В режиме divert, как и в tee, проводится периодическое устаревание потоков и отправка их на учет «наверх», демону.
Рассмотренный механизм работает, по сути, аналогично Multilayer Switching, реализованному в Cisco Catalyst 6000 и подобных ящиках. Там «быстрый» Switch Engine направляет первый пакет потока «медленному» Route Processor, который определяет, куда маршрутизировать пакет, и проводит проверку правил доступа (access lists). Все последующие после ответа пакеты идут через SE напрямую, и только через некоторое время «наверх» передается статистика о прошедшем потоке. В нашем случае решения о маршрутизации принимать не нужно, в роли «быстрого» движка выступает ядро с его механизмом форвардинга пакетов, в роли «медленного» решателя — демон NeTAMS.
Для начала, вам надо скомпилировать netams, как обычно. Получившийся модуль src/ng_netams.ko необходимо переписать в /boot/kernel/
В дистрибутиве есть скрипт addon/netams–netgraph.sh, который устанавливает в ядро сам модуль ng_netams.ko, устанавливает его режим работы (TEE или DIVERT), вывод отладочной информации, производит подключения к другим нодам NETGRAPH (интерфейсу и ng_tee, если надо)
Запускается этот скрипт через
./netams–netgraph.sh start
останавливается через
./netams–netgraph.sh stop
Для настройки самого NeTAMS необходимо добавить соответствующий сервис в /usr/local/etc/netams.cfg:
service data–source 1
type netgraph
source netams: divert
При этом 'netams:' - это имя модуля NETGRAPH, совпадающее с тем, что написано в скрипте netams–netgraph.sh. Не забываем про двоеточие!
Модуль ядра должен быть запущен ДО демона. В противном случае демон не заработает, как следует. Однако, в процессе работы допускается останавливать и запускать демон NeTAMS, равно как и выгружать и загружать снова модуль ядра (при этом будет 20–секундная задержка в приеме статистики).
Если что–то будет идти совсем не так, упадет ядро :) или блокируется весь трафик!
Работу демона netams можно проверить через просмотр состояния сервиса data–source:
netamsctl show ds
Data–source ID=1 type NETGRAPH source netams::9 loop 0 average 0 mcsec
Perf: average skew delay 0 mcsec, PPS: 0, BPS: 0
IP tree: 7 nodes [12] + 4 dlinks [1024] + 4 unodes [24] = 4276 bytes
Flows: 0/0 act/inact entries (0 bytes), 3 flows sent
HASH: size=65536, 0 flows hashed, 0 nodes used, max chain= 0
FIFO: 0/2 used/ready messages, each 108, total 216 bytes
ds_netgraph data messages: 3
netams: mode=2, pkt_rx=201, pkt_tx=169
flows: active(now)=3, queued(now)=0, blocked(total)=0, total=4