[Uneex] Предложения к семинару про учет траффика.

Constantin Stefanov cstef на parallel.ru
Пт Окт 17 13:57:57 MSD 2003 

Добрый день.

Вот мои предложения по темам обсуждения к семинару. Написано несколько в 
вольном стиле, но академической строгости я и не стремился добиться.
Там указаны несколько мест, где у меня пробелы со знаниями, 
соотвественно, хотелось бы, чтобы кто-то их закрыл, либо мне придется 
упоминать только на уровне концепций или вообще только упоминать.
Как всегда, предложения и дополнения привествуются. Если надо то же 
оформить в HTML или как-то еще подредактировать, скажите - будет.
--------------------------------------------------------------------
1. Анализ траффика - зачем это нужно.
  - Статистика и billing.
  - Прогнозирование проблем.
  - Решение текущих проблем (вирусы, ошибки в настройке и т.п.)
2. Анализ траффика целевой и фоновый.
  - Целевой - tcpdump и тому подобное.
  - Фоновый - собственно то, о чем хотелось бы поговорить.
3. Общая схема системы учета траффика.
4. Источники информации о траффике.
  - Коммутаторы.
  - Пакетные фильтры.
  - Анализаторы на основе bpf.
  - Анализаторы на основе divert.
  - Ядерные модули.
  - Cisco accounting и NetFlow (вот тут у меня полный провал, если кто-то
    может рассказать про эту часть - хорошо.
5. Агрегация - для чего и зачем.
  - Первичная - то, что делает источник информации.
  - Классы траффика
  - Просто входящий и исходящий.
  - Ntmtools - интересная разработка, недавно про нее узнал.
6. Хранилище информации.
  - Текстовые файлы.
  - SQL.
  - Альтернативные методы (встраиваемые БД, спец. БД). Тут у меня тоже
    провал, если кто-нибудь что-нибудь знает, то был бы рад услышать, иначе
    надо будет выкидывать.
7. Как все это показать пользователю.
  - Разделение доступа.
  - Способы отображения: табличка, MRTG, RRD tools.

Теперь комментарии.
1-3 - так, общие слова.
4 - я всю эту информацию собирал применительно к FreeBSD, когда решал, что
же я сам буду использовать. Я думаю, что аналогичные механизмы существуют
и в других UNIX-like системах, но хотелось бы помощи, чтобы упоминать
корректные названия из аналогов в других системах. Хотя, думаю, что если я
даже объясню общие принципы и свое мнение о "за и против", уже будет 
полезно.
5 - Я привел только такие типы агрегации, про которые слышал. Дополнения
приветствуются.
6 - Тут, как всегда, проблема скорости-удобства. Возможна очень интересная
дискуссия, перерастающая во флейм.
7 - Я страшно не люблю писать интерфейсы. Но надо. Поэтому опять же на
уровне концепций, но для полноты картины упомянуть надо.
Лично для меня основной интерес представляют пункты 4-6 и 7 в части
разделения доступа (я хочу прикрутить к этому LDAP, но пока не могу
разобраться, как правильно настроить ACL).

Литература.
RFC1272 "Internet Accounting: Background"
RFC2722 "Traffic Flow Measurement: Architecture"
RFC2123 "Traffic Flow Measurement: Experiences with NeTraMet"
Обзор биллинговых систем и систем учета траффика
  http://www.opennet.ru/prog/sml/47.shtml

FAQ по учеты траффика во FreeBSD. Но опять же, общие принципы применимы и
к другим системам.
  http://www.opennet.ru/base/faq/faq_traf2.txt.html

Интересная разработка система адптивного агрегирования информации о
траффике. Так, в порядке общей информации.
  http://camelot.iki.rssi.ru/RFFI-02-07-90390
--------------------------------------------------------------------

Константин Стефанов

Подробная информация о списке рассылки Uneex