Перейти к содержимому
Калькуляторы

Как вырезать тэг VLAN из входящих пакетов на Linux

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

А как вы будете отличать с какого вилана какой трафик прибежал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. При этом отличать с какого vlan'а пришло мне не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tcpdump promisc mode

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов?

Такой простой.

А ничего что там при тегировании смещения меняются?

 

Чем именно ты в линухе смотришь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на каких-то свитчах была багофича - на зеркале тупо снимались vlan-ы, попробуйте найти сообщения на эту тему и купить такой свитч

 

а вообще, сказали бы вы лучше что вы делаете. небось какой-нибудь "анализатор" трафика на python-скриптах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать.

Вот совсем не по этому! Связи нету между тегами и содержимым пакетов, одно другому не мешает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идее если вы миррорите трафик значит приложение которое будет получать его , должно смотреть в буфер карточки. И тогда единственный вариант переписать модуль для ядра вашей сетевой таким образом чтоб он вырезал 802.1q тег. Либо , что проще , делать это в приложении.

 

P.S. А для кааких целей используете такое ? Может если будут понятны ввобные то будет проще подсказать решение

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике?

Вот это уже идея, спс.

 

Мне для системы блокировки РКН нужно видеть весь трафик, при этом снимать зеркало с аплинка бордера к магистралу не полноценное решение, т.к. там нет "локального" трафика. Приходится получить трафик с зеркала агрегации, но там всё в тегах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

е, т.к. там нет "локального" трафика.

А что, РКН у вас внутрисетевые ресурсы заблокировл?!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если не сработает с PCF(есть ли там возможность модификации?) - можно еще проще сделать.

На том же длинке вогнать трафик в qinq uni порт и навесить вторую метку. Софт и железо будет считать что метка там одна, верхняя.

Или сделать vlan mapping на то же длинке, вроде можно ж svlan/cvlan переписывать на любом порту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен.

Есть системы фильтрации, которые из потока зеркалированого трафика при отсылке SYN на заблокированный IP тут же посылают СВОЙ ответ ACK (а в паблик сеть заблокированному IP шлют RST на всякий случай) клиенту и продолжают TCP сессию от имени "заблокированого" IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

 

А вот это очень легко. просто шлёшь трафик на gw в сторону нужного хоста, а дальше уже оно маршрутизируется, т.е. по сути это самый обычный спуфиг. Системы блокировок на зеркале именно так и работают. Им даёшь IP, шлюз, а они прикидываются и сервером и клиентом и рассылают всякие tcp-rst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга?

 

лишь бы посты понабивать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

GrandPr1de

ну что вы хотите от энтерпрайз-админов?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сори за флуд))

GrandPr1de

ну что вы хотите от энтерпрайз-админов?..

 

да нет, ничего

просто руководствуюсь такой логикой:

1) не знаешь - не лезь

2) думаешь что знаешь - тебя исправили, скажи спасибо и почитай мат. часть

3) не уверен, лучше спроси а не утверждай

 

да кого я обманываю, это ж форум! :)

нахера этим заморачиваться если можно писать чушь ведь никто за свои слова не отвечает)))))

сааб по такому принципу хз сколько микротиков впарил лол

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во-первых, как правильно ответил GrandPr1de, ответы можно слать через бордер, а дальше к клиенту они смаршрутизируются.

Во-вторых, локальный трафик может быть не только серый, но и белый. Коннект с одного вашего клиента с белым IP до другого такого же что, идет через магистрала?? Нет, поэтому в зеркале аплинка этого трафа не будет. Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И много народу в вашей сети хостят сайты? Да еще и политические?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН?

 

Ну да. Цензура, то сё... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.