[Барагоз]

Внедряем сорм, требуется отдавать трафик до NAT на съемник. В точке съема помимо абонентского трафика данных есть служебные вланы и IPTV уникаст, который отдавать на съемник нет никакого намерения (каждый мегабит на счету). Зеркалить будем с порта AT-9924T, сделать на нем красиво не нашел возможности. И вообще за годы пионеризма с такой задачей впервые сталкиваюсь.

Пока не до конца понимаю даже теорию. Если я со своего телесина отдаю миррорингом копию трафика на отдельный свич, на котором отключен mac learning и в него воткнуты только линк с миррор порта и съемник - трафик попадет на съемник? И если этот отдельный свич при коммутации поддерживает фильтры нужного уровня, я могу дропать на входящем порту ненужный трафик, как если бы я это делал при обычной коммутации. Верно рассуждаю?

Посоветуйте железку, на которой можно убрать из копии трафика ненужные вланы и были бы L3/L4 фильтры. Полоса вх+вых около 800М.

Edited September 15, 2016 by Барагоз

[Nik0n]

D-Link DGS-3420 точно умеет зеркалить с правилами ACL (но только как include) в том числе и фильтр по VLAN можно организовать.

[Барагоз]

Nik0n, на мой взгляд это как из пушки по воробьям для моей задачи )

[Nik0n]

Я написал с чем сталкивался сам.

Поищите другую модель D-Link - попроще. Можете на форуме d-link поспрашивать.

Ну или кто из форумчан еще идей подкинет :)

[Davion]

Реализовал схему на SNR-4550

все работает)

[pingz]

А нельзя реализовать мироринг с порта браса? При этом канал интернета повешать на отдельный порт чтобы белый трафик не лить.

 

У меня реализовано на EX4550 там можно мирорить отдельные виланы.

[Davion]

а фильтры навешиваете на ex4550?

если да, то можно пример конфига в личку

[pingz]

а фильтры навешиваете на ex4550?

если да, то можно пример конфига в личку

Только виланы абонентов и входящий трафик. Не вижу смысла в фильтрах.

[Барагоз]

Реализовал схему на SNR-4550

все работает)

Работает именно так, как я себе представляю? Или есть подводные камни?

SNR-4550 это уже даже не пушка, а тополь-м, если продолжать использовать это сравнение ))

 

А нельзя реализовать мироринг с порта браса?

Нельзя, т к браса нет, есть PC микротик)

 

У меня реализовано на EX4550 там можно мирорить отдельные виланы.

VLAN порезать много чем можно, по-моему даже на моем телесине 9924т, суть задачи именно в L3/L4 фильтрации.

Edited September 17, 2016 by Барагоз

[Davion]

Реализовал схему на SNR-4550

все работает)

Работает именно так, как я себе представляю? Или есть подводные камни?

SNR-4550 это уже даже не пушка, а тополь-м, если продолжать использовать это сравнение ))

 

А нельзя реализовать мироринг с порта браса?

Нельзя, т к браса нет, есть PC микротик)

 

У меня реализовано на EX4550 там можно мирорить отдельные виланы.

VLAN порезать много чем можно, по-моему даже на моем телесине 9924т, суть задачи именно в L3/L4 фильтрации.

Да именно так с помощью делителей без зеркалирования + на нем MPLS крутится

[Барагоз]

Да именно так с помощью делителей без зеркалирования + на нем MPLS крутится

Ну вообще делители у меня нигде не упоминались. Не вижу смысла в их использовании до гигабита.

[SyJet]

Nik0n, на мой взгляд это как из пушки по воробьям для моей задачи )

Как раз 3420-26sc и обычно для этих целей и применяют.

[Барагоз]

Как раз 3420-26sc и обычно для этих целей и применяют.

Возможно. Но в моем случае все линки медные, полоса указано какая. Применять железку ценой ~100тр для данной задачи считаю суперизбыточным. Если честно, рассчитываю на что-то шлачное б/у класса не выше того же телесина 9924.

По идее даже ископаемый BPS2000 умеет до гига фильтровать по L2-L4, но вот не уверен, что mac learnig на нем отключается. Да и где уже теперь взять его, а особенно гиговый модуль для него))) Но уровень решения примерно вот такой интересует)

[Nik0n]

Применять железку ценой ~100тр

Погодите цена из яндекса AT-9924T - 240 тыщ. рублей.

Странно что коммутатор не умеет mirror с ACL, длинк в два раза дешевле и умеет (и при этом есть 10г порты).

 

Но в моем случае все линки медные, полоса указано какая.

Есть модели в серии 3420 c медными портами.

[pingz]

 

А нельзя реализовать мироринг с порта браса?

Нельзя, т к браса нет, есть PC микротик)

 

LOL я если тебя правильно понял у тебя PC брас+нат тебе нужно сделать мироринг отдельных виланов. Тебе религия запрещает в твой PC воткнуть еще одну сетевую карточку? И разделить виланы по 2 карточкам те, которые нужно мирорить и те, которые не нужно мирорить. Следовательно мироринг делаешь с 1 порта на вход и на выход у тебя с 1 гб/с сомневаюсь, что технического трафика авторизации абонентов набежит на 5 мб\с

 

Да ты потеряешь 1 порт на коммутаторе, но если для тебя уже это кретично, то наверное стоит побольше железку смотреть на этот узел.

 

ИМХО так будет проще и надежней, чем ставить отдельную железку и ей фильтровать весь трафик.

[Барагоз]

PC брас+нат тебе нужно сделать мироринг отдельных виланов.

+ главное - зафильтровать IPTV уникаст по адресам источников !!

вланы отделить - как раз тривиальная задача.

 

Погодите цена из яндекса AT-9924T - 240 тыщ. рублей.

Забудьте, это было может на старте его продаж)) Цена на вторичном рынке 6-9тр.

[pingz]

PC брас+нат тебе нужно сделать мироринг отдельных виланов.

+ главное - зафильтровать IPTV уникаст по адресам источников !!

вланы отделить - как раз тривиальная задача.

 

Погодите цена из яндекса AT-9924T - 240 тыщ. рублей.

Забудьте, это было может на старте его продаж)) Цена на вторичном рынке 6-9тр.

Юникаст IPTV от микротика идёт?

[Барагоз]

Юникаст IPTV от микротика идёт?

Через него, в точке съема присутствует во всех абонентских вланах.

[pingz]

Юникаст IPTV от микротика идёт?

Через него, в точке съема присутствует во всех абонентских вланах.

Абоненты естественно в пппое тунеле?

 

Скорей вам нужно смотреть в сторону коллектора или как вариант скат.

 

Ещё как вариант нужно больше микротиков.

[dIMbI4]

Продам 9924 sp v2 за 20к))