dadv: (Default)
Choose your future ([personal profile] dadv) wrote2011-10-24 08:11 pm
  • Add Memory
  • Share This Entry
Entry tags:

Тяжела и неказиста

Балансировать входящий трафик по трём каналам с BGP, имея всего два десятка префиксов, дело не вполне тривиальное. Отчаявшись получить от ребят, управляющих биллингом, процентное потребление входящего трафика префиксами, отзеркалировал netflow-трафик (v5) на свою FreeBSD и нарисовал перловый скрипт на 110 строк, который через Net::Pcap выбирает netflow из bpfilter, через Net::NetPacket достаёт из трафика собственно netflow, через Net::Flow его парсит и считает нужные мне проценты.

На десяти мегабитах отзеркалированного netflow скрипт в пиках кушает по 90% одного из четырех ядер Xeon E5420 2.5Ghz, причём всё это время он проводит внутри Net::Flow::decode(). К счастью, пики случаются не всё время. Но ставить в постоянную работу такой CPU-hog боязно.

Update: выкинул Net::Flow и переписал скрипт на ручное декодирование netflow v5 через unpack(). Теперь в пике скрипт грузит CPU на 15% (и это ещё не чистил циклы особо).

Flat | Top-Level Comments Only

[identity profile] mtg-nvkz.livejournal.com 2011-10-24 02:15 pm (UTC)(link)
А с SCE никакая статистика не снимается?

[identity profile] dadv.livejournal.com 2011-10-24 03:10 pm (UTC)(link)
Снимается. А какая разница, откуда снимать?

[identity profile] mtg-nvkz.livejournal.com 2011-10-24 04:34 pm (UTC)(link)
Если Netflow, то никакой. А если ещё какая статистика/агрегация, то есть.

[identity profile] dmarck.livejournal.com 2011-10-24 02:29 pm (UTC)(link)
переписать на си? взять flowtools-ng?

[identity profile] dadv.livejournal.com 2011-10-25 10:53 am (UTC)(link)
Просто выкинул Net::Flow, переделал на ручной unpack(). Резко полегчало (обновил пост).

[identity profile] birdofluck.livejournal.com 2011-10-25 04:19 am (UTC)(link)
Помню, что мониторный интерфейс, что в общем-то налагает..

Может быть, включить promisc и делать ipfw fwd в того, кто честно слушает сокет?

И да, есть еще и flowd с возможностью отдачи скушанного netflow со всех сенсоров в unix socket в своем определенном формате. Куском софтины, которая это жует (для целей предаггрегации) могу поделиться

[identity profile] dadv.livejournal.com 2011-10-25 10:55 am (UTC)(link)
> Помню, что мониторный интерфейс, что в общем-то налагает..

Сам по себе интерфейс в состоянии monitor способен пережевывать сотни мегабит без заметной нагрузки на CPU.

> Может быть, включить promisc и делать ipfw fwd в того, кто честно слушает сокет?

Это будет сильнее грузить, чем ifconfig monitor. А интерфейс и так в promisc.

> И да, есть еще и flowd с возможностью отдачи скушанного netflow со всех сенсоров в unix socket в своем определенном формате. Куском софтины, которая это жует (для целей предаггрегации) могу поделиться

Спасибо, у меня уже всё хорошо стало (обновил пост).
Flat | Top-Level Comments Only