ng_ipacct bridge

[daemon]

Добрый всем день!
Есть машинка

Код: Выделить всё

# uname -r
8.1-RELEASE

Собран прозрачный бридж для инет трафика, он же шейпер по инет ИП, плюс третья сетевая с адресом для DNS Slave ну и SSH, через бридж гонятеся интернет траф, инет сетка /28.

Код: Выделить всё

fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2008<VLAN_MTU,WOL_MAGIC>
        ether 00:08:c7:6b:f5:c2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:02:b3:8a:d3:60
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether a2:99:8f:3d:6f:5e
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: fxp1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 2 priority 128 path cost 200000
        member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 200000

... третью сетевую не показываю, она к вопросу отношения не имеет.
Собственно вопрос в том, на каком интерфейсе считать траф ng_ipacct ом, по сути достаточно на любом из fxp, сейчас в конфе указал bridge0 - считает, только вот если траф мониторить в реальном времени

Код: Выделить всё

# slurm -i bridge0
GBytes Received: 1.882 GB             GBytes Transmitted: 1.878 GB

Код: Выделить всё

# slurm -i fxp0
MBytes Received: 1019.395 MB          MBytes Transmitted: 909.677 MB

Код: Выделить всё

 # slurm -i fxp1
MBytes Received: 913.122 MB           MBytes Transmitted: 1017.628 MB

Везде по разному считает за один и тот же интервал времени, что будет верно учитывать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

не трудно заметить, что fxp0+fxp1=bridge0

[daemon]

да понятно, только если учет делаешь с bridge0 ng_ipacct ерунду показывает, долго думал где траф, сбрасывает за 5 минут 3 строчки, переделал на fxp0 - сбросил сразу 15000 строк!
НО fxp0 и fxp1 slurm-ом по разному считается, так что получается надо в ng_ipacct добавлять все два интерфейса? По идее траф проходит через бридж по любому интерфейсу должно быть, траф входит и выходит по any to any дефолт.
Если аналогию с правилами IPFW делать или правилами по интерфейсу любому режем, или добавляем переменную sysctl #sysctl net.link.bridge.pfil_member=0 и режем по bridge

[Гость]

1) ng_ipacct древняя как Г мамонта, я бы ее не пользовал
2) ng_ipacct думаю считает уровень IP, а уровень bridge несколько ниже
3) или считать ng_ipacct отдельно на каждой сетевке, и проверять сойдется ли с ng_ipacct на брижде (думаю сойдется)
либо
4) использовать ng_netflow

[daemon]

3) или считать ng_ipacct отдельно на каждой сетевке, и проверять сойдется ли с ng_ipacct на брижде (думаю сойдется)

В том то и дело, что если

Код: Выделить всё

ng_ipacct_bridge0_dlt="EN10MB"
ng_ipacct_bridge0_threshold="50000"
ng_ipacct_bridge0_verbose="yes"
ng_ipacct_bridge0_saveuid="no"
ng_ipacct_bridge0_savetime="no"
ng_ipacct_bridge0_start=${ng_ipacct_default_ether_start}
ng_ipacct_bridge0_stop=${ng_ipacct_default_ether_stop}
ng_ipacct_bridge0_checkpoint_script="/root/script/ipacct.sh bridge0"

ng_ipacct_fxp0_dlt="EN10MB"
ng_ipacct_fxp0_threshold="50000"
ng_ipacct_fxp0_verbose="yes"
ng_ipacct_fxp0_saveuid="no"
ng_ipacct_fxp0_savetime="no"
ng_ipacct_fxp0_start=${ng_ipacct_default_ether_start}
ng_ipacct_fxp0_stop=${ng_ipacct_default_ether_stop}
ng_ipacct_fxp0_checkpoint_script="/root/script/ipacct.sh fxp0"

по bridge в файл скидывает копейки по три записи за 5 мин, почему то только по 138 и 1900 портам и 17 - UDP
А вот по fxp0 - льёт ручьем, данных полно.
Что по fxp1 - надо смотреть, боюсь еще не совпадение будет. Так и вот на чем считать?
Хорошо, если берем ng_netflow, как им учитывать? на bridge али на fxp0 или fxp1 или fxp0 и fxp1 и как усреднять

[Гость]

у вас там еще третя сетевка фигурирует
и кто его знает как там проходит топология итд
может у вас траффик только через fxp0 сетевку проходит и все
так чего вы тогда от бриджа ожидаете?
хотя да, вы полагаете что в бсд бридж такой как в линуксе? и айпи уровень присутсвует? а вот и нет, обломитесь)
и айпи уровня быть не должно, и что у вас там делает самба 138 и еще какойто 1900 я не знаю

все же пересмотрите топологию и что куда льется и проходит

[daemon]

Остановил ng_ipacct в конф добавил все интерфейсы, прибил все дампы, запустил, подождал пока произойдет нормальный первый сброс по крону, вот что имею (смотрим размеры дампов):

Код: Выделить всё

 # ls -la
total 208
drwxr-xr-x  2 root  wheel     512 20 янв 15:20 .
drwx------  3 root  wheel     512 20 янв 12:59 ..
-rw-r--r--  1 root  wheel      96 20 янв 15:25 2011-01-20-15-bridge0
-rw-r--r--  1 root  wheel     837 20 янв 15:25 2011-01-20-15-em0
-rw-r--r--  1 root  wheel  100118 20 янв 15:25 2011-01-20-15-fxp0
-rw-r--r--  1 root  wheel  102606 20 янв 15:25 2011-01-20-15-fxp1

При этом на третей сетевой em0 трафик не фиг знает какой, а только с одного ИП на другой, т.к. я по SSH работаю, все верно в этом плане, есть трафик от csup, обновлял и пересобирал mc для проверки. А вот по другим интересно да? В файло 2011-01-20-15-bridge0 - копейки и повторюсь порты 138 UDP и 1900 UDP больше ни каких, только две записи. По интерфейсам из которых собран бридж fxp0 и fxp1 траф идет, но нет точных совпадений.

[daemon]

может у вас траффик только через fxp0 сетевку проходит и все
так чего вы тогда от бриджа ожидаете?

Как через одну? не очень понял, прозрачный бридж, есть конец с порта свича провайдера, его втыкаю на fxp0, через fxp1 втыкаю в свой свич, т.е. бридж прозрачный без IP адреса.
То что em0, это совершенно отдельная сетевуха, в которую я втыкаю конец со своего свича уже, т.е. траф однозначно проходит бридж и тоже учитывается.
p/s надо будет убрать этот интерфейс из статистики... т.к. учитывается на бридже уже.
Бридж специально собирался для учета трафа, нарезки каналов. Т.к. дальше внешние адреса расходятся на другие сервера, воип и т.д.

[Гость]

Бридж специально собирался для учета трафа, нарезки каналов. Т.к. дальше внешние адреса расходятся на другие сервера, воип и т.д.

читайте внимательно что я вам пишу

хотя да, вы полагаете что в бсд бридж такой как в линуксе? и айпи уровень присутсвует? а вот и нет, обломитесь)
и айпи уровня быть не должно, и что у вас там делает самба 138 и еще какойто 1900 я не знаю

[Гость]

ps попробуйте на бридж повесить какойто айпи, если нельзя этого будет сделать, то забудте о вашей целе - как о брижде через который вы будете траффик считать

[daemon]

ps попробуйте на бридж повесить какойто айпи, если нельзя этого будет сделать, то забудте о вашей целе - как о брижде через который вы будете траффик считать

1) Хорошо, вешаю я на одну из сетевых бриджа ИП и с этой уже сетевой считаю траф, так?
2) Если траф проходит два интерфейса бриджа он должен совпадать на обоих?
3) Если на п.2. ответ "Да", то если я вещаю ИП на обе сетевые и считаю траф с обоих, то траф должен совпадать?
4) Вообще на какую вешать надо, на ту на которую со свича прова кабель идет, или уже на ту, с которой в мой свич?
p/s чем дальше в лес, тем толще партизаны пока к сожалению картинка не проясняется...

[Гость]

вы десять раз не внимательны
я не говорил вам вешать айпи на сетевку (fxp0, итд) что в брижде (bridge0)
я сказал повесте айпи адресс на бридж (bridge0), насколько я помню такого сделать нельзя
потому что бсдшный бридж != линуксовый бридж
и соответственно нельзя снимать траффик коллектором статистику с самого бриджа (bridge0)

[daemon]

Хм, понял теперь, спасибо.
Если это действительно так, то печально, даже больше... но комент.
Может кто сталкивался, подтвердите информацию.

[Гость]

ну так а кто вам мешает повесить траффик коллектор на все три интерфейса?
и пусть они все три будут в бридже, просто брижем не пользоватся для снятия траффика

[daemon]

ну так а кто вам мешает повесить траффик коллектор на все три интерфейса?
и пусть они все три будут в бридже, просто брижем не пользоватся для снятия траффика

опять не очень понимаю, извиняйте
как повесить трафик коллектор на все три интерфейса? я в начале делал вот так

Код: Выделить всё

ng_ipacct_interfaces="fxp0 fxp1 em0"

Это не то?

[daemon]

Так, изначально несколько не верное было представление, в общем все, действительно надо по всем, там и исходящий и входящий норма.

[Гость]

да то, если скрипт ipacct разработчик не менял

[daemon]

Один фиг, не то что-то, при подсчете трафа на коллекторе по одному ИП получается суммарный 530 Мб, статистика lightsquid показывает только по web трафу - 587.1 Mб
Может при соритровке и подсчете выпадают, делаю сортировку и подсчет следующим образом:

Код: Выделить всё

/bin/cat ${DIR_DUMP}/${SDIR}/${DNAME_EXT} | awk '{print $2,$4}' \
                                          | grep ${NET} | sort -fn \
                                          | awk '{sum[$1]+=$2}END{for(i in sum) print i,sum[i]}' \
                                          | awk '{OFS=" "} {print $1,$2}' \
                                          | sort -fn > ${DIR_SORT}/${SDIR}/${SNAME_EXT}

Это по закаченному трафу. На выходе получаю два столбца. В первом несколько внешних ИП и рядом столбик с байтами.

[daemon]

Хотя в целом погрешность не велика:
стат. провайдер вх 3225.37 ng_ipacct 3150
стат. провайдер исх 629.46 ng_ipacct 633

[Гость]

а причем здесь сквид статистика?
вы еще двадцать трафико считалок поставте и они все разные цифры покажут))

[daemon]

Ну статистика на сквид это как бы стандартно, кто куда, зачем. И потом я поправился, сравнил значения со статистикой провайдера .

[Гость]

а вы увреены что провайдер тоже точно посчитал?
а сквид считает DNS ICMP и прочий траффик?
итд

[daemon]

Да это ясно, такие цифры вполне устраивают.
А по поводу считалок, то их несколько. На бриджевой машине считает только по белым ИП/28 только суммарно чтобы видеть какие ИП загружы. Т.к. после бриджа несколько внешних шлюзов с сервисами. Сквид считает чтобы видеть кто сколько потребляет веб трафа. Ну и планирую типа netams чтобы учитывать еще детализированный траф прочий на инет шлюзовой машине, фтп и т.д. Может избыток, но надо быстро ориентироваться, кто что делает по нету.

[Гость]

поставте ng_netflow и не партесь
там вся детализация
а потом уже найдете готовую или свою сделает грепалку которая и будет суммировать кто что куда и зачем

сквидом считать не имеет смысла, разве что вы им интрнет раздаете пользователям по авторизации