LINUX.ORG.RU
ФорумAdmin

помогите разобраться с сетевыми терминами flows и packets


0

0 

Привет!

снимаю статистику с cisco роутера с помощью netflow. Для анализа использую nfdump + nfsen. Nfsen отображает графики по 3м показателям: flows, packets и  traffic. Вот пример:

Flows:  	 Packets:  	 Traffic:
all:	tcp:	udp:	icmp:	other:	all:	tcp:	udp:	icmp:	other:	all:	tcp:	udp:	icmp:	ot
her:
5.0 k 	3.1 k 	1.8 k 	9.0  	51.0  	646.9 k 	592.2 k 	7.9 k 	27.0  	46.9 k 	187.8 MB 	157.4 MB 	1.2 MB 	2.1 kB 	29.2 MB

смотрим например tcp. 
Flows: 3.1 k, Packets: 592.2 k, Traffic: 157.4 MB.

Трафик - это видимо и есть сколько "нажгло". А вот чем отличается flows и packets? как правильно их трактовать?
anonymous
CentOS 5.1
как промониторить паразитный процесс? 

IMHO:  
flows - "сессии", для tcp оно понятно, а вот для udp или icmp наверно работает по принципу модуля ядра conntrack.
packates - пакеты

tugrik ★★
()
Ответ на: комментарий от tugrik 

> IMHO:  
>flows - "сессии", для tcp оно понятно, а вот для udp или icmp наверно
> работает по принципу модуля ядра conntrack.
> packates - пакеты

т.е.

flows - это вообще пока не понятно...

packets - я думал, что это просто тупо кол-во пройденных пакетов, измеряется в штуках, но в nfsen в таблице о пакетах присутствуют не штуки, а кб, и причем не ровные числа, а например 15.5 кб.

traffic - это собственно трафик, вроде понятно.

anonymous
()
Ответ на: комментарий от anonymous

>flows - это вообще пока не понятно...

Это потоки, для tcp и udp это данные с одинаковыми ip и портами, остальные протоколы, вроде бы, только одинаковые ip.

packets --- пакеты, k --- означает кило (1000), поэтому числа и дробные 592.2 k = 592200

mky ★★★★★
()
Ответ на: комментарий от mky 

> Это потоки, для tcp и udp это данные с одинаковыми ip и портами,
> остальные протоколы, вроде бы, только одинаковые ip.

> packets --- пакеты, k --- означает кило (1000), поэтому числа
> и дробные 592.2 k = 592200 

Просите, но вот вы написали что потоки - это где 
"для tcp и udp это данные с одинаковыми ip и портами". 
Так что меряется в этом случае - кол-во пройденных потоков с
для каждой сессии?

про пакеты: то что К это кило это понятно с самого начала :)
я имею в виду - в данном случае то что меряется, кол-во пройденного (тогда почему в Кб или почему тогда дробные числа?) или трафик пакетов (но тогда почему он не совпадает с графиком "трафик")

извините, если назойлив

anonymous
()
Ответ на: комментарий от anonymous 

>кол-во пройденного (тогда почему в Кб или почему тогда дробные числа?)

Я не совсем понял, где вы увидели "Кб" в отношении пакетов.
Вот ваш первый пост

>смотрим например tcp. 
>Flows: 3.1 k, Packets: 592.2 k, Traffic: 157.4 MB.

3100 потоков, 592200 пакетов, 157400000 байт. 

В чем смысл этих значений. Для коммутаторов измерение траффика в виде "байты/секунда" не является важной характеристикой.
Байты нужны для оценки загруженности канала.
Производительность (загруженность коммутатора) определяют "пакеты/секунда".
Еще один показатель --- поток (совокупность пакетов с фиксированными src и
dst ip-адресами и портами для tcp и udp).
Фактически поток определяется теми полями пакета, которые могут фигурировать в ACCESS-листах.
У маршрутизаторов есть кеш потоков (у "навороченных" моделей --- аппаратный), каждый приходящий пакет ищется в кеше и,
если он не найден, значит это новый поток и его "прогоняют" по ACCESS-листам.
Показатель "потки/секунда" определяет загруженность центрального процессора коммутатора.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
CentOS 5.1
Admin
как промониторить паразитный процесс?