Настройка сервиса
Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации etc/dpi/fastdpi.conf.
Общие настройки экспрота статистики
Включение сбора и экспорта статистики:
netflow=1
- 0 или не указано - опция отключена
- 1 - экспорт статистики по протоколам (номерам портов)
- 2 - экспорт статистики по направлениям (номерам автономных систем)
- 4 - экспорт статистики для биллинга
- 8 - экспорт полной статистики по сессиям
Имя сетевого интерфейса, через который будет отправляться netflow со статистикой:
netflow_dev=eth2
Периодичность экспорта данных (в секундах):
netflow_timeout=10
NetFlow по протоколам
IP адрес и номер порта коллектора NetFlow со статистикой по протоколам:
netflow_collector=192.168.0.1:9997
NetFlow по направлениям
IP адрес и номер порта коллектора NetFlow со статистикой по направлениям:
netflow_as_collector=192.168.0.1:9998
Направления по которым производится сбор статистики и агрегация:
netflow_as_direction=1
- 1 - только для внешних автономных систем (подходит для домовых операторов, так как с одной из сторон кроме самого оператора других автономных систем нет)
- 2 - только для внутренних автономных систем
- 3 = 1 + 2 - подходит для транзитных операторов, но так как по AS производится независимая агрегация, то в экпортируемую статистику данные попадут 2 раза - для каждой из AS, участников передачи
NetFlow для биллинга
IP адрес и номер порта коллектора NetFlow со статистикой для биллинга, нужно выделить отдельный коллектор, чтобы данные не смешивались с другой статистикой:
netflow_bill_collector=192.168.0.1:9995
Определение формата передаваемой информации:
netflow_bill_collector_type=2
- 0 - netflow_v5 ( default )
- 1 - ipfix udp
- 2 - ipfix tcp
По умолчанию считается полный объем передаваемой информации, включая заголовки пакетов L1-L7, чтобы учитывались payload и только L3-L7 заголовки необходимо указать параметр:
netflow_bill_method=1
В netflow поле TOS статистики для биллинга передается класс трафика, назначенный DPI, который можно использовать для создания гибких тарифных планов.
Полный NetFlow
IP адрес и номер порта коллектора NetFlow с полной статистикой, нужно выделить отдельный коллектор, чтобы данные не смешивались с другой статистикой:
netflow_full_collector=192.168.0.1:9996 netflow_passive_timeout=30 netflow_active_timeout=300
где
- netflow_passive_timeout=30 время ожидания активности в сессии после которого, если не было активности, сессия считается завершенной и происходит передача по ней информации
- netflow_active_timeout=300 время, через которое сообщается информация по длинным сессиям (т.е. фактически длинные сессии разбиваются на фрагменты данной продолжительности)
В формате netflow5 в полной статистике сохранены оригинальные номера портов, а информация о детектированных протоколах передается в обычно неиспользуемых байтах 46-47. Если требуется проанализировать используемые протоколы, то можно установить настройку, по которой информация о протоколах будет передаваться в номере порта:
netflow_full_port_swap=1
Для совместимости со старыми коллекторами эта настройка действует и для формата ipfix, но использовать ее совместно с ipfix не рекомендуется, т.к. информация о протоколе передается в ipfix в отдельном специальном поле.
Протокол NetFlow не гарантирует доставку пакетов (т.к. работает поверх udp) и если коллектор не справляется с приемом данных, то часть пакетов просто теряется. Передача полной статистики netflow для канала 10G требует от коллектора возможности принимать данные со скоростью не менее 60 Мбит/c. Проверьте возможности вашего коллектора перед направлением на него netflow трафика. В тоже время при передаче netflow из dpi могут кратковременно возникать пики до 100 Мбит/c. Такой поток данных без потерь способны принять немногие коллекторы, например, nfsen/nfdump.
Чтобы сгладить пики и равномернее распределить нагрузку на коллектор установите настроечный параметр
netflow_rate_limit=60
где 60 это максимальный поток netflow в Мбит/c.