Пример 8

Задача
Вы - администратор крупного Интернет-провайдера (ISP). Ваш ISP имеет подключение к Интернет 10Мбит/c, около 200 пользователей (например, они имеют IP адреса 192.168.0.0/24), которые создают 5000-10000 активных сессий одновременно. Вы хотите записывать все пакеты, переданные между Интернет и вашими пользователями. Каково наилучшее решение?

Решение
Для этого сценария, применение стратегии "Один фильтр - один пользователь" не эффективно из-за сложности в управлении набором фильтров из 200 фильтров. Самый простейший способ - создать фильтр "Пользователи - Интернет" и включить Протоколирование пакетов.

 РћР±СЂР°С‚ите внимание

• Для того, чтобы использовать правило СЃ типом адреса "IP адреса глоб. сети", РІС‹ должны заполнить Таблицу Локальных Адресов

Так как Коллектор Пакетов имеет размер в 2000 позиций, существует вероятность его переполнения из-за слишком большого количества активных сессий. Это означает, что не все собранные пакеты будут протоколированы. Для избежания этой проблемы, вы можете уменьшить пероид сброса Коллектора Пакетов до 10 секунд или применить так называемую "балансировку" для Коллектора Пакетов. Суть балансировки - это логическое деление (не физическое деление!) вашей сети на несколько подсетей и протоколирование пакетов для каждой подсети используя независимый Коллектор Пакетов:

Если вы будет получать сообщение "Переполнение Коллектора Пакетов (Packet Collector is full)" для любого из фильтра с маской /26, вам следует подумать над логическим делением вашей сети на более мелкие подсети (например, использовать маску сети /28).

Возможно ли создать Коллектор Пакетов неограниченного размера?

Да. Но он не будет эффективным. Для того, чтобы поместить новый пакет в Коллектор пакетов, необходимо найти для него подходящую позицию. Поиск подходящей позиции - трудоемкая операция (с точки зрения циклов процессора), т.к. нужно просмотреть весь коллектор пакетов от начала до конца.