jagamaster Опубликовано 20 декабря, 2016 · Жалоба Джедаи, Есть маленький узел Internet, ставим минимальный СОРМ. Очень хочется снимать данные с центрального Mikrotik CCR1036-12G-4S. Других вменяемых точек съема не существует, надо городить. Чип коммутации в CCR отсутствует, mirroring трафик получить невозможно. Но можно получить TZSP (UDP-incapsulated) трафик из нужных точек. Направьте, чем можно на лету конвертировать поток TZSP => Mirror? Предполагаю направлять на IP конвертора и выпихивать на отдельный сетевой интерфейс. Пакетные фильтры на linux? Свой демон писать наподобие natd? Вчера ковырялся во FreeBSD ipf decapsulate, но пока безрезультатно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 20 декабря, 2016 · Жалоба В микротике, емнип, есть traffic flow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 20 декабря, 2016 (изменено) · Жалоба В микротике, емнип, есть traffic flow. Traffic flow - обобщенная информация о трафике. Мне же нужен сам трафик. Изменено 20 декабря, 2016 пользователем jagamaster Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 20 декабря, 2016 · Жалоба Джедаи, Есть маленький узел Internet, ставим минимальный СОРМ. Очень хочется снимать данные с центрального Mikrotik CCR1036-12G-4S. Других вменяемых точек съема не существует, надо городить. Чип коммутации в CCR отсутствует, mirroring трафик получить невозможно. Но можно получить TZSP (UDP-incapsulated) трафик из нужных точек. Направьте, чем можно на лету конвертировать поток TZSP => Mirror? Предполагаю направлять на IP конвертора и выпихивать на отдельный сетевой интерфейс. Пакетные фильтры на linux? Свой демон писать наподобие natd? Вчера ковырялся во FreeBSD ipf decapsulate, но пока безрезультатно. http://wiki.mikrotik.com/wiki/Manual%3ASwitch_Chip_Features Делали миррор на трафе порядка 500мбит/с. Это жопа для микротика, как и сам микротик впрочем. В общем херней не занимайтесь. Поставьте обычный l2 коммутатор и снимите с него. А по хорошему снимайте через оптические делители. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 20 декабря, 2016 (изменено) · Жалоба http://wiki.mikrotik...h_Chip_Features Делали миррор на трафе порядка 500мбит/с. Это жопа для микротика, как и сам микротик впрочем. В общем херней не занимайтесь. Поставьте обычный l2 коммутатор и снимите с него. А по хорошему снимайте через оптические делители. Все верно. Мне нужен миррор на 200 мбит. Миррор микротиком можно сделать, когда есть Switch Chip. В моей модели его (так уже сложилось) - нет. Все понимаю, но прежде чем городить L2-L3 агрегацию (маленький узел) хочу окончательно понять что другого пути нет. Имею дополнительные причины, усиливающие мой интерес. Изменено 20 декабря, 2016 пользователем jagamaster Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 20 декабря, 2016 · Жалоба Воткните любой свич длинк и зеркальте на нем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 21 декабря, 2016 · Жалоба Я когда-то писал себе утилитку на коленке https://github.com/nuclearcat/sysadmin-tools/tree/master/tzsp_tap Но вообще затея плохая, чего-то нифига не уверен, что 200 мбит оно протянет без потерь и со стороны моего кода и со стороны микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 28 января, 2017 · Жалоба Низкий поклон Nuclearcat. Конвертор поднят под ubuntu в виртуальной среде (vSphere). Виртуалке выдано 2 ядра от Xeon E5645 2.4 GHz. Загрузка с трафиком ±200 мбит примерно 50%. сниффер на CCR1036-12G-4S справляется красиво, нагрузка на CPU возросла примерно на 5-7% Будем смотреть. Начинаем опытную эксплуатацию. Наше дело правое, враг будет разбит, победа будет за нами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 29 января, 2017 · Жалоба Обязательно проверьте чтобы не терялись полноразмерные пакеты (т.к. TZSP их будет фрагментировать, с таким траффиком возникает масса нюансов). Например c линукса: ping -c 1000 -i 0.001 -s1472 x.x.x.x И посмотрите все ли пришло на зеркало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 29 января, 2017 · Жалоба Все приходит. Все хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 января, 2017 · Жалоба На фре подобное делается на уровне ядра с помощью нетграфа, нужно только две ноды: ng_ether и ng_ksocket соединить и настроить. Можно в инете найти почти готовое решение если гуглить: эзернет тунель на нетграфе. Обязательно проверьте чтобы не терялись полноразмерные пакеты (т.к. TZSP их будет фрагментировать, с таким траффиком возникает масса нюансов). А с чего бы им терятся? Если на тик пришёл пакет 1500 он его завернёт в юдп и порежет на два куска при передаче. На приёмной стороне юдп пакет соберётся из двух кусков на уровне ОС и уйдёт в сокет и получится опять 1500, которые и выплюнет через тап. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 29 января, 2017 · Жалоба Если на тик пришёл пакет 1500 он его завернёт в юдп и порежет на два куска при передаче. На приёмной стороне юдп пакет соберётся из двух кусков на уровне ОС и уйдёт в сокет и получится опять 1500, которые и выплюнет через тап. При большом pps лимиты на недособранные фрагментированные пакеты имеют свойство заканчиватся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 января, 2017 · Жалоба Если MTU на тике и MRU на приёмнике и всё что посредине позволяет то можно юзать пакеты по более чем 1500, куда всё прекрасно влезет без фрагментации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...