URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 50268
[ Назад ]

Исходное сообщение
"ULOG, QUEUE, promisc и иже сними?.."
Отправлено harlan , 09-Ноя-04 07:07

Народ, хочу для сбора статистики приспособить ipcad http://www.spelio.net.ru/soft/ Но эта программа может собирать статистику несколькими способами iptables ULOG и ipq, pcap и прочее.
И вот меня заинтересовали три вопроса:
1. При каком способе процент потерь трафика будет наименьшим?
2. Кто нибудь тестировал ipcad на предмет потерь трафика?
3. Мой средний трафик составляет 4 - 5 Gb в сутки. Какая минимальная конфигурация железа для роутера под управлением Alt Linux Master 2.2 необходима, что бы свести к минимуму потери в учёте трафика?

Содержание

ULOG, QUEUE, promisc и иже сними?..,bromantik, 07:45 , 09-Ноя-04
- ULOG, QUEUE, promisc и иже сними?..,harlan, 08:30 , 09-Ноя-04
  - ULOG, QUEUE, promisc и иже сними?..,bromantik, 08:59 , 09-Ноя-04

Сообщения в этом обсуждении

"ULOG, QUEUE, promisc и иже сними?.."
Отправлено bromantik , 09-Ноя-04 07:45

>Народ, хочу для сбора статистики приспособить ipcad http://www.spelio.net.ru/soft/ Но эта программа может
>собирать статистику несколькими способами iptables ULOG и ipq, pcap и прочее.
>
>И вот меня заинтересовали три вопроса:
>1. При каком способе процент потерь трафика будет наименьшим?
>2. Кто нибудь тестировал ipcad на предмет потерь трафика?
>3. Мой средний трафик составляет 4 - 5 Gb в сутки. Какая
>минимальная конфигурация железа для роутера под управлением Alt Linux Master 2.2
>необходима, что бы свести к минимуму потери в учёте трафика?
1. То, что ближе к ядру, а это iptables (ULOG тоже собственно).
2. Не пробовал никогда
3. Смотря как сильно фильтровать будешь... Чистый snat можешь хоть на 266 пеньке ставить. Если же хочется помечать пакеты, навешивать различные детекторы, то естественно нагрузка увеличится. Ну и про остальное ПО не забывай. Если конкретнее, то поставь пенек ~667мгц и 128 озы, я думаю, что тебе на все хватит

"ULOG, QUEUE, promisc и иже сними?.."
Отправлено harlan , 09-Ноя-04 08:30

>1. То, что ближе к ядру, а это iptables (ULOG тоже собственно).
IMHO, ULOG даёт потери трафика, правило iptables -I FORWARD -j ULOG просто копию пакета посылает на коллектор и если коллектор не справляется и область ULOG переполняется, то все остальные копии пакетов просто сбрасываются. Соответственно пакеты юзверя в интернет прошли, а на коллектор не попали. Это же касается и pcap.
Как работает QUEUE - не знаю.
>2. Не пробовал никогда
А можешь посоветовать что-нить более другое?
>3. Смотря как сильно фильтровать будешь... Чистый snat можешь хоть на 266
>пеньке ставить. Если же хочется помечать пакеты, навешивать различные детекторы, то
>естественно нагрузка увеличится. Ну и про остальное ПО не забывай. Если
>конкретнее, то поставь пенек ~667мгц и 128 озы, я думаю, что
>тебе на все хватит
Ещё вопрос в дополнение к 3. У меня пакеты логируются занесением их в базу PostgreSQL так вот где лучше эту базу держать, на роутере или на другом хосте? Из этой же базы берёт данные для аутентификации абонентов radius, postfix, apache, courier-imap, etc.

"ULOG, QUEUE, promisc и иже сними?.."
Отправлено bromantik , 09-Ноя-04 08:59

>>1. То, что ближе к ядру, а это iptables (ULOG тоже собственно).
>IMHO, ULOG даёт потери трафика, правило iptables -I FORWARD -j ULOG просто
>копию пакета посылает на коллектор и если коллектор не справляется и
>область ULOG переполняется, то все остальные копии пакетов просто сбрасываются.
>Соответственно пакеты юзверя в интернет прошли, а на коллектор не попали.
Давай немного уточним... Я понял вопрос буквально, что меньше? iptables меньше... А вопрос перегрузок уже другой :) Скажем так я использую ulog-acctd с возможностью агрегирования, так вот сколько раз я делал срезы, недочетов не замечал.
>Это же касается и pcap.
>Как работает QUEUE - не знаю.
>
>>2. Не пробовал никогда
>А можешь посоветовать что-нить более другое?
У меня самопальный основанный на том самом ulog-acctd, считает очень неплохо, имхо.
>
>>3. Смотря как сильно фильтровать будешь... Чистый snat можешь хоть на 266
>>пеньке ставить. Если же хочется помечать пакеты, навешивать различные детекторы, то
>>естественно нагрузка увеличится. Ну и про остальное ПО не забывай. Если
>>конкретнее, то поставь пенек ~667мгц и 128 озы, я думаю, что
>>тебе на все хватит
>Ещё вопрос в дополнение к 3. У меня пакеты логируются занесением их
>в базу PostgreSQL так вот где лучше эту базу держать, на
>роутере или на другом хосте? Из этой же базы берёт данные
>для аутентификации абонентов radius, postfix, apache, courier-imap, etc.
Ну опять таки смотри на то, насколько комфортно ей будет... Учитывая то, что субд будет пользоваться большое количество ПО, то наверное стоит задуматься либо о увеличении мощности, либо о перенесении базы, но тогда нужно еще крепче задуматься, а хочется и тебе гонять кучу траффика от ulog... Ведь он буквально каждую строку засылать будет.