----- Original Message -----
From: "Vasiliy P. Melnik"
On Tue, Oct 10, 2006 at 04:51:06PM +0300, Dmitry Kiselev wrote:
Абсолютно верно. Именно по-этому все netflow потоки должны аггрегироваться где-то в одном не нагруженном месте. Там же архивироваться и очищаться от всяких DDoS, а в realtime молотилку доставляться уже по tcp.
netflow должен експортироваться на другую машину, которая уже должен агрерировать и писать в базу. И доставляется оне не по tcp , а по udp.
во фре есть ng_netflow. Производительность должна быть достаточная. В любом случае надо пробовать. Ну и как не крути netgraph это все-таки kernel-level, что положительно должно сказываться на производительности.
Самое главное чтобы роутер не натил сетки, а просто пакетики пробрасывал, тогда с каждого интерфейса снимается входящий трафик и путь трафика внутри ядра минимален, просто собирать нужно с двух интерфейсов (или трех, или сколько там их у Вас) и экспортировать в один поток на один порт.
Из коллекторов - имелся опыт общение c flowc нашей универовской разработки, 40 мегабит несильная машинка обрабатывала не поперхнувшись. Поток был с кошки.
40 Мбит реального трафика или это поток NF ? Если реального трафика - то это сейчас не _операторская_ емкость. Если это поток NF - то каков же реальный трафик ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message