[GTER] RES: dimensionamento de equipamento para netflow
Patrick Tracanelli
eksffa at freebsdbrasil.com.br
Sat Jan 31 00:29:36 -02 2015
On 01/30/15 18:32, Paulo Coimbra wrote:
> Estou pensando em um ServerU-L100 para essa aplicação. Será que é
> suficiente??
Bom dia Paulo,
A ServerU L-100 em kernel-path da pra rodar o NFsen ou um Cacti com
Flowviewer pra 1Gbit/s recebendo flow sampleado, ou, caso queira
levantar informacões em algum ponto onde você não tem um flow exporter,
você pode até espelhar porta, rodar o softflowd ou netgraph flow e
gerar/exportar flow pra voce mesmo (loopback).
Com a mesma L-100 você pode rodar o IDS pra 1Gbit/s, que vai dar uns
200Kpps a 210Kpps, e sobra máquina.
No entanto, não, você não conseguirá usar as duas coisas junto na mesma
máquina se for kernel-path.
E ai está o pulo do gato.
Se me permitir meter o pitaco no seu projeto, você pode continuar com as
opcões pra flow disponíveis (gosto do nfsen pra essa finalidade específica).
O que eu mudaria no projeto é sua escolha de IDS. Se você tocar o Snort
pelo Suricata como IDS, além de ter um engine melhor (em recursos e
performance), você pode usar o Suricata em modo Netmap.
E ai nesse caso tudo muda: 200Kpps da menos de 20% do que você consegue
fazer com o Suricata em modo Netmap na L-100. Ou seja sobra muita
máquina pra sua telemetria por netflow.
A mudanca de software no projeto é mínima, especialmente levando em
conta que o Suricata pode usar as mesmas rules do Snort então a curva de
aprendizado se alguma, é mínima: um .conf zoado e poluído substituído
por um .yaml menos comum mas mais enxuto.
Ja na topologia, mudaria:
Em modo netmap voce nao poderia fazer trunking (ainda) então como a
L-100 tem 6 portas de 1Gbit/s, usar só uma porta fica muito na linha de
corte do que você quer, então o ideal seria um trunking unilateral (só
no switch) sem LACP nem nada que dependa das duas pontas: manda RX em
load balance pra L-100. Ela vai receber em duas portas em modo netmap, e
o IDS vai processar o que chegar em qualquer porta. Como o espelhamento
é passivo não vai ter TX nessas portas então o trunking no lado ServerU
é dispensável.
Ja no flow, você vai usar outras 2 portas em modo tradicional
(kernel-path, sem netmap), também com trunking unilateral ou até com
lagg(4) mas que também não vai fazer a menor diferenca ja que pra que
agregar um TX que nunca existirá não é? Ou será mínimo: console, ssh,
webgui do nfsen...
Mas se quiser ainda tem 2 portas pra esses acessos de gerencia e afins.
Espero ter ajudado.
Abracos.
More information about the gter
mailing list