[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Подсчет трафика

Люди местные, сами мы недобрые...

А расскажите, кто чем считает трафик и потом анализирует насчитанное.

Интересует примерно следующая модель использования.  Есть сеть, довольно
развесистая, аж о двух роутерах (один роутит подсети внутренней сети и в
DMZ, а другой из DMZ наружу).  Внешний роутер маскарадит (и сам тоже
малость генерирует трафик).  Внутренняя сеть на VLAN'ах, и есть OpenVPN.

Что хочется получить.  В любой момент под рукой должна быть сводная
информация вида "кто пожрал канал" - Top несколько пожирателей канала.
Статистика (можно переключаемо вручную): за последние сутки-двое (с
детализацией по часам), неделю (с детализацией приблизительно по времени
дня), за пару месяцев (с детализацией по дням).  Детализацию удобно было
бы видеть графиками.  Поскольку у внешнего роутера может быть более
одного внешнего интерфейса, хорошо бы уметь увидеть статистику,
касающуюся только одного из них.

Заинтересовавшие вхождения нужно иметь возможность быстро и удобно (с
точки зрения интерфейса) увидеть с аналогичным подходом (Top несколько,
с детализацией) по: протоколам (в понимании IP,
т.е. ICMP/UDP/TCP/что-там-еще-бывает), хостам (с кем в основном
обменивался пакетами заинтересовавший меня наш внутренний хост), внутри
протоколов TCP/UDP - по портам.

Собственно, задачи, которые хочется решать: 

- сколько мы пожрали трафика за отчетный перед провайдером период

- кто пожрал внешний канал

- чем он его пожрал (трояна словил, за ненужными апдейтами ломанулся
  мимо родного WSUS'а, торрент торрентит, и т.п.)

- где узкие места в локальной сети

При этом на роутерах софта должно быть по минимуму - особенно софта,
слушающего какие-то соединения.  Категорически отказать апачу, а за
выполнение aptitude install php<что-угодно> на роутере у нас применяется
корпоративный расстрел на месте.  На машине, которая показывает
результаты админу или начальнику, можно и пыхпых.

Поскольку внешний роутер маскарадит, то, вероятно, снимать надо ULOG'ом.
pcap'ом либо его собственный внешний трафик не увидишь, либо детализацию
по внутренним адресам не получишь.

Насколько я понимаю, мейнстрим формата съема на одной машине с
обработкой на другой - это NetFlow.  Но если со снималкой для него вроде
все понятно - fprobe-ulog, остальные ulog-варианты не умеют NetFlow, то
вот с дальнейшей обработкой и визуализацией хотелось бы почитать мнение
тех, кто этих устриц ел.

-- 
Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех
героев напрочь, и ушел.
	Gimli on #arda
Reply to: