Перейти к содержимому
Калькуляторы

преобразовать поток TZSP => Mirror (СОРМ) Декапсулировать Mirror traffic из TZSP-потока (обрезать UDP заголовки)

Джедаи,

 

Есть маленький узел Internet, ставим минимальный СОРМ. Очень хочется снимать данные с центрального Mikrotik CCR1036-12G-4S. Других вменяемых точек съема не существует, надо городить. Чип коммутации в CCR отсутствует, mirroring трафик получить невозможно. Но можно получить TZSP (UDP-incapsulated) трафик из нужных точек.

 

Направьте, чем можно на лету конвертировать поток TZSP => Mirror? Предполагаю направлять на IP конвертора и выпихивать на отдельный сетевой интерфейс.

Пакетные фильтры на linux? Свой демон писать наподобие natd?

Вчера ковырялся во FreeBSD ipf decapsulate, но пока безрезультатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В микротике, емнип, есть traffic flow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В микротике, емнип, есть traffic flow.

Traffic flow - обобщенная информация о трафике. Мне же нужен сам трафик.

Изменено пользователем jagamaster

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Джедаи,

 

Есть маленький узел Internet, ставим минимальный СОРМ. Очень хочется снимать данные с центрального Mikrotik CCR1036-12G-4S. Других вменяемых точек съема не существует, надо городить. Чип коммутации в CCR отсутствует, mirroring трафик получить невозможно. Но можно получить TZSP (UDP-incapsulated) трафик из нужных точек.

 

Направьте, чем можно на лету конвертировать поток TZSP => Mirror? Предполагаю направлять на IP конвертора и выпихивать на отдельный сетевой интерфейс.

Пакетные фильтры на linux? Свой демон писать наподобие natd?

Вчера ковырялся во FreeBSD ipf decapsulate, но пока безрезультатно.

http://wiki.mikrotik.com/wiki/Manual%3ASwitch_Chip_Features

Делали миррор на трафе порядка 500мбит/с. Это жопа для микротика, как и сам микротик впрочем.

В общем херней не занимайтесь. Поставьте обычный l2 коммутатор и снимите с него. А по хорошему снимайте через оптические делители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

http://wiki.mikrotik...h_Chip_Features

Делали миррор на трафе порядка 500мбит/с. Это жопа для микротика, как и сам микротик впрочем.

В общем херней не занимайтесь. Поставьте обычный l2 коммутатор и снимите с него. А по хорошему снимайте через оптические делители.

Все верно. Мне нужен миррор на 200 мбит. Миррор микротиком можно сделать, когда есть Switch Chip. В моей модели его (так уже сложилось) - нет.

Все понимаю, но прежде чем городить L2-L3 агрегацию (маленький узел) хочу окончательно понять что другого пути нет. Имею дополнительные причины, усиливающие мой интерес.

Изменено пользователем jagamaster

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Воткните любой свич длинк и зеркальте на нем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я когда-то писал себе утилитку на коленке

https://github.com/nuclearcat/sysadmin-tools/tree/master/tzsp_tap

Но вообще затея плохая, чего-то нифига не уверен, что 200 мбит оно протянет без потерь и со стороны моего кода и со стороны микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Низкий поклон Nuclearcat.

 

Конвертор поднят под ubuntu в виртуальной среде (vSphere). Виртуалке выдано 2 ядра от Xeon E5645 2.4 GHz. Загрузка с трафиком ±200 мбит примерно 50%.

сниффер на CCR1036-12G-4S справляется красиво, нагрузка на CPU возросла примерно на 5-7%

 

Будем смотреть. Начинаем опытную эксплуатацию.

Наше дело правое, враг будет разбит, победа будет за нами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обязательно проверьте чтобы не терялись полноразмерные пакеты (т.к. TZSP их будет фрагментировать, с таким траффиком возникает масса нюансов).

Например c линукса: ping -c 1000 -i 0.001 -s1472 x.x.x.x

И посмотрите все ли пришло на зеркало

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На фре подобное делается на уровне ядра с помощью нетграфа, нужно только две ноды: ng_ether и ng_ksocket соединить и настроить.

Можно в инете найти почти готовое решение если гуглить: эзернет тунель на нетграфе.

 

Обязательно проверьте чтобы не терялись полноразмерные пакеты (т.к. TZSP их будет фрагментировать, с таким траффиком возникает масса нюансов).

А с чего бы им терятся?

Если на тик пришёл пакет 1500 он его завернёт в юдп и порежет на два куска при передаче. На приёмной стороне юдп пакет соберётся из двух кусков на уровне ОС и уйдёт в сокет и получится опять 1500, которые и выплюнет через тап.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если на тик пришёл пакет 1500 он его завернёт в юдп и порежет на два куска при передаче. На приёмной стороне юдп пакет соберётся из двух кусков на уровне ОС и уйдёт в сокет и получится опять 1500, которые и выплюнет через тап.

При большом pps лимиты на недособранные фрагментированные пакеты имеют свойство заканчиватся

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если MTU на тике и MRU на приёмнике и всё что посредине позволяет то можно юзать пакеты по более чем 1500, куда всё прекрасно влезет без фрагментации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.