john321 Опубликовано 27 октября, 2006 · Жалоба Итак проблема: Нужно пробросить копию трафика до точки фсб. Своей нити нет, хотели использовать чужую побитую на Вланы. Схема: Между шлюзом и сетью ставим 3526 и зеркалируем на порт. Этот порт подключаем к 3828 и вкд.чаем в ВЛАН например 7 Этот влан передаем до точки. Там стоит 3828 и выдает порт для подключения к фсб. Есть мнение что это не заработает. Эксперементальная проверка дала противоречивые результаты - часть траыика проходит, а часть нет. Вопросы 1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :() 2. Есть ли рабоающая схема? 3. Где можно искать грабли в екперименте? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 27 октября, 2006 · Жалоба Мне как-то подозрительно и устойчиво имхается что грабли в слове "DLink". Схема работать должна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayamb Опубликовано 27 октября, 2006 · Жалоба Вопросы 1. Возможно ли передавать такой трафик по ВЛАН? (основная проблема вроде что все маки передаваемых на коце фсб не известны :() 2. Есть ли рабоающая схема? 3. Где можно искать грабли в екперименте? 1. Можно. Если на транзитных коммутаторах в пределах этой VLAN запрещен Learning. (ФСБ не нужны никакие МАСи, как таковые. Им нужен отзеркалированный трафик. Основная проблема в том, что при коммутируемой, хотябы в единственном месте, транзитной VLAN, до ФСБ дойдет только BroadCast.)2. Есть. 3. От точки забора трафика с зеркала до точки включения оборудования ФСБ, канал не должен быть подвержен какому-либо воздействию на него транзитного оборудования. (В данном случае, грабли - это неизбежная коммутация уже отзеркалированного трафика транзитными коммутаторами.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
john321 Опубликовано 31 октября, 2006 · Жалоба Уважаемый ayamb. К сожалению не нашел как можно сделать в пределах этой VLAN запрещен Learning. Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще!В чем может быть дело? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilX Опубликовано 31 октября, 2006 · Жалоба Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
john321 Опубликовано 31 октября, 2006 · Жалоба Не. Схема такая не будет работать. Т.к. switching network. Я бы посоветовал посмотреть в сторону упаковки этого потока в L2TP. А проблемы с размером пакета? или на выходе он соберется в такой же? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 31 октября, 2006 · Жалоба Ну можно пойти через жопу :) :) заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayamb Опубликовано 31 октября, 2006 · Жалоба Сделал на портах где ВЛАН Learning disable. Трафик перестал ходить вообще! В чем может быть дело?Коммутаторы D-Link воспринимают команду <port learning disable> в том плане, что прекращают обучение коммутатора новым МАС-адресам относительно этого порта (тобишь те что запомнил - работают, а новые игнорируются). А нужно просто сделать коммутатор хабом в отдельно взятом VLAN (чтобы трафик в пределах этой VLAN не коммутировался, а тупо ретранслировался).заварачиваем весь трафик идущий на шлюз в VLAN, гоним этот VLAN до ФСБ, там делаем зеркало порта на свиче, и заворачивем трафик обратно в шлюз.... ну это так.... бедет ли работать я не знаю... На честных коммутаторах работать будет. Проверено. На всех D-Link'ах, которые щупал - работать не будет. (3828 - не проверял... - прячется :)P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
john321 Опубликовано 1 ноября, 2006 (изменено) · Жалоба 1. Какие коммутаторы точно работают? 2. P.S. Не нужно циклиться на EtherNet в неприкрытом виде. Есть масса более простых способов протащить трафик до нужной точки в неизменном виде. (включая и упомянутый EvilX)... ...обычно обе стороны устраивает вариант установки на их территории резервного коллектора... с arcserv'ом... :) Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :( 3. arcserv это что такое? 4. Или имелось ввиду делать на проброс на уровне IP? Изменено 1 ноября, 2006 пользователем john321 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 3 ноября, 2006 · Жалоба Облом Игорь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Технократ Опубликовано 3 ноября, 2006 · Жалоба Для циски - RSPAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayamb Опубликовано 3 ноября, 2006 · Жалоба 1. Какие коммутаторы точно работают?2. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :( 1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".) (3. сервер BackUp'ирования 4. приемник NetFlow.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
john321 Опубликовано 7 ноября, 2006 · Жалоба 1. Какие коммутаторы точно работают?1. Можно перечислить? Я так понял что имеется ввиду инкапсуляция? Разобравшись в том почему не ходит по описаному выше способу, сразу стоит вопрос: Ведь итрерфейс куда приходит зеркалированный трафик отбросит не предназначающиеся ему пакеты. Т. Е. инкапсуляция не проходит :( 1. Я не великий спец по коммутаторам, и даже если я назову те, на которых Ты точно сможешь реализовать этот "черезжопный" вариант, весь парк оборудования Ты менять не будешь, и это решение только немного отодвинет проблему. C3750 и его "сочипники", AT85xx и L3, 3com 1x00, 3x00, 49xx и L3, Nortel L3. (есть и другие претенденты, но их нужно пробовать.)2. Перечислять не то чтобы долго, а просто это перечисление дается достаточно тяжело, а варианты использования резервной жилки в кабеле, MPLS, RSP для этой цели, будут встречены Тобой без особого энтузиазма... Исли инкапсулировать, то инкапсуляцию лучше производить "посторонним" устройством. (Взять пакет с зеркала отдельным устройством, "завернуть" его в оболочку со своим МАСом, вернуть его обладателю зеркала в порт заранее подготовленного VLAN. А на другом конце VLAN, подобным устройством принять этот пакет и отдать его получателю, предварительно выкинув "фантик".) (3. сервер BackUp'ирования 4. приемник NetFlow.) 1. Использолвать другие коммутаторы, не получится, ветка то не моя :( 2. MPLS, RSP из-за этого тоже нельзя. (RSP что имелось ввиду :)?) Вопрос всем! Кто делал через инкапуляцмю? поделитесь технологией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...