artplanet Posted October 23, 2018 Добрый всем. Нам нужно снять дамп трафика через port mirroring - но снимать нужно не все пакеты - а к примеру каждый 1000 пакет. суть задачи в том - что нам нужно определить мак адрес роутера - который отправляет к нам определенный трафик (дело происходит внутри IX, где все участники внутри одного влана) и разумеется трафик который к нам отправляют - имеет подменный сурс ip - поэтому по ip не найти того - кто отправил трафик так вот - обычным порт миррорингом снять дамп не проблема, да и найти там мак легкое дело. Но вот когда скороть потока 10ге - это становится сложно поэтому хотим как то сказать циске - слать каждый 1000 пакет в порт мирроринг или даже реже. netflow не катит - там нет мак адресов роутеров которые отправили пакет. так же у нас есть sflow - судя по гуглю он умеет слать mac адреса однако на нашей Nexis 3064 sflow counter-poll-interval 10 sflow collector-ip x.x.x.x vrf default source x.x.x.x sflow agent-ip x.x.x.x sflow data-source interface port-channel111 мак адреса не шлются. Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 23, 2018 Если IX не крупный, то ACL-based trafic mirroring, в ACL матчить всё адреса, отличающиеся от IP участников. Share this post Link to post Share on other sites More sharing options...
artplanet Posted October 23, 2018 2 часа назад, TheUser сказал: Если IX не крупный, то ACL-based trafic mirroring, в ACL матчить всё адреса, отличающиеся от IP участников. это дурной тон - да и сложный. 70к маршрутов - плюс кто то может не анонсить свою сеть но слать от нее трафик. в общем много ложных срабатываний. Сейчас смотрим в сторону обычного tcpdump - и смотрим как в нем заставить писать на винч дамп в который будет сохраняться каждый 1000 пакет. Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 23, 2018 А если только заголовки пакетов пусть и всех? Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 23, 2018 1 час назад, artplanet сказал: 70к маршрутов Это уже серьезно. Ставьте на постоянку Linux + 10G карту, снимайте весь трафик через TAP-ик, и начинайте пробовать с простых вариантов (tcpdump) в сторону сложных (DPDK). Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 24, 2018 (edited) sflow должен слать какое-то количество первых байт пакета да ещё и семплинг должен уметь, что б слать 1 из Х пакетов Edited October 24, 2018 by GrandPr1de Share this post Link to post Share on other sites More sharing options...
