Учёт трафика: что, чем и как считать.

1. Анализ трафика -- зачем это нужно.
   • Статистика и billing.
   • Прогнозирование проблем.
   • Решение текущих проблем (вирусы, ошибки в настройке и т.п.)
2. Анализ трафика целевой и фоновый.
   • Целевой -- tcpdump и тому подобное.
   • Фоновый -- собственно то, о чем хотелось бы поговорить.
3. Общая схема системы учета трафика.
4. Источники информации о трафике.
   • Коммутаторы.
   • Пакетные фильтры.
   • Анализаторы на основе bpf.
   • Анализаторы на основе divert.
   • Ядерные модули.
   • Cisco accounting и NetFlow (вот тут информации недостаточно, если кто-то может рассказать про эту часть -- хорошо).
5. Агрегация -- для чего и зачем.
   • Первичная -- то, что делает источник информации.
   • Классы трафика
   • Просто входящий и исходящий.
   • Ntmtools -- интересная разработка, недавно про нее узнал.
6. Хранилище информации.
   • Текстовые файлы.
   • SQL.
   • Альтернативные методы (встраиваемые БД, спец. БД). Тут у меня тоже провал, если кто-нибудь что-нибудь знает, то был бы рад услышать, иначе надо будет выкидывать.
7. Как все это показать пользователю.
   • Разделение доступа.
   • Способы отображения: табличка, MRTG, RRD tools.

Слайды к докладу

• В формате SXI (ooImpress)
• В формате PDF

Комментарии.

2. Описательная часть.
4. Я всю эту информацию собирал применительно к FreeBSD, когда решал, что же я сам буду использовать. Я думаю, что аналогичные механизмы существуют и в других UNIX-like системах, но хотелось бы помощи, чтобы упоминать корректные названия из аналогов в других системах. Хотя, думаю, что если я даже объясню общие принципы и свое мнение о "за и против", уже будет полезно.
5. Я привел только такие типы агрегации, про которые слышал. Дополнения приветствуются.
6. Тут, как всегда, проблема скорости-удобства. Возможна очень интересная дискуссия, перерастающая во флейм.
7. Я страшно не люблю писать интерфейсы. Но надо. Поэтому опять же на уровне концепций, но для полноты картины упомянуть надо. Лично для меня основной интерес представляют пункты 4-6 и 7 в части разделения доступа (я хочу прикрутить к этому LDAP, но пока не могу разобраться, как правильно настроить ACL).

Литература.

RFC2722 "Traffic Flow Measurement: Architecture"

RFC2123 "Traffic Flow Measurement: Experiences with NeTraMet"

Обзор биллинговых систем и систем учета трафика: http://www.opennet.ru/prog/sml/47.shtml

FAQ по учеты трафика во FreeBSD. Но опять же, общие принципы применимы и к другим системам. http://www.opennet.ru/base/faq/faq_traf2.txt.html

Интересная разработка: система адаптивного агрегирования информации о трафике. http://camelot.iki.rssi.ru/RFFI-02-07-90390

Attachment:	Action:	Size:	Date:	Who:	Comment:
Traffic.sxi	action	14318	15 Nov 2003 - 08:49	Main.george	Слайды в формате SXI (ooImpress)
Traffic.pdf	action	72102	15 Nov 2003 - 08:53	Main.george	Слайды в формате PDF

Copyright © 2003 by the contributing authors. All material on this site is the property of the contributing authors. Send feedback to svv “at” cmc “dot” msu “dot” ru.