Обратите
внимание
Пример 8
Задача
Вы - администратор крупного Интернет-провайдера (ISP). Ваш ISP
имеет подключение к Интернет 10Мбит/c, около 200 пользователей
(например, они имеют IP адреса 192.168.0.0/24), которые создают
5000-10000 активных сессий одновременно. Вы хотите записывать все
пакеты, переданные между Интернет и вашими пользователями. Каково
наилучшее решение?
Решение
Для этого сценария, применение стратегии "Один фильтр - один
пользователь" не эффективно из-за сложности в управлении набором
фильтров из 200 фильтров. Самый простейший способ - создать фильтр
"Пользователи - Интернет" и включить Протоколирование пакетов.
| Фильтр 1. Интернет-трафик всех пользователей. | ||||||||
| N | Тип IP протокола |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Оба направления |
Действие над пакетом |
Условие на значение счетчиков |
| 1 | Любой | 192.168.0.0/24 | IP адреса глоб. сети | Да | Подсчитать | |||
Обратите
внимание
Так как Коллектор Пакетов имеет размер в 2000 позиций, существует вероятность его переполнения из-за слишком большого количества активных сессий. Это означает, что не все собранные пакеты будут протоколированы. Для избежания этой проблемы, вы можете уменьшить пероид сброса Коллектора Пакетов до 10 секунд или применить так называемую "балансировку" для Коллектора Пакетов. Суть балансировки - это логическое деление (не физическое деление!) вашей сети на несколько подсетей и протоколирование пакетов для каждой подсети используя независимый Коллектор Пакетов:
| Фильтр 1. Интернет-трафик пользователей 192.168.0.0/26 | ||||||||
| N | Тип IP протокола |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Оба направления |
Действие над пакетом |
Условие на значение счетчиков |
| 1 | Любой | 192.168.0.0/26 | IP адреса глоб. сети | Да | Подсчитать | |||
| Фильтр 2. Интернет-трафик пользователей 192.168.0.64/26 | ||||||||
| N | Тип IP протокола |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Оба направления |
Действие над пакетом |
Условие на значение счетчиков |
| 1 | Любой | 192.168.0.64/26 | IP адреса глоб. сети | Да | Подсчитать | |||
| Фильтр 3. Интернет-трафик пользователей 192.168.0.128/26 | ||||||||
| N | Тип IP протокола |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Оба направления |
Действие над пакетом |
Условие на значение счетчиков |
| 1 | Любой | 192.168.0.128/26 | IP адреса глоб. сети | Да | Подсчитать | |||
| Фильтр 4. Интернет-трафик пользователей 192.168.0.192/26 | ||||||||
| N | Тип IP протокола |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Оба направления |
Действие над пакетом |
Условие на значение счетчиков |
| 1 | Любой | 192.168.0.192/26 | IP адреса глоб. сети | Да | Подсчитать | |||
Если вы будет получать сообщение "Переполнение Коллектора Пакетов (Packet Collector is full)" для любого из фильтра с маской /26, вам следует подумать над логическим делением вашей сети на более мелкие подсети (например, использовать маску сети /28).
Возможно ли создать Коллектор Пакетов неограниченного размера?
Да. Но он не будет эффективным. Для того, чтобы поместить новый пакет в Коллектор пакетов, необходимо найти для него подходящую позицию. Поиск подходящей позиции - трудоемкая операция (с точки зрения циклов процессора), т.к. нужно просмотреть весь коллектор пакетов от начала до конца.