On Tue, Nov 03, 2009 at 12:27:24PM +0200, Alexander Shikoff wrote:
в даташите ни слова про NAT не сказано - он там есть? Есть конечно.
А как там sflow/netflow называется? Что-то я сходу не вижу ничего подобного...
Еще вдогонку вопрос про *flow: netflow отдает статистику по всему трафику, а sflow/jflow - работают через sampling, и поэтому весь трафик при больших объемах посчитать будет сложно: где-то я нагуглил вчера, что при семплировании 1:1 Juniper M7i складывался достаточно быстро при отсутствии AS или MS PIC.
Не где-то, а в j-nsp :) И не "складывается", а не семплирует лишнего. Есть у juniper'ов интересная особенность из разряда "встроенного" control plane protection - до routing engine в любом случае больше 7kpps не доходит. Так что RE-based j-flow полезен только для анализа, но не для биллинга.
Какие могут быть альтернативные способы подсчета в случае Juniper?
SCU/DCU ? Radius accounting (в случае pppoe/ipoe терминации) ? firewall counters ? netflow accounting на нормальных скоростях и на современном, наполненном p2p-приложениями, траффике просто неработоспособен. А если Литовка будет говорить "а на ASR'ах - работает", мы его спросим о том, какой обьем flow-cache у этих самых asr'ов :) И сколько именно машин, зараженных SQL Slammer worm'ом этот кэш убьет - пять или чуть побольше (один экземпляр sql slammer элементарно создает тысячи flow-entries в секунду) :) 4rem: к вашим железкам тоже относится :)