Мониторинг ip адресов сети

наверно, нагрузка была большая не из-за того, что этот netflow такой плохой, а потому что данных очень много? если не урежешь требования, то ничего не поможет

помоему была нагрузка на сервер довольно большая от этого

Нагрузка на какой сервер ? Который flow-collector ? Или имеется ввиду та железка, где был flow-sensor ? Или речь, вообще, про «всё-в-одном на Linux», netflow через какой-нибудь ulog и там же коллектор с flow-tools ?

Ну да, там около 500 машин в сети... То есть netflow only, других решений не существует?

Да тогда был сервер «все-в-одном»... Сервер одним концом смотрит в сеть, другим в 7201, там уже нат... поэтому при сборе netflow с 7201 вместо адресов из сети виден был только адрес сервера доступа, поэтому я тогда решил делать все на сервере... Сейчас вот думаю тоже самое делать, только коллектор на другой сервер вывести...

То есть netflow only, других решений не существует ?

А что такое «кто куда ходил» ? Если речь только про http/ftp, то можно ограничиться каким-нибудь Squid-ом, но промышленное решение, пожалуй, только некий сенсор, который по netflow или jflow какому-нибудь льёт на коллектор.

поэтому при сборе netflow с 7201 вместо адресов из сети виден был только адрес сервера доступа

Значит, не так настроил. Наверняка там можно было и до NAT снять.

поэтому я тогда решил делать все на сервере...

А с ulog я угадал ? Потому как сенсор в виде ulog и сенсор в виде ipt_NETFLOW - две заметные разницы в плане производительности. Так что и «все-в-одном», по идее, должен справиться бы.

И вопрос ещё: а зачем сервер между 7201 и пользователями ?

Если память не изменяет то все делал fprobe... Сервер доступа, тобишь шейпинг, биллинг и вкл-выкл

Если память не изменяет то все делал fprobe...

«fprobe - libpcap-based tool that collect network traffic». Нда. libpcap - это вешалка. Если стандартный libpcap, а не c PF_RING собраный. C PF_RING, говорят, быстр, но я не пробовал.

UPD: ещё fprobe-ulog увидел. Это вот побыстрее наверное. Но ipt_NETFLOW, всё равно, быстрее будет.

Сервер доступа, тобишь шейпинг, биллинг и вкл-выкл

А на 7201 это всё не вышло сделать ? В общем, на мой взгляд, что-то одно тут лишнее. Либо уж всё на Linux, либо всё на 7201 городить.

проблема в том, что на 7201 и так нагрузка не слабая, вечерами проц под 60% нагружен

Чем нагружен?

CEF включён?

npe-g2 (этот самый 7201) должен жевать около 1.8 Mpps - какой там у вас средний размер пакета сейчас?

60% cpu для него - это пустяк. Там cpu на базе power risc (в предыдущих npe - mips) и для него норма в пике 80-85%, отзывчивость консоли вполне сохраняется. (только не надо ssh - код ssh полный отстой).

1.8 Mpps - это обычно считают в пике без сервисов (QoS, netflow, pppoe etc) - но теряете не много. Так что настраивайте QoS прямо на ней. Если у вас там еще full-view то памяти добить до 2GB. Netflow можно включить с sampling если не нужна вот прямо таки точная статистика.