dev и статистики, собираемой через libpcap

0

0

Здравствуйте, имею следующий вопрос: каким образом засчитывается трафик в счетчик интерфейса, допустим eth1 - т.е. по команде ifconfig eth1 выводиться кол-во полученных/переданных байт. Вопрос в том, что попадает в этот счетчик - т.е. arp заголовки, кадры LLC и прочая служебная информация помимо полезной нагрузки или нет?
И какими образом собирается эта статистика: драйвер сетевой карты отдает эти цифры или как то еще?
Просто вопрос возник в связи с тем, что на шлюзе под linux была настроена netams со сбором статистики через libpcap и цифры переданного и полученного траффика шлюзом за день разняться с выводом команды ifconfig примерно мб на 10-15. Ifconfig показывает всегда больше, чем netams. В принципе не много, но за месяц набегает.
Также цифры, выдаваемые netams разняться со статистикой провайдера мегабайт на 20-50 (5-8%) в день. Провайдерская статистика также показывает больше - что тоже не есть хорошо.
Отсюда еще один вопрос - а учитывает ли libpcap служебную информацию или нет?

З.Ы. на том конце у провайдера стоит cisco - поэтому скорей всего он считает через netflow...

З.З.Ы. Вообше то хочется разобраться - это у меня что-то не так настроено или провайдер подвирает? Просто iptables столько мб за день дропнуть не может - проверял, ошибок в канале вроде тож нет - ifstat и ifconfig показывют ошибки по нулям.....

Ссылка

←	Установка VNC на Linux

Удаление атрибута

→

5-8% это ещё фигня :)

Счётчик ifconfig считает пакеты l2+всякие арпы итп, а iptables будет считать l3-трафик. Там ещё куча нюансов. В своё время видел доки где детально описывался механизм работы разных трафикосчиталок и объяснялось почему так выходит, но щас их не нашёл. По памяти пересказывать не буду ибо сильно перевру.

Посмотри сдесь, может, чуток прояснит:

http://netams.com/doc/kb_provider_diff.html

http://wiki.sysfaq.ru/w/index.php/Подсчет_трафика

Ещё на опеннете видел туеву хучу тредов по этому вопросу, не поленись поискать. Там как раз твой случай был описан :)

true_admin ★★★★★
(28.08.08 22:49:52 MSD)

Ответ на: комментарий от true_admin 28.08.08 22:49:52 MSD

Спасибо, буду копать дальше - в принципе на L2 информацию и грешил, неужели она может 10-15 мб то накручивать...
Но вопрос в другом - если провайдер собирает статистику в netflow - туда тоже чтоль L2 попадает и как тогда netams заставить это L2 учитывать?

Sharp777
(28.08.08 23:40:07 MSD) автор топика

Ответ на: комментарий от Sharp777 28.08.08 23:40:07 MSD

То, что провайдер считает по netflow --- ваше предположение. Вроде как есть сертифицированный биллинг, который просто берет счетчик на порту. Спросите у провайдера как он считает, попросите детализированную статистику. А бывает, что просто netflow настраивают неправильно и часть трафика туда попадает дважды...

mky ★★★★★
(29.08.08 11:15:15 MSD)

Ответ на: комментарий от mky 29.08.08 11:15:15 MSD

хм... детализованная статистика у прова есть только по дням, да и работает она через пень колоду... с 14 по 20 августа как будто вообще ничего не качали :). Кстати сегодня заметил еще одну странную весчь - счетчик прова за день показал на 40!! мб больше, чем счетчик интерфейса ifconfig eth1, про разницу с netams вообще молчу.
Интересно, где же истина и что может пров добавлять нам в статистику.....

Sharp777
(29.08.08 14:53:20 MSD) автор топика

Ответ на: комментарий от Sharp777 29.08.08 14:53:20 MSD

>Интересно, где же истина и что может пров добавлять нам в статистику...

Да запросто, незнаю, специально или нет, но один раз со мною такое было, причем добавили задним числом, то есть 31 числа статистика за 27-ое стала на 70 Мбайт больше. А в другой раз, с другим провайдером было подключение по ADSL-модему, и в один день на мой адрес пошла куча UDP-пакетов, причем пачками, примерно по 1 Мбайту. У провайдера статистика снималась с центрального маршрутизатора, через него все эти пакеты проходили, а потом шли в ADSL, они большую их часть пропустить не мог и просто рубил. И когда я заметил это трафик и пожаловался провайдеру, получилось, что у меня около 50 Мбайт не нужных мне пакетов, а по счетчику провайдера больше 300 Мбайт...

Может имеет смысл назвать имя провайдера, поискать по сети ещё недовольных его статистикой... Хотя не знаю, что этом вам даст.

mky ★★★★★
(29.08.08 22:35:02 MSD)

Ответ на: комментарий от mky 29.08.08 22:35:02 MSD

Да провайдер что-то очень скрытный, в инете о нем информацию не нашел :)) да и поменять его мы не можем, так как арендодатели не пускают в наше здание никого больше - типа локальная монополия.... В принципе остался ток он вопрос - если прову предъявить счетчик интерфейса - это будет сколь таки всеким аргументом или пошлют куда подальше?

Sharp777
(30.08.08 12:24:32 MSD) автор топика

Ответ на: комментарий от Sharp777 30.08.08 12:24:32 MSD

>да и поменять его мы не можем, так как арендодатели не пускают в наше здание никого больше - типа локальная монополия....

Знакомая ситуайци, к нам тут из соседнего здания аналогичные арендаторы приходили, хотели поставит wi-fi, вроде на этом расстояние он должен был заработать через оконные стекла, так что антен не будет видно, но не знаю, что у них получилось. По их расчетам комплект wi-fi должен был окупиться за 3 месяца, не знаю, подойдет ли это вам, какие у вас объемы затрат на Интернет, как далеко от вас нормальные провайдеры и т.д.

И ИМХО, к таким провайдерам, лучше не ходить, он знаю, что они локальные монополисты и ведут себя по хамски...

mky ★★★★★
(30.08.08 21:19:44 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка VNC на Linux

Admin

Удаление атрибута

→

Похожие темы