис]

без сведения в единую таблицу грош цена такой информации

[bitbucket]

Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.

Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

[bitbucket]

Основное - это PPS.

Кстати, а у кого сколько получилось прожевать без потерь одним "тазиком" ?

 

У меня рекорд ~600kpps : fullview + 40 строк фервола. Тазик: 2 x X5570, 2 igb, 2 em. FreeBSD 8.0RELEASE 64bit, с небольшими допиливаниями в ядре. В принципе, можно больше, но надо еще допиливать.

[cmhungry]

Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.

Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

Полисера на 1 класс хватает на больших анлимах. А где эти анлимы в единицах мегабит, то лучше шейпить, как мне показалось по экспериментам.

Ну и одного класса уже часто не хватает сейчас, яндекс.локалка, вконтакте без ограничений и т.п.

[Guest VEK]

Тихий бред... Ни один провайдер вышедший из пеленок в здравом уме не будет хранить логи нетфлов за 3 года. Для обеспечения СОРМ достаточно купить Омегу. И дать ей доступ для федералов. А нетфлов логи можно спрятать куда подальше, или у вас все сертефицировано?

 

Кстати у вас есть бумажка, что ваша Киска является измирительным инструментом? Т.е. не сертификат в области связи, а Бумага от метрологов? Насколько я знаю на оборудование Junipper ERX 320 такую бумагу получили не так давно. А без нее ты не имеешь права использовать оборудование для учета статистики работы клиента.

[cmhungry]

VEK:

1. в СПб ФСБ не поставит подпись на РЭ или чем там должна, без нетфлоу за 3 года.

2. Мы не измеряем - мы подсчитываем, это не телефония. Эталонный байт покажете? ЛГУ от метрологов отмахался на 1-2-3 в свое время.

[vit]

VEK, а что radius accounting в ERX уже сертифицирован? Чем он отличается от цисковского и описанного в rfc?

 

Подскажите, пожалуйста, accounting учитывает трафик, который дропается политиками на интерфейсе?

 

[mantyr]

Так или иначе, любая система должна поддерживать многократное масштабирование по горизонтали. Так что и 14 серверов для NAT должны жить не хуже чем 1-2. Но конечно для реализации каждой задумки нужно много работать, с этим я не спорю.

[sdy_moscow]

Похоже на "Реклама" однака....

[Картуччо]

Оно понятно, все что не чисто "тазики", то реклама :-)