Jump to content

Учёт трафика на VLAN`ах :-)

Forst
 Share

Recommended Posts

Forst

Forst

Posted
Posted

Доброго времени суток. Вобщем ситуация такая.

Есть сервер. В него приходит канал от провайдера. Выделен диапазон белых адресов x.y.z.0/24

Далее цепляется к коммутатору третьего уровня. от него идут каналы на коммутаторы второго уровня и далее на компы.

Вобщем часть компов имеет серые адреса и объеденены в один общий влан.

Компы имеющие белые адреса цепляются на отдельные вланы.

Необходимо как-то реализовать всем выход в и-нет и подсчёт трафика (чтобы сервер нетФлоу формировал).

 

Вобщем как я вижу решение.

Интерфейсу сервера (eth0) смотрящему на провайдера назначить ип адрес x.y.z.254.

eth1 (смотрит в сеть) ничего не назначать, а прицеплять к нему vlan`ы

например vlan с серыми адресами будет eth1.2

вланы с белыми eth1.100 - eth1.120

С помошью iptables сделать SNAT на eth1.2

eth1.100 - eth1.120 объединить в бридж (br0) и назначить его на eth0.

В коллекторе трафик (ndsad например) выставить интерфейсы для учёта eth1.2 и br0

или надо указывать ему eth1.2 и eth1.100 - eth1.120 ?

Может я чего-то недогоняю. Может есть более простые решения.

 

З.Ы. на сервере linux, gentoo. коммутатор третьего уровня NetFlow формировать не умеет

Спасибо, за помощь.

user_anonymous

user_anonymous

Posted
Posted
Вобщем как я вижу решение.

Интерфейсу сервера (eth0) смотрящему на провайдера назначить ип адрес x.y.z.254.

eth1 (смотрит в сеть) ничего не назначать, а прицеплять к нему vlan`ы

например vlan с серыми адресами будет eth1.2

вланы с белыми eth1.100 - eth1.120

С помошью iptables сделать SNAT на eth1.2

eth1.100 - eth1.120 объединить в бридж (br0) и назначить его на eth0.

В коллекторе трафик (ndsad например) выставить интерфейсы для учёта eth1.2 и br0

или надо указывать ему eth1.2 и eth1.100 - eth1.120 ?

Может я чего-то недогоняю. Может есть более простые решения.

ИМХО ужас.

 

У вас фактически есть две задачи.

1. Снять нетфлоу с белых адресов

2. Снять нетфлоу с серых адресов, перед тем, как они будут пропущены через NAT

 

Если вы будите снимать поток с eth0 - вы получите решение задачи номер 1 + снимите ВЕСЬ трафик с сети за натом.

Поэтому для детализации сети за натом надо дополнительно повесить сенсор на eth1.<vlan_id>, на котором у вас сидит сетка с серыми адресами.

В принципе их можно пускать даже на отдельные коллекторы.

Forst

Forst

Posted
  • Author
Posted (edited)

А есть другой способ прокинуть канал с VLAN`ов через eth0 в инет (белые ип адреса) или самы оптимальный вариант объединение Вланов и eth0 в bridge?

Edited by Forst

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.