On Wed, Mar 14, 2001 at 03:48:35PM +0300, Roman Popov wrote:
> > > > > Пользуется ли кто flow-tools-0.34 для сбора netflow (FreeBSD 4.x)?
> > > > > Интересует, можно ли это в production пустить?
> > > >
> > > > Для сбора можно использовать, но
> > >
> > > без переделывания - нет, главным образом из-за указанного ниже п.1, а также
> > > по куче других причин.
> >
> > Можно их узнать?
>
> (рассматривется flow-capture)
> - если не пользоваться её же инструментарием, то zlib только к худшему (потом
> обрабатывать сложнее)
> - пишет полный v5 flow, без права выбора того что из него нужно
Кроме 'flow capture | flow print' от нее ничего не нужно, а
обработчики в нашей конторе традиционно пишутся на awk. awk у нас
знают виртуозно.
> - способ ротейтить файлы не самый лучший
Это да.
>
> >
> > > зато на её базе легко пишется правильный приёмник под
> > > свои нужды.
> >
> > Мне нужен только сборщик, анализировать и выставлять клиентам
> > счета будет другая программа (АСР). Собственно, АСР сейчас этим и
> > занимается, только сейчас ей скармливается результат 'sh ip acco'.
> > В силу ряда соображений было решено, что использовать netflow всё
> > же правильнее.
>
> в данном случае есть определённые за и против того и другого
> за ip accounting :
> спокойно собирается и лежит ждёт пока не снимут
> снимать можно из другого места в случае выхода из строя первого (netflow
> плюётся в одно, если там что-то случилось - статистика потеряна)
> памяти кушает сравнимо с netflow
Против ip accounting у меня есть железный аргумент: надо считать
именно *входящий* трафик. accounting для этого неудобен.
Сейчас считается *исходящий* трафик на клиентских интерфейсах,
потом из него минусуются городские сетки. Очень некрасиво.
Кроме того, ip acc требует rsh (ну или SNMP). И требует дергать себя
извне.
> за netflow :
> знаем номер интерфейса
> знаем кучу всего (в данном случае очевидно ненужного)
>
> >
> > > если нет нужды рассматривать взаимосвязь ip+порты+as и пр., то лучше
> > > пользовать cflowd, она грамотнее во всём.
> >
[dd]
> >
> > Собственно, о flowtools мне было бы достаточно знать, что оно не
> > падает и не теряет статистику. Функциональность меня (пока?) устраивает.
>
> (flow-capture) падать там нечему, да и теряться при малом траффике тоже,
> оно не напрягаясь обрабатывает ~700kbyte/s _netflow_ трафика.
Замечательно.
> >
> > Я ставил из портов FreeBSD, оно вроде заработало. Кстати, не
> > нашел в документации, какую версию netflow оно хочет. Подбирал
> > опытным путем.
>
> v1, v5 (на 0.34)
Спасибо.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
