OpenBSD(мой шлюз)-> витая пара -> (cisco(не уверен) провайдера) -> оптика -> далее хз -> FreeBSD(шлюз провайдера с ipfw которого снимается статистика для NetUp'a)...Разница в счете состовляет около 19% я считал и через bpf и через pf. Оба способоа достатлчно близки. Но до провайдеровского счета еще около 500МБ...
Возможны ли потери(сомневаюсь) или увеличение обьема(увеличение размера заголовка... или еще чего) при таком вот раскладе порядка 15-20%. Мало инфы конечно, но мне нужна знать какие могут быть варианты...
>OpenBSD(мой шлюз)-> витая пара -> (cisco(не уверен) провайдера) -> оптика -> далее хз -> FreeBSD(шлюз провайдера с ipfw которого снимается статистика для NetUp'a)...
>
> Разница в счете состовляет около 19% я считал и через
>bpf и через pf. Оба способоа достатлчно близки. Но до провайдеровского
>счета еще около 500МБ...
>Возможны ли потери(сомневаюсь) или увеличение обьема(увеличение размера заголовка... или еще чего) при
>таком вот раскладе порядка 15-20%. Мало инфы конечно, но мне нужна
>знать какие могут быть варианты...Ну, если интересуют варианты - пров может считать прошедший через интерфейс в твою сторону трафик, а может считать трафик, отправленный с интерфейса в твою сторону (т.е. например, пинг с твоей стороны интерфейса прова может им считаться, а может и нет).
И расхождение 500Мб при общем трафе 100Гб, или 1Гб... есть разница.
>OpenBSD(мой шлюз)-> витая пара -> (cisco(не уверен) провайдера) -> оптика -> далее хз -> FreeBSD(шлюз провайдера с ipfw которого снимается статистика для NetUp'a)...
>
> Разница в счете состовляет около 19% я считал и через
>bpf и через pf. Оба способоа достатлчно близки. Но до провайдеровского
>счета еще около 500МБ...
>Возможны ли потери(сомневаюсь) или увеличение обьема(увеличение размера заголовка... или еще чего) при
>таком вот раскладе порядка 15-20%. Мало инфы конечно, но мне нужна
>знать какие могут быть варианты...
Можно привести цифры? Вход, исход... Вариант 1: потери на физике. Тогда вход меньше чем насчитано провом а исход соответственно больше. 2 - дропающие шейперы. 3 - что-то недосчитывается, 4 - таки у провайдера не то количествой байт в мегабайте. Если сообщить больше подробностей, можно более конкретно о чем-то говорить.
> Разница в счете состовляет около 19% я считал и через19% это слишком много, чтобы списать на разницу систем учета и единиц измерения. Очень похоже на то, что провайдер суммирует входящий и исходящий трафик.
Трафик считаешь на интерфейсе смотрящем на провайдера ? Какое расхождение трафика на интерфейсе и bpf/pf ? Послушай трафик, нет ли там всяких RIP анонсов и прочего масштабного мусора.
Да это действительно много...
19% это от общего моего около 2200МБ с гаком. А провайдер насчитал на 2700МБ с тележечкой. провайдер не суммирует входящий и исходящий трафик. Я кажись в схемке написал что провайдер считает снимая данные счетчиков в ipfw (нам выдан только один ip из подсети который и обсчитывается провайдером). Мусор к сожалению есть... но опять же... учет идет по моему ip. По поводу сравнения подсчета bpf/pf щас делаю конрольный замер...
А это не может быть служебный трафик ? как раз может быть до 20% в зависимости на сколько рулица нет.....
Конечно это много но.... Твой машина считает Служебный трафик или чистые меги полезной инфы ?
>Да это действительно много...
>19% это от общего моего около 2200МБ с гаком. А провайдер насчитал
>на 2700МБ с тележечкой. провайдер не суммирует входящий и исходящий трафик.
>Я кажись в схемке написал что провайдер считает снимая данные счетчиков
>в ipfw (нам выдан только один ip из подсети который и
>обсчитывается провайдером). Мусор к сожалению есть... но опять же... учет идет
>по моему ip. По поводу сравнения подсчета bpf/pf щас делаю конрольный
>замер...Ограничивает ли провайдер скорость? Если режет, то самое вероятное объеснение таково. Трафик на юниксах сначала проходит через цепочку FORWARD (то есть считается), а потом режется, так как резалки-ограничители прикручиваются в выходным интерфейсам. 20% - нормальное расхождение для такого случая. То что они тебе насчитывают - это то что ОНИ получили для тебя. А то что ты насчитал - это то что они ТЕБЕ отдали.
Возможно... Канал то ли 2 то ли 4 Мбита.Провел тестовый замер на вшивость моего подсчета. Сделел отдельную сеть и закачал на шлюз файлик около 1.1 ГБ
Результат:
1. Таблицы pf показали
In/Pass Bytes: 1210815726 т.е. ~1154.7239 МБ
Out/Pass Bytes: 28097166 т.е. ~ 26.7955 МБ2. cnupm показал
input: 1210815726 т.е. ~1154.72385978699 МБ
output: 28097166 т.е. ~ 26.7955455780029 МБ
Если я правильно понимаю ситуацию, то тут только разговор с провайдером...
>Провел тестовый замер на вшивость моего подсчета. Сделел отдельную сеть и закачал на шлюз файлик около 1.1 ГБ
Т.е. вы считали только то, что прошло снаружи вовнутрь? В этом, наверно, и есть проблема. Провайдер считает всё, что проходит в вашу сторону. И это не обязательно только то, что хотели бы получить вы. Сканирование вирусов, попытки соединений, сканирование диапазона адресов которые вам принадлежат, UDP/ICMP/etc флуд.. Создайте счётчик всего что приходит на внешний интерфейс, вообще всего, а не только что проходит за шлюз.
>>Провел тестовый замер на вшивость моего подсчета. Сделел отдельную сеть и закачал на шлюз файлик около 1.1 ГБ
>Т.е. вы считали только то, что прошло снаружи вовнутрь? В этом, наверно,
>и есть проблема. Провайдер считает всё, что проходит в вашу сторону.
>И это не обязательно только то, что хотели бы получить вы.
>Сканирование вирусов, попытки соединений, сканирование диапазона адресов которые вам принадлежат, UDP/ICMP/etc
>флуд.. Создайте счётчик всего что приходит на внешний интерфейс, вообще всего,
>а не только что проходит за шлюз.Не вполне корректно. Провайдеры редко сильно отгораживают пользователей от страстей Интернета и разница в 20% вряд ли могла набежать.
Еще 1 вариант - провайдет суммирует входящий и исходящий трафик (как вариант). Такое еще встречается.
делал аналогичную систему на iptables+ULOG на Linux, работает у нескольких клиентовукладывал отдельно все accept и все drop пакеты в базу, при подсчете разницы с провайдером - та же беда - около 20 %
причем провайдер божится, что у него траффик считается на Фре trafd, именно ip, а не физика ... и что считается только входящий траффикбазы статистики с полной детализацией и у него и у меня, сравнивать пока времени нет, но тема интересная ... все ж непонятно, в чем разница ...
4butcher:
Я считаю все(pass,block) что приходит на мой ip и что с него уходит, а не только то что прошло.
У прова стоит Netup :-). Вещь знакомая, в качестве коллектора использует ipcad или ipfm обе хорошо теряют пакеты при нагрузке. fw используеться только для ридеректа на коллектор ну и для разрешения ходить вам в интет или деньги у вас закончились :-). Поскольку пров терять деньги не хочет он начинает подкручивать коэффициентом благо таковой есть в конфиге Netup там прямо циферки меняй и следующий пересчёт трафика уже с новым коэффициентом. А просчёт по крону обычно каждую минуту. Думаю дело не в ваших настройках если при подсчёте вы напишете pass quick all и посчитаете всё cnupm то информация будет наиболее верной и с учётом заголовков (у прова тоже с учётом заголовков).А прова как величать
А как определяешь что ipcad теряет пакеты?
A Clockwork Orange - уважаемый, а как с вами можно связаться?