artplanet Опубликовано 23 октября, 2018 · Жалоба Добрый всем. Нам нужно снять дамп трафика через port mirroring - но снимать нужно не все пакеты - а к примеру каждый 1000 пакет. суть задачи в том - что нам нужно определить мак адрес роутера - который отправляет к нам определенный трафик (дело происходит внутри IX, где все участники внутри одного влана) и разумеется трафик который к нам отправляют - имеет подменный сурс ip - поэтому по ip не найти того - кто отправил трафик так вот - обычным порт миррорингом снять дамп не проблема, да и найти там мак легкое дело. Но вот когда скороть потока 10ге - это становится сложно поэтому хотим как то сказать циске - слать каждый 1000 пакет в порт мирроринг или даже реже. netflow не катит - там нет мак адресов роутеров которые отправили пакет. так же у нас есть sflow - судя по гуглю он умеет слать mac адреса однако на нашей Nexis 3064 sflow counter-poll-interval 10 sflow collector-ip x.x.x.x vrf default source x.x.x.x sflow agent-ip x.x.x.x sflow data-source interface port-channel111 мак адреса не шлются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 23 октября, 2018 · Жалоба Если IX не крупный, то ACL-based trafic mirroring, в ACL матчить всё адреса, отличающиеся от IP участников. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 23 октября, 2018 · Жалоба 2 часа назад, TheUser сказал: Если IX не крупный, то ACL-based trafic mirroring, в ACL матчить всё адреса, отличающиеся от IP участников. это дурной тон - да и сложный. 70к маршрутов - плюс кто то может не анонсить свою сеть но слать от нее трафик. в общем много ложных срабатываний. Сейчас смотрим в сторону обычного tcpdump - и смотрим как в нем заставить писать на винч дамп в который будет сохраняться каждый 1000 пакет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 23 октября, 2018 · Жалоба А если только заголовки пакетов пусть и всех? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 23 октября, 2018 · Жалоба 1 час назад, artplanet сказал: 70к маршрутов Это уже серьезно. Ставьте на постоянку Linux + 10G карту, снимайте весь трафик через TAP-ик, и начинайте пробовать с простых вариантов (tcpdump) в сторону сложных (DPDK). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 24 октября, 2018 (изменено) · Жалоба sflow должен слать какое-то количество первых байт пакета да ещё и семплинг должен уметь, что б слать 1 из Х пакетов Изменено 24 октября, 2018 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
