x-rayd Posted February 18, 2022 · Report post Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам. Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два. Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель. Как это можно реализовать? И возможно вообще? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 18, 2022 · Report post Туннель типа EOIP. Туннель собрать в bonding с физическим интерфейсом с типом broadcast. В этом режиме все порты передают один и тот же трафик. Туннель, разумеется, должен строиться с другого физического интерфейса, чем тот, что включается в бондинг. Если используются VLAN - можно не физический порт, а отдельный VLAN засунуть в бондинг. Ни порт, ни VLAN не должны быть членом моста (bridge). Сразу предупреждаю - это НЕ рекомендуемое решение. Во-первых, MTU будет по самому узкому интерфейсу, то есть туннелю. И вообще возможны проблемы с MTU. Во-вторых, загрузка CPU сразу X2. .В третьих, при флапе туннеля или физического порта возможна ситуация "кровь, кишки, евроинтегрировало", когда мусор полетит в непредсказумых направлениях. С STP это все тоже несовместимо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
x-rayd Posted February 19, 2022 · Report post Не совсем понял как именно вы это имели в виду. Можете пример для консоли скинуть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted February 19, 2022 · Report post В 18.02.2022 в 20:12, x-rayd сказал: Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам. Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два. Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель. Как это можно реализовать? И возможно вообще? А чего добиться то хотите? Может в таком случае проще один микрот через другой в инте выпускать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
x-rayd Posted February 19, 2022 · Report post нужно зеркало трафика для тщательного анализа на второй точке Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted February 19, 2022 · Report post Ничего, что трафик удвоится в обоих местах ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted February 19, 2022 (edited) · Report post X-rayd, здравствуйте. В 18.02.2022 в 20:12, x-rayd сказал: Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель. Как это можно реализовать? И возможно вообще? Форумчанин Jffulcrum посоветовал технически осуществимое, через физическую «петлю» между интерфейсами маршрутизатора, решение, но правильно предупреждает – возможны негативные последствия и серьёзные. Я так же хотел отзеркалировать IP трафик для телефонии, средствами CISCO 2811, по протоколу L2TPv3, чтобы принять и разобрать L2 со своей стороны на CISCO 1812. По сути, трафика было не много, но это привело к «выпадению» CISCO 2811 в глубокий ступор по CPU, схему пришлось разобрать. Возможно, в Вашем случае MIKROTIK и прожуёт зеркальный трафик, пакуя в EoIP, но нет никаких гарантий, что MIKROTIK не «облунеет» от этого и что L2 будет корректно доставлен на Вашу сторону. Так же обратите внимание, что отправляемый по EoIP L2, будет фрагментироваться на входе в тоннель, что ещё добавит нагрузки на CPU. Для себя я решил и добился того, что IP sniffer стал располагаться на удалённой стороне и когда требуется, я могу его использовать. Так, я не мучаю себя и удалённую сторону. Не зная Ваших особенностей, не могу советовать вариант расположить IP sniffer на удалённой стороне, поскольку скорей всего Вы не просто так планируете такую схему. Я просто поделился негативным опытом, схожим по реализации с Вашей задуманной схемой. Edited February 19, 2022 by SUrov_IBM Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted February 19, 2022 · Report post Единственное, что приходит в голову, если нет возможности поставить IP sniffer на удалённой стороне, это поставить например MikroTik hEX S, он маленький по габаритам и может питаться по PoE, зеркалировать L2 за счёт встроенного в него свитч-чипа, а EoIP тоннель расположить на CCR1036, заранее выделив под тоннель QoS пиритизацию на WAN интерфейсе, в максимально ожидаемое количество проходящего по тоннелю L2 трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 19, 2022 · Report post В 19.02.2022 в 11:15, x-rayd сказал: Можете пример для консоли скинуть? /interface bonding add slaves=eoip-tunnel1,ether1 mode=broadcast Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted February 19, 2022 · Report post Jffulcrum, здравствуйте. В 19.02.2022 в 18:37, jffulcrum сказал: В 19.02.2022 в 11:15, x-rayd сказал: Можете пример для консоли скинуть? /interface bonding add slaves=eoip-tunnel1,ether1 mode=broadcast Ой…, «А чё, так можно было что ли?». Имеется в виду, что в MIKROTIK порт зеркалированного трафика (получателя трафика) не должен быть физическим и его не обязательно внешней Ethernet «петлёй» вводить обратно на маршрутизатор в порт, который будет bridge’ваться с EoIP tun и получится полноценное зеркалирование порта источника? ;) Правду говорят - Век живи, век учись! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 19, 2022 · Report post На микротике сниффер (Packet Sniffer) есть, надо настроить его на перенаправление портов на удаленный IP и будет вам зеркало. Выбираете интерфейс и нужные классификаторы трафика, на вкладке Streaming указываете IP адрес второго устройства и пользуйтесь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
x-rayd Posted February 20, 2022 · Report post Saab95, да этот вариант тоже расматриваем, проблема нагрузка на CPU. CCR1036 не загнется при 200 Мбит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 20, 2022 · Report post Нет, эти операции он и на скорости 1Г делал, больше не требовалось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
x-rayd Posted February 28, 2022 · Report post А что думайте по поводу правила в Mangle (Sniff TZSP)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...