On Tue, Oct 10, 2006 at 04:51:06PM +0300, Dmitry Kiselev wrote:
Абсолютно верно. Именно по-этому все netflow потоки должны аггрегироваться где-то в одном не нагруженном месте. Там же архивироваться и очищаться от всяких DDoS, а в realtime молотилку доставляться уже по tcp.
netflow должен експортироваться на другую машину, которая уже должен агрерировать и писать в базу. И доставляется оне не по tcp , а по udp. во фре есть ng_netflow. Производительность должна быть достаточная. В любом случае надо пробовать. Ну и как не крути netgraph это все-таки kernel-level, что положительно должно сказываться на производительности. Самое главное чтобы роутер не натил сетки, а просто пакетики пробрасывал, тогда с каждого интерфейса снимается входящий трафик и путь трафика внутри ядра минимален, просто собирать нужно с двух интерфейсов (или трех, или сколько там их у Вас) и экспортировать в один поток на один порт. Из коллекторов - имелся опыт общение c flowc нашей универовской разработки, 40 мегабит несильная машинка обрабатывала не поперхнувшись. Поток был с кошки. -- ------------------------------------------------------------------------------- Vasiliy P. Melnik VPM-RIPE, VPM-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message