Jump to content
Local
Alexey Osipov

ipt_netflow - быстрый NetFlow измеритель

Recommended Posts

К Stargazer'у напрямую не относится, но я краем глаза где-то тут слышал, что народ для подсчёта трафика пользуется программными генераторами NetFlow-потоков: softflowd, fprobe, fprobe-ulog.

 

Я попробовал все три по очереди и работают они медленно: на скорости 3-5 МБайт/сек откушивают от 5% до 8% ресурсов процессора (класса Core 2 Duo). Стал искать альтернативный вариант и нашел ipt-netflow - модуль для iptables, предоставляющий цель "-j NETFLOW". Все пакеты, попадающие в эту цель, обрабатываются модулем и отправляются сборщику трафика по протоколу NetFlow. Всё это дело происходит в пространстве ядра и поэтому работает очень быстро: при тех же исходных данных видимой загрузки процессора нет вообще.

 

Автор ipt-netflow (как и уважаемые авторы Stargazer'а :) ) решил не заморачиваться с Autotools или CMake, а изобрёл свой велосипед написал собственный configure скрипт. Скрипт этот почему-то требует наличия полных исходников iptables и исходников ядра. Хотя на самом деле ему было бы достаточно заголовочных файлов и того и другого. Вообщем, изрядно намучившись и напатчившись, я таки запаковал ipt-netflow в DEB-пакет.

 

Результат своих мучений и выкладываю на ваш суд: https://launchpad.net/~lion-simba/+archive/stargazer/ Это тот же репозиторий, где лежит упакованная мной версия Stargazer. Пакет использует технологию DKMS - то есть при обновлении ядра модуль будет пересобран автоматически.

Share this post


Link to post
Share on other sites

Да, известная штука. Планируем использовать ее вместе с зераклированием трафика после перевода NAS'ов на L3-свитчи. Я даже код этой софтинки глядел :)

Share this post


Link to post
Share on other sites

Не обращал внимание на это, пока не вырос трафик. Юзаю fprobe - кушаем уже во время пика до 70% процика.

 

"Кито" пробовал данную софтину, как она на стабильность?

Share this post


Link to post
Share on other sites

Некропостинг детектед   :facepalm:  2011г чувак

Share this post


Link to post
Share on other sites

 

 

Не обращал внимание на это, пока не вырос трафик. Юзаю fprobe - кушаем уже во время пика до 70% процика.

А че мсье ожидали? Оно же pcap-based.

 

 

 

"Кито" пробовал данную софтину, как она на стабильность?

Работает. Быстрое. По дороге откройте для себя еще и ipt_ratelimit

 

 

 

Некропостинг детектед :facepalm: 2011г чувак

Вот видишь, что линукс с людьми делает? :D

Share this post


Link to post
Share on other sites

а как же FreeBSD-only? или я что-то упустил?

Share this post


Link to post
Share on other sites

лично я слез с фряхи на брасах и бгп, несмотря на 10-ти летнюю любовь к єтой системе... 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×