Перейти к содержимому
Калькуляторы

Shape-NAT-Netflow в больших сетях. Часть 2

Как получить netflow с хорошей точностью на потоках интернета от 1 гбит/с.

 

Полный текст новости

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще один сэйлз циско

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по ссылке фигурирует домашняя сеть "Ниеншанц-Хоум", а не продавцы циско.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если бы я был сейлом циски, я бы еще порекомендовал к Cisco SCE обязательно купить ASR как ISG, и портал от Uniper, например. А, еще поставить еще дополнительно 3 сервера для database/connection manager/subscriber manager. А потом как интегратор бы еще попытался "со всем этим взлететь".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно поподробнее про PC, какая примерно нужна конфигурация компьютера для обсчета 1Гбит/c или 500 Мбит/c и 250 Мбит/c?

Изменено пользователем userpost

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В комментариях к первой части статьи все есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чувак на фотке - рокер или на худой конец металлист.

Хорошая точность это скока?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас у нас, по тестам, около 95-98% точность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дак это ты на фотке? Хороший бесплатный совет хочешь?

Во-первых, не держи так микрофон. Во-вторых, вывод не должен занимать больше пары-тройки предложений, максимум один абзац.

Иначе ты - рокер металлист или на худой конец рэппер ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco ASA 5505 - 5550 ... не имеют средств по сбору статистики о прошедшем через них трафике
Вроде бы, уже прикрутили на все, даже на пасочки:
NSEL - 8.2(1) - The NetFlow feature has been ported to all ASA 5500 series adaptive security appliances.
http://www.cisco.com/en/US/docs/security/a....html#wp1117013

 

Правда, оно немного странноватое и v9.

 

 

А по структуре статьи, в выводах не выводы, а разрыв пера академического письма.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такое впечатление, что всё просто горит. Интересно, при каком соотношении гигабиты/количествосессий/количествопакетов стоит пересматривать мозг в сторону содержимого статьи... Конечно у каждого свой, частный случай, но почитав об этом так уже не скажешь... начинаешь бояться гигабитных трафиков... хм... забавно.

 

Я думаю, трафик можно пропускать через 1-2-3 PC-сервера (в зависимости от облачности загрузки) и уже с них отдавать netflow или кож.заменитель на 1-2 сервера, которые это дело будут обсчитывать. В результате не тормозим трафик, имеем не плохое масштабирование и универсально считаем и обрабатываем данные отдельным(и) серверами. Цена вопроса... хм... да пожалуй соизмерима с пионернетом на вдвое-трое меньший трафик. Или я заблуждаюсь? Если заблуждаюсь, то дело точно в количествах_сессий/количество_пакетов и уже в меньший степени в гигабитах... Ваше мнение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Основное - это PPS.

А насчет 2-3 серверов... когда трафика гиг-два - это нормально, это работает. А вот когда их 14... чисто на нат - вот тогда напрягает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопросов два:

1. а зачем вы столько трафика в одну трубу загоняете. Ваши клиенты не воют, когда вы в ЧС такую трубу меняете/конфигурируете?:)

2. не помню что бы провайдеры и IX давали вход в 14, в 1 или 10гб ещё понятно. В целом, всё что больше 4гб стоит разделять, конечно если используются PC-сервера. За адекватность не ручаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Если трубу держать на 65м или 76м коте, например, и его конфигурячить - есс-но, будут выть. Если держать на нормальном устройстве, которое конфигурируется без "performance impact" - то не воют.

 

2. Я про количество серверов. Но и внешними каналами 14 гбит/с набрать не проблема =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.

Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Основное - это PPS.
Кстати, а у кого сколько получилось прожевать без потерь одним "тазиком" ?

 

У меня рекорд ~600kpps : fullview + 40 строк фервола. Тазик: 2 x X5570, 2 igb, 2 em. FreeBSD 8.0RELEASE 64bit, с небольшими допиливаниями в ядре. В принципе, можно больше, но надо еще допиливать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.
Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

Полисера на 1 класс хватает на больших анлимах. А где эти анлимы в единицах мегабит, то лучше шейпить, как мне показалось по экспериментам.

Ну и одного класса уже часто не хватает сейчас, яндекс.локалка, вконтакте без ограничений и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость VEK

Тихий бред... Ни один провайдер вышедший из пеленок в здравом уме не будет хранить логи нетфлов за 3 года. Для обеспечения СОРМ достаточно купить Омегу. И дать ей доступ для федералов. А нетфлов логи можно спрятать куда подальше, или у вас все сертефицировано?

 

Кстати у вас есть бумажка, что ваша Киска является измирительным инструментом? Т.е. не сертификат в области связи, а Бумага от метрологов? Насколько я знаю на оборудование Junipper ERX 320 такую бумагу получили не так давно. А без нее ты не имеешь права использовать оборудование для учета статистики работы клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VEK:

1. в СПб ФСБ не поставит подпись на РЭ или чем там должна, без нетфлоу за 3 года.

2. Мы не измеряем - мы подсчитываем, это не телефония. Эталонный байт покажете? ЛГУ от метрологов отмахался на 1-2-3 в свое время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VEK, а что radius accounting в ERX уже сертифицирован? Чем он отличается от цисковского и описанного в rfc?

 

Подскажите, пожалуйста, accounting учитывает трафик, который дропается политиками на интерфейсе?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так или иначе, любая система должна поддерживать многократное масштабирование по горизонтали. Так что и 14 серверов для NAT должны жить не хуже чем 1-2. Но конечно для реализации каждой задумки нужно много работать, с этим я не спорю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оно понятно, все что не чисто "тазики", то реклама :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.