On Thu, 23 Oct 2003, Sergei Golod wrote: > > написано по просьбе :) > > > > > > > > Вопрос к Игорю: туда будет отправляться весь трафик? Включая TCP_HIT, > > > TCP_MEM_HIT, TCP_DENIED? (названия взяты от сквида, но я думаю вопрос > > > понят). > > > > Да. Весь. Честно говоря, я пока не получил отзывов о реальной работе этого > > модуля, он тестирован на стенде, поэтому нужно с ним быть повнимательнее. > > Посмотрим. А пока еще вопросы: > 1. Будет ли в дальнейшем возможность исключать например уже кэшированый > трафик? Т.е. экспортировать только TCP_MISS или задаваемые самостоятельно > типы.
в принципе сделать несложно - вся необходимая информация в модуль попадает. > 2. Какие именно адреса подставляются в поле src и другие поля? Адрес прокси src - адрес откуда взят документ(peer/http-server), dst - адрес клиента. аналогично ASN. > сервера и соответсвенно порт прокси? Или адрес и порт откуда пришел ответ на > запрос клиента? Т.е. как будет отличаться например одна запись в нетфлоу, > если клиент пошел через прокси или пошел напрямую на один и тот же хост? Отличаться будет, конечно. но не полями src,dst,src_as,dst_as. Не учитывается траффик от клиента. > Если клиент идет напрямую, то информация которую сольет рутер ясна - > srcaddr:srcport - dstaddr:dstport. Как можно будет отличить записи в > нетфлоу, которые сделал oops от записей сделанных другими > flow-collector-ами. Ну как минимум по ip-адресу экспортера :) На самом деле - еще по полям в header-e пакета, но учитывают ли их flow-коллекторы - не знаю. Я пользуюсь cflow - не нашел отражения полей 20 engine_type Type of flow-switching engine 21 engine_id Slot number of the flow-switching engine в его дампе. еще - все snmp-индексы равны нулю, и вообще - всё, что не определено - обнулено. > > С уважением, Сергей. > > p.s. И все-таки это очень красиво! :))) Я полез в списки рассылки squid и > пока не нашел аналогичной вещи. > > > ===================================================================== > If you would like to unsubscribe from this list send message to > [EMAIL PROTECTED] with "unsubscribe oops" in message body. > Archive is accessible on http://lists.paco.net/oops-rus/ > Igor Khasilev | PACO Links, igor at paco dot net | ===================================================================== If you would like to unsubscribe from this list send message to [EMAIL PROTECTED] with "unsubscribe oops" in message body. Archive is accessible on http://lists.paco.net/oops-rus/
