[morfair]

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

[catalist]

а зачем вам для зеркала интерфейсы?

[FATHER_FBI]

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

А как вы будете отличать с какого вилана какой трафик прибежал?

[myth]

tcpdump видит и с метками.

[morfair]

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. При этом отличать с какого vlan'а пришло мне не нужно.

[vitalvas]

tcpdump promisc mode

[Ivan_83]

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

Такой простой.

А ничего что там при тегировании смещения меняются?

 

Чем именно ты в линухе смотришь?

[s.lobanov]

на каких-то свитчах была багофича - на зеркале тупо снимались vlan-ы, попробуйте найти сообщения на эту тему и купить такой свитч

 

а вообще, сказали бы вы лучше что вы делаете. небось какой-нибудь "анализатор" трафика на python-скриптах?

[catalist]

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать.

Вот совсем не по этому! Связи нету между тегами и содержимым пакетов, одно другому не мешает

[orlik]

По идее если вы миррорите трафик значит приложение которое будет получать его , должно смотреть в буфер карточки. И тогда единственный вариант переписать модуль для ядра вашей сетевой таким образом чтоб он вырезал 802.1q тег. Либо , что проще , делать это в приложении.

 

P.S. А для кааких целей используете такое ? Может если будут понятны ввобные то будет проще подсказать решение

[kayot]

А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике?

[morfair]

А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике?

Вот это уже идея, спс.

 

Мне для системы блокировки РКН нужно видеть весь трафик, при этом снимать зеркало с аплинка бордера к магистралу не полноценное решение, т.к. там нет "локального" трафика. Приходится получить трафик с зеркала агрегации, но там всё в тегах.

[sol]

е, т.к. там нет "локального" трафика.

А что, РКН у вас внутрисетевые ресурсы заблокировл?!?

[kayot]

Если не сработает с PCF(есть ли там возможность модификации?) - можно еще проще сделать.

На том же длинке вогнать трафик в qinq uni порт и навесить вторую метку. Софт и железо будет считать что метка там одна, верхняя.

Или сделать vlan mapping на то же длинке, вроде можно ж svlan/cvlan переписывать на любом порту.

[myth]

Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен.

[Nik0n]

Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен.

Есть системы фильтрации, которые из потока зеркалированого трафика при отсылке SYN на заблокированный IP тут же посылают СВОЙ ответ ACK (а в паблик сеть заблокированному IP шлют RST на всякий случай) клиенту и продолжают TCP сессию от имени "заблокированого" IP.

[myth]

Ну, это делается на аплинке.

[myth]

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

[s.lobanov]

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

 

А вот это очень легко. просто шлёшь трафик на gw в сторону нужного хоста, а дальше уже оно маршрутизируется, т.е. по сути это самый обычный спуфиг. Системы блокировок на зеркале именно так и работают. Им даёшь IP, шлюз, а они прикидываются и сервером и клиентом и рассылают всякие tcp-rst

[GrandPr1de]

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

 

лишь бы посты понабивать? :)

[s.lobanov]

GrandPr1de

ну что вы хотите от энтерпрайз-админов?..

[GrandPr1de]

сори за флуд))

GrandPr1de

ну что вы хотите от энтерпрайз-админов?..

 

да нет, ничего

просто руководствуюсь такой логикой:

1) не знаешь - не лезь

2) думаешь что знаешь - тебя исправили, скажи спасибо и почитай мат. часть

3) не уверен, лучше спроси а не утверждай

 

да кого я обманываю, это ж форум! :)

нахера этим заморачиваться если можно писать чушь ведь никто за свои слова не отвечает)))))

сааб по такому принципу хз сколько микротиков впарил лол

[morfair]

Во-первых, как правильно ответил GrandPr1de, ответы можно слать через бордер, а дальше к клиенту они смаршрутизируются.

Во-вторых, локальный трафик может быть не только серый, но и белый. Коннект с одного вашего клиента с белым IP до другого такого же что, идет через магистрала?? Нет, поэтому в зеркале аплинка этого трафа не будет. Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

[myth]

И много народу в вашей сети хостят сайты? Да еще и политические?

[vop]

Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

 

Ну да. Цензура, то сё... :)