Jump to content
Калькуляторы

Зерколирование трафик в IP-тунель


Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам.
Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два.
Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

Share this post


Link to post
Share on other sites

Туннель типа EOIP. Туннель собрать в bonding с физическим интерфейсом с типом broadcast. В этом режиме все порты передают один и тот же трафик. Туннель, разумеется, должен строиться с другого физического интерфейса, чем тот, что включается в бондинг. Если используются VLAN - можно не физический порт, а отдельный VLAN засунуть в бондинг. Ни порт, ни VLAN не должны быть членом моста (bridge).

 

Сразу предупреждаю - это НЕ рекомендуемое решение. Во-первых, MTU будет по самому узкому интерфейсу, то есть туннелю. И вообще возможны проблемы с MTU. Во-вторых, загрузка CPU сразу X2. .В третьих, при флапе туннеля или физического порта возможна ситуация "кровь, кишки, евроинтегрировало", когда мусор полетит в непредсказумых направлениях. С STP это все тоже несовместимо.

Share this post


Link to post
Share on other sites

В 18.02.2022 в 20:12, x-rayd сказал:


Имеется 2 маршрутизатора микротик CCR1036, стоят в разных городах и оба доступны по интернету по белым IP адресам.
Необходимо на микротике CCR1036 под номером один весь интернет трафик пользователей, зерколировать на микротик CCR1036 под номером два.
Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

А чего добиться то хотите? Может в таком случае проще один микрот через другой в инте выпускать?

Share this post


Link to post
Share on other sites

X-rayd, здравствуйте.

 

В 18.02.2022 в 20:12, x-rayd сказал:

Между микротиками создан IP-тунель и хотелось бы зеркалировать весь трафик именно в этот тунель.

Как это можно реализовать? И возможно вообще?

 

Форумчанин Jffulcrum посоветовал технически осуществимое, через физическую «петлю» между интерфейсами маршрутизатора, решение, но правильно предупреждает – возможны негативные последствия и серьёзные.

 

Я так же хотел отзеркалировать IP трафик для телефонии, средствами CISCO 2811, по протоколу L2TPv3, чтобы принять и разобрать L2 со своей стороны на CISCO 1812. По сути, трафика было не много, но это привело к «выпадению» CISCO 2811 в глубокий ступор по CPU, схему пришлось разобрать.

 

Возможно, в Вашем случае MIKROTIK и прожуёт зеркальный трафик, пакуя в EoIP, но нет никаких гарантий, что MIKROTIK не «облунеет» от этого и что L2 будет корректно доставлен на Вашу сторону. Так же обратите внимание, что отправляемый по EoIP L2, будет фрагментироваться на входе в тоннель, что ещё добавит нагрузки на CPU.

 

Для себя я решил и добился того, что IP sniffer стал располагаться на удалённой стороне и когда требуется, я могу его использовать. Так, я не мучаю себя и удалённую сторону. Не зная Ваших особенностей, не могу советовать вариант расположить IP sniffer на удалённой стороне, поскольку скорей всего Вы не просто так планируете такую схему. Я просто поделился негативным опытом, схожим по реализации с Вашей задуманной схемой.

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites

Единственное, что приходит в голову, если нет возможности поставить IP sniffer на удалённой стороне, это поставить например MikroTik hEX S, он маленький по габаритам и может питаться по PoE, зеркалировать L2 за счёт встроенного в него свитч-чипа, а EoIP тоннель расположить на CCR1036, заранее выделив под тоннель QoS пиритизацию на WAN интерфейсе, в максимально ожидаемое количество проходящего по тоннелю L2 трафика.

Share this post


Link to post
Share on other sites

Jffulcrum, здравствуйте.

 

В 19.02.2022 в 18:37, jffulcrum сказал:
В 19.02.2022 в 11:15, x-rayd сказал:

Можете пример для консоли скинуть?

/interface bonding add slaves=eoip-tunnel1,ether1 mode=broadcast

 

Ой…, «А чё, так можно было что ли?». Имеется в виду, что в MIKROTIK порт зеркалированного трафика (получателя трафика) не должен быть физическим и его не обязательно внешней Ethernet «петлёй» вводить обратно на маршрутизатор в порт, который будет bridge’ваться с EoIP tun и получится полноценное зеркалирование порта  источника? ;)

 

Правду говорят - Век живи, век учись!

Share this post


Link to post
Share on other sites

На микротике сниффер (Packet Sniffer) есть, надо настроить его на перенаправление портов на удаленный IP и будет вам зеркало.

 

Выбираете интерфейс и нужные классификаторы трафика, на вкладке Streaming указываете IP адрес второго устройства и пользуйтесь.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.