Jump to content

Проброс данных для СОРМ через VLAN

john321
 Share

Recommended Posts

john321

john321

Posted
Posted

Итак проблема:

Нужно пробросить копию трафика до точки фсб. Своей нити нет, хотели использовать чужую побитую на Вланы.

Схема:

Между шлюзом и сетью ставим 3526 и зеркалируем на порт.

Этот порт подключаем к 3828 и вкд.чаем в ВЛАН например 7

Этот влан передаем до точки.

Там стоит 3828 и выдает порт для подключения к фсб.

 

Есть мнение что это не заработает.

Эксперементальная проверка дала противоречивые результаты - часть траыика проходит, а часть нет.

 

Вопросы

1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :()

2. Есть ли рабоающая схема?

3. Где можно искать грабли в екперименте?

ayamb

ayamb

Posted
Posted
Вопросы

1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :()

2. Есть ли рабоающая схема?

3. Где можно искать грабли в екперименте?

1. Можно. Если на транзитных коммутаторах в пределах этой VLAN запрещен Learning. (ФСБ не нужны никакие МАСи, как таковые. Им нужен отзеркалированный трафик. Основная проблема в том, что при коммутируемой, хотябы в единственном месте, транзитной VLAN, до ФСБ дойдет только BroadCast.)

2. Есть.

3. От точки забора трафика с зеркала до точки включения оборудования ФСБ, канал не должен быть подвержен какому-либо воздействию на него транзитного оборудования. (В данном случае, грабли - это неизбежная коммутация уже отзеркалированного трафика транзитными коммутаторами.)

john321

john321

Posted
  • Author
Posted

Уважаемый ayamb.

К сожалению не нашел как можно сделать

в пределах этой VLAN запрещен Learning
. Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще!

В чем может быть дело?

EvilX

EvilX

Posted
Posted

Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP.

john321

john321

Posted
  • Author
Posted

Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP.

А проблемы с размером пакета? или на выходе он соберется в такой же?

witch

witch

Posted
Posted

Ну можно пойти через жопу :) :) заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю...

ayamb

ayamb

Posted
Posted
Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще! В чем может быть дело?
Коммутаторы D-Link воспринимают команду <port learning disable> в том плане, что прекращают обучение коммутатора новым МАС-адресам относительно этого порта (тобишь те что запомнил - работают, а новые игнорируются). А нужно просто сделать коммутатор хабом в отдельно взятом VLAN (чтобы трафик в пределах этой VLAN не коммутировался, а тупо ретранслировался).
заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю...
На честных коммутаторах работать будет. Проверено. На всех D-Link'ах, которые щупал - работать не будет. (3828 - не проверял... - прячется :)

P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :)

john321

john321

Posted
  • Author
Posted (edited)

1. Какие коммутаторы точно работают?

2.

P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :)

Можно перечислить? Я так понял что имеется ввиду инкапсуляция?

Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

3. arcserv это что такое?

4. Или имелось ввиду делать на проброс на уровне IP?

Edited by john321
ayamb

ayamb

Posted
Posted
1. Какие коммутаторы точно работают?

2. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)

2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".)

(3. сервер BackUp'ирования 4. приемник NetFlow.)

john321

john321

Posted
  • Author
Posted
1. Какие коммутаторы точно работают?

1. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)

2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".)

(3. сервер BackUp'ирования 4. приемник NetFlow.)

1. Использолвать другие коммутаторы, не получится, ветка то не моя :(

2. MPLS, RSP из-за этого тоже нельзя. (RSP что имелось ввиду :)?)

 

Вопрос всем! Кто делал через инкапуляцмю? поделитесь технологией

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.