[Saab95]

DGS-3200 нормально хоть все порты зеркалирует в один со всеми вланами. Никаких проблем.

[Andrei]

Д-Линки обычно умеют зеркалить трафик с нескольких портов в один.

...

На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой.

На dgs-3120 можно зеркалировать несколько портов в один порт (на СОРМ-2) и параллельно их же в другой порт - на ИС ASN.1?

[rdc]

нельзя. он не может размножить пакет при зеркалировании.

 

можно извернуться мелким свичом типа DGS-3200-10 с отключённым learning - он прекрасно размножит этот трафик

[unknownameorg]

У нас проблема с зеркалированием трафика на 3120-24SC , файлы битые до СОРМ доходят , что делать хз

[rdc]

у меня 3120-24SC прекрасно зеркалит, не жалуются.

 

полоса зеркала какая?

[unknownameorg]

у меня 3120-24SC прекрасно зеркалит, не жалуются.

 

полоса зеркала какая?

600 мегабит

[Saab95]

Надо посмотреть на предмет задвоения данных или большого количества потерь в интернете или локальной сети. То есть если рассмотреть ситуацию, когда абонент запрашивает файл, он доходит до узла связи и с него зеркалится на сорм, но уже в локальной сети трафик абонента попадает под шейпер, и он часть данных отбрасывает, абонент запрашивает их повторно и на сорм часть пакетов закачки так же приходят повторно. Либо абонент осуществляет закачку в несколько потоков с разных IP адресов источника, и там так же возникают потери, и данные получаются с другого IP и т.п.

[sekuzz]

Провели такой опыт.

Скачивали по http 3 файла одновременно, при этом wireshark писал весь траффик с интерфейса.

В итоге.

Файлы, которые качали целые.

Файлы, извлеченные из дампа wireshark: 2 битых, 1 целый.

 

Как это объяснить?

[Saab95]

Так посмотрите что там записалось, скорее всего или где-то по 2 раза записалось, или файлы скачивались с разных источников по IP. Проверьте простыми закачки, например через FTP с сайта длинка.

[unknownameorg]

Так посмотрите что там записалось, скорее всего или где-то по 2 раза записалось, или файлы скачивались с разных источников по IP. Проверьте простыми закачки, например через FTP с сайта длинка.

В этом все и дело , чекисты дали нам тест на зеркалирование именно скачивание файлов с длинковского фтпшника , качаем обычным браузером без плагинов и прочей ереси. Думали сперва свитч локальный наш 3550 плохо зеркалит- поменяли на другой , толку 0, далее грешили на сетевуху шлюза - поменяли , толку 0, далее грешили на 3120 поменяли )))) толку 0 . Мы даже пытались зеркалить аплинк обычным оптическим делителем, зазеркалили , то́лько ситуация не изменилась . Сперва зеркалили сормом раз 5-6 неудачно , затем мфи софт сказал ребят идите на..., мол файлы битые , мы начали зеркалить просто в комп с вайршарком и с помощью вайршарка экспортируем файлы , максимум из 3 фалов экспортируется 1 , да и то не всегда , пробовал прогой langrabber , та же история , она файлики видит и начинает дампить , только вот дам прерывается на половине или на 70-90% . Мы оптическим делителем разделили аплинк в две дырки , точно исключив косяки на нашей зоне ответственности. Граждане , помогите пионэрам , куда копать ?

Изменено 1 июля, 2017 пользователем unknownameorg

[arhead]

Когда тестировали кольцевой от МФИ тоже трафик битый был стоял DGS-3627. Поставил циску 3750 48 портовую. на зеркалирование подаю аплинки комутеров смотрящих на абонентов. Перед этим по совету YuryD вайршарком проверял все в норме. Но не зеркалируется в агрегитированные порты через remote-span один порт на всю забит второй не пашет. трафика естественно больше чем 1 гб/сек. Когда с чекистами проверял когда был белый адрес без шейпера и т.д. Скачал с длинка пару архивов и видос, с зайцев пару песен и на сайте местной газеты пару новостей прочитал. Сказали все в норме. Вот думаю как зеркалировать более 1 гб/сек создать на каждый порт зеркало.

Изменено 1 июля, 2017 пользователем arhead

[Saab95]

Граждане , помогите пионэрам , куда копать ?

 

Так проблема скорее всего не в зеркалировании, а в самом трафике вашей сети.

[unknownameorg]

Я и не могу понять какого рода данная проблема !

[YuryD]

Вот думаю как зеркалировать более 1 гб/сек создать на каждый порт зеркало.

 

Для мфи не проблема, там в кб и сьемнике несколько сетевых, у меня с разных коммутаторов зеркалится, даже двоение пакетов мфишников не смущает. Ну и естественно - 1Г это и in и out в сумме.

[Saab95]

Я и не могу понять какого рода данная проблема !

 

У вас же есть входящий канал интернета. Заверните его напрямую, попробуйте что-то скачать и проверьте как отзеркалировалось. Если там проблем нет, значит дело уже в вашем оборудовании. Тут все просто. Возможно у вышестоящего какая-то проблема с каналом. Тут, как вариант, попробовать подключить любой другой канал в центре и прогнать его на тест.

[YuryD]

Я и не могу понять какого рода данная проблема !

 

У вас же есть входящий канал интернета. Заверните его напрямую, попробуйте что-то скачать и проверьте как отзеркалировалось.

Там траблем может быть больше, например ваш захватчик зеркала не справляется с трафиком на гигабитном порту, или комп пишуший дамр не справляется, или вы дамп по фтр криво в вирешарк импортили. Для тестов - пишу tсpdump с полными ключами дампа, а уж потом дамп скармливаю акуле.

[zero00]

Тоже были проблемы с битыми файлами в зеркале при внедрении сорм. Поменяли клиента, который скачивает с win10 на win7 - файлы перестали биться. С чем связано, остается только догадываться. Так что не только от коммутаторов зависит.

[sekuzz]

Всем спасибо за участие в данной проблеме.

 

Проблема была в компах, которые писали дампы.

 

Linux, отключение tso/gso, увеличение буферов творит чудеса :)

 

Коммутаторы с самого начала зеркалировали траффик норм.

[Andrei]

Уж сколько лет теме, а она актуальна, т.к. процесс внедрения/модернизации СОРМ бесконечен.

На dgs-3120 можно зеркалировать несколько портов в один порт (на СОРМ-2) и параллельно их же в другой порт - на ИС ASN.1?

нельзя. он не может размножить пакет при зеркалировании.

можно извернуться мелким свичом типа DGS-3200-10 с отключённым learning - он прекрасно размножит этот трафик

Надо с dgs-3120 зеркалировать на СОРМ трафик до НАТа и после НАТа. Трафик до НАТа и после НАТа приходит на разные порты dgs-3120, но сессия зеркалирования на нем только одна. Предлагал отзеркалить весь трафик в одной сессии с разными тэгами до и после НАТа, но МФИ-Софт сказали, что их железка так не сумеет обработать трафик, и надо 2 сессии зеркалирования на разные карточки СОРМа.

Как вы предлагаете включить DGS-3200-10 для такой задачи?

Есть незадействованный Dlink DGS-3000-10TC, тоже должен подойти?

[YuryD]

Ну, да, есть у меня такая траблема. Но в сорме не одна сетевуха, поэтому пришлось прикупить дешевый длинковский гигабитный 8-портовик, перекинуть в него нужные вланы, и отдельно зеркалить в отдельный порт сорма. В одной сессии мой мфи сорм нормально хавает все тегированные пакеты, но тут особенности моей структуры сети конечно, мониторятся сессии до нат, а нат на отдельном компе.

[Andrei]

Т.е. dgs-3120 на 8-портовик в одной сессии отзеркалить трафик до НАТ с одним тегом, после НАТ - с другим, а на 8-портовике разобрать этот трафик по тегам и отдать с двух портов уже нетегированный трафик на 2 разные карточки СОРМа. Я так себе это представляю.

 

Но есть сомнения - если я зеркалирую тегированный трафик с тегированных портов, то в зеркало он прилетает тегированным?

[Andrei]

Поэкспериментировал: если трафик зеркалировать на dgs-3120 с нескольких тегированных портов с разными тегами, то сохраняются ли теги в прилетевшем на зеркало трафике. Тесты показали, что сохраняются.

[YuryD]

Поэкспериментировал: если трафик зеркалировать на dgs-3120 с нескольких тегированных портов с разными тегами, то сохраняются ли теги в прилетевшем на зеркало трафике. Тесты показали, что сохраняются.

3200-10 вполне удовлетворил тех, кому надо. С тэгами не экспериментировал, там везде одинаковые транковые порты.

[Andrei]

С тэгами не экспериментировал, там везде одинаковые транковые порты.

Вот как раз с этим и проблема у СОРМовича, тегированный трафик он не понимает от слова "совсем". Отсюда и эксперименты с тегами.

[buckethead]

Вообще никаких проблем с сормовичем и тегами.