Jump to content
Калькуляторы

Как вырезать тэг VLAN из входящих пакетов на Linux

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

Share this post


Link to post
Share on other sites

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

А как вы будете отличать с какого вилана какой трафик прибежал?

Share this post


Link to post
Share on other sites

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. При этом отличать с какого vlan'а пришло мне не нужно.

Share this post


Link to post
Share on other sites

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

Такой простой.

А ничего что там при тегировании смещения меняются?

 

Чем именно ты в линухе смотришь?

Share this post


Link to post
Share on other sites

на каких-то свитчах была багофича - на зеркале тупо снимались vlan-ы, попробуйте найти сообщения на эту тему и купить такой свитч

 

а вообще, сказали бы вы лучше что вы делаете. небось какой-нибудь "анализатор" трафика на python-скриптах?

Share this post


Link to post
Share on other sites

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать.

Вот совсем не по этому! Связи нету между тегами и содержимым пакетов, одно другому не мешает

Share this post


Link to post
Share on other sites

По идее если вы миррорите трафик значит приложение которое будет получать его , должно смотреть в буфер карточки. И тогда единственный вариант переписать модуль для ядра вашей сетевой таким образом чтоб он вырезал 802.1q тег. Либо , что проще , делать это в приложении.

 

P.S. А для кааких целей используете такое ? Может если будут понятны ввобные то будет проще подсказать решение

Share this post


Link to post
Share on other sites

А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике?

Вот это уже идея, спс.

 

Мне для системы блокировки РКН нужно видеть весь трафик, при этом снимать зеркало с аплинка бордера к магистралу не полноценное решение, т.к. там нет "локального" трафика. Приходится получить трафик с зеркала агрегации, но там всё в тегах.

Share this post


Link to post
Share on other sites

е, т.к. там нет "локального" трафика.

А что, РКН у вас внутрисетевые ресурсы заблокировл?!?

Share this post


Link to post
Share on other sites

Если не сработает с PCF(есть ли там возможность модификации?) - можно еще проще сделать.

На том же длинке вогнать трафик в qinq uni порт и навесить вторую метку. Софт и железо будет считать что метка там одна, верхняя.

Или сделать vlan mapping на то же длинке, вроде можно ж svlan/cvlan переписывать на любом порту.

Share this post


Link to post
Share on other sites

Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен.

Есть системы фильтрации, которые из потока зеркалированого трафика при отсылке SYN на заблокированный IP тут же посылают СВОЙ ответ ACK (а в паблик сеть заблокированному IP шлют RST на всякий случай) клиенту и продолжают TCP сессию от имени "заблокированого" IP.

Share this post


Link to post
Share on other sites

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

 

А вот это очень легко. просто шлёшь трафик на gw в сторону нужного хоста, а дальше уже оно маршрутизируется, т.е. по сути это самый обычный спуфиг. Системы блокировок на зеркале именно так и работают. Им даёшь IP, шлюз, а они прикидываются и сервером и клиентом и рассылают всякие tcp-rst

Share this post


Link to post
Share on other sites

сори за флуд))

GrandPr1de

ну что вы хотите от энтерпрайз-админов?..

 

да нет, ничего

просто руководствуюсь такой логикой:

1) не знаешь - не лезь

2) думаешь что знаешь - тебя исправили, скажи спасибо и почитай мат. часть

3) не уверен, лучше спроси а не утверждай

 

да кого я обманываю, это ж форум! :)

нахера этим заморачиваться если можно писать чушь ведь никто за свои слова не отвечает)))))

сааб по такому принципу хз сколько микротиков впарил лол

Share this post


Link to post
Share on other sites

Во-первых, как правильно ответил GrandPr1de, ответы можно слать через бордер, а дальше к клиенту они смаршрутизируются.

Во-вторых, локальный трафик может быть не только серый, но и белый. Коннект с одного вашего клиента с белым IP до другого такого же что, идет через магистрала?? Нет, поэтому в зеркале аплинка этого трафа не будет. Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

Share this post


Link to post
Share on other sites

Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

 

Ну да. Цензура, то сё... :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.