kapydan Опубликовано 17 апреля, 2023 · Жалоба "Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем" только так и получится. ну когда я боролся с подобными проблемами от провайдеров, то предоставлял дампы трафика с портов свичей. в особо тяжелых случаях, еще графики из заббикса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 18 апреля, 2023 · Жалоба 7 часов назад, kapydan сказал: "Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем" только так и получится. ну когда я боролся с подобными проблемами от провайдеров, то предоставлял дампы трафика с портов свичей. в особо тяжелых случаях, еще графики из заббикса. Я в одном случае показывал netflow, вот трафик вышел к Вам, и все, до меня не дошел, ищите (скорее всего проблема в том, что свитчи не пропускают трафик eapol ( the L2 switches should bypass the encrypted packets without any processing of the encryption.), это особо упоротые коммутаторы), причем решилось тем, что я поднял xconnect через провайдера, показал что точки на macsec стыкуются (исключив их ответы это Вы не правильно настраиваете) и спросил куда отправить письмо на расторжение, через два дня они проблему решили вот прям уверен, у них layer2-protocol-tunneling не используется, в итоге пакеты попадают на обработку промежуточному коммутатору Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 18 апреля, 2023 · Жалоба Пытался снять дамп средствами циски Monitor capture и самое интересно даже нет отправки EAPol пакетов, чё за дичь 🙂 Ладно бы они с порта выходили и не доходили, а их просто нет 😄 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 19 апреля, 2023 · Жалоба 18 часов назад, Pon97 сказал: Пытался снять дамп средствами циски Monitor capture и самое интересно даже нет отправки EAPol пакетов, чё за дичь 🙂 Ладно бы они с порта выходили и не доходили, а их просто нет 😄 Как бы я сделал в Вашем случае, воткнул свитч после коммутатора macsec в промежуток перед провайдером (чисто снять дамп и показать что трафик бежит от Вас) и на нем снять span, тогда Вы увидите что трафик идет шифрованный, после разобрать и отдать дамп провайдеру, либо попросить провайдера на их сети снять дамп Так как на текущем коммутаторе Вы не сможете снять дамп (шифрование происходит на ASIC порта), у меня macsec бежит через мои узлы до провайдера (коммутаторы которые прозрачно пропускают macsec пакеты - Catalyst 9000 switches forward transparently packets with Clear Tag starting in 16.10(1)) и я могу посмотреть и netflow и дамп снять на них - спецом так сделал давно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 19 апреля, 2023 · Жалоба "Пытался снять дамп средствами циски Monitor capture" - в данном случае будет лучше обычный span+wireshark. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 21 мая, 2023 · Жалоба Коллеги всем спасибо, решили проблему убрав пограничные коммутаторы H3C провайдера, и провайдер сделал нам тунель на своих Juniper'ах и сраз всё заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 21 мая, 2023 · Жалоба 4 часа назад, Pon97 сказал: убрав пограничные коммутаторы H3C провайдера Хм, h3c на последних прошивках поправили этот косяк, видел где то это как bug Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 23 мая, 2023 · Жалоба ну у нас провайдер предложил сам, давайте уберем, мы не против, убрали и всё заработало 🙂 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...