Forums Neueste Beiträge
 

traffic accounting im Gigabit-Bereich

30/01/2008 - 21:36 von Lars Uhlmann | Report spam
Ich bin nicht ganz sicher, ob die Frage hier paßt aber rein vom Mitlesen
der Gruppe denke ich, daß sie hier am besten aufgehoben ist. Bei anderer
Meinung bitte passend umleiten.

Gesucht ist ein Router (Redundanz erstmal vernachlàssigt) der Traffic
Accounting auf IP-Ebene in einem Gigabit-Netzwerk (Glasfaser) beherrscht.
Desweiteren soll es möglich sein, IP-Pakete zu filtern um bspw.
SSH-Bruteforce-Attacken zu erkennen/blockieren und àhnliches. Wichtig ist
aber auch, daß sich die Latenz der IP-Pakete möglichst nicht veràndert.

Kann man das Thema mit einem entsprechend starken Server und einem
unixoiden Betriebssystem (bevorzugt Linux/*BSD) erschlagen oder erzeugen
theoretische 1Gbit/s zuviel Last für handelsübliche Hardware? Das
Haupt(last)problem sehe ich im zàhlen der Pakete. Die beteiligten,
lokalen IP-Adressen (selbst wenn es tausende wàren) im Speicher zu
halten, deren Zàhler inbound/outbound zu inkrementieren und z.B. im
Minutentakt geeignet (Datenbank?) wegzusicheren, ist IMHO unkritisch!?

Das Accounting auf Protokoll oder Port-Ebene herunterzubrechen, ist nicht
nötig, die Möglichkeit aber wünschenswert. Den Paketfilter erwàhnte
ich bereits.

Setzt man für diesen Zweck besser spezielle Hardware ein? Ich habe in
dieser Hinsicht keine Erfahrung und bin daher für jeden Hinweis dankbar.

Grüße,
Lars
 

Lesen sie die antworten

#1 Jens Link
30/01/2008 - 22:41 | Warnen spam
Lars Uhlmann writes:

Gesucht ist ein Router (Redundanz erstmal vernachlàssigt) der Traffic
Accounting auf IP-Ebene in einem Gigabit-Netzwerk (Glasfaser) beherrscht.



Wie tief willst du in die Pakete schauen. Wenn nein, sollte
evtl. Netflow in Verbindung mit z.B. http://nfdump.sf.net und
http://nfsen.sf.net etwas fuer dich sein. Bei zu viel Traffic kann man
Netflow auch samplen, als nur z.b. jedes 1024 Paket herausfischen.

Desweiteren soll es moeglich sein, IP-Pakete zu filtern um bspw.
SSH-Bruteforce-Attacken zu erkennen/blockieren und aehnliches.



Soll das automatisch oder mauell geschehen?

Wichtig ist aber auch, dass sich die Latenz der IP-Pakete moeglichst
nicht veraendert.

Kann man das Thema mit einem entsprechend starken Server und einem
unixoiden Betriebssystem (bevorzugt Linux/*BSD) erschlagen oder erzeugen
theoretische 1Gbit/s zuviel Last fuer handelsuebliche Hardware?



Wenn Netflow eine Option ist, wuerde *ich* eine passen Cisco Loesung
nehmen und eine Linux fuers Accounting. Ich kenne mich mit beiden
Platformen recht gut aus.

Jens
Berlin: http://www.guug.de/lokal/berlin/index.html
FFG'08 Muenchen: http://guug.de/ffg

Ähnliche fragen