[john321]

Итак проблема:

Нужно пробросить копию трафика до точки фсб. Своей нити нет, хотели использовать чужую побитую на Вланы.

Схема:

Между шлюзом и сетью ставим 3526 и зеркалируем на порт.

Этот порт подключаем к 3828 и вкд.чаем в ВЛАН например 7

Этот влан передаем до точки.

Там стоит 3828 и выдает порт для подключения к фсб.

 

Есть мнение что это не заработает.

Эксперементальная проверка дала противоречивые результаты - часть траыика проходит, а часть нет.

 

Вопросы

1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :()

2. Есть ли рабоающая схема?

3. Где можно искать грабли в екперименте?

[ram_scan]

Мне как-то подозрительно и устойчиво имхается что грабли в слове "DLink". Схема работать должна.

[ayamb]

Вопросы

1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :()

2. Есть ли рабоающая схема?

3. Где можно искать грабли в екперименте?

1. Можно. Если на транзитных коммутаторах в пределах этой VLAN запрещен Learning. (ФСБ не нужны никакие МАСи, как таковые. Им нужен отзеркалированный трафик. Основная проблема в том, что при коммутируемой, хотябы в единственном месте, транзитной VLAN, до ФСБ дойдет только BroadCast.)

2. Есть.

3. От точки забора трафика с зеркала до точки включения оборудования ФСБ, канал не должен быть подвержен какому-либо воздействию на него транзитного оборудования. (В данном случае, грабли - это неизбежная коммутация уже отзеркалированного трафика транзитными коммутаторами.)

[john321]

Уважаемый ayamb.

К сожалению не нашел как можно сделать

в пределах этой VLAN запрещен Learning

. Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще!

В чем может быть дело?

[EvilX]

Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP.

[john321]

Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP.

А проблемы с размером пакета? или на выходе он соберется в такой же?

[witch]

Ну можно пойти через жопу :) :) заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю...

[ayamb]

Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще! В чем может быть дело?

Коммутаторы D-Link воспринимают команду <port learning disable> в том плане, что прекращают обучение коммутатора новым МАС-адресам относительно этого порта (тобишь те что запомнил - работают, а новые игнорируются). А нужно просто сделать коммутатор хабом в отдельно взятом VLAN (чтобы трафик в пределах этой VLAN не коммутировался, а тупо ретранслировался).

заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю...

На честных коммутаторах работать будет. Проверено. На всех D-Link'ах, которые щупал - работать не будет. (3828 - не проверял... - прячется :)

P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :)

[john321]

1. Какие коммутаторы точно работают?

2.

P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :)

Можно перечислить? Я так понял что имеется ввиду инкапсуляция?

Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

3. arcserv это что такое?

4. Или имелось ввиду делать на проброс на уровне IP?

Изменено 1 ноября, 2006 пользователем john321

[nickD]

Облом Игорь.

[Технократ]

Для циски - RSPAN

[ayamb]

1. Какие коммутаторы точно работают?

2. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)

2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".)

(3. сервер BackUp'ирования 4. приемник NetFlow.)

[john321]

1. Какие коммутаторы точно работают?

1. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :(

1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)

2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".)

(3. сервер BackUp'ирования 4. приемник NetFlow.)

1. Использолвать другие коммутаторы, не получится, ветка то не моя :(

2. MPLS, RSP из-за этого тоже нельзя. (RSP что имелось ввиду :)?)

 

Вопрос всем! Кто делал через инкапуляцмю? поделитесь технологией