Jump to content
Калькуляторы

Зеркалирование трафика для реализации СОРМ

Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.

Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками?

Share this post


Link to post
Share on other sites
Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.

Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками?

А отзеркалировать vlan'ы указанный вами Nortel может?

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.

Edited by networks

Share this post


Link to post
Share on other sites

Да, странно. Может просто неправильно изучены возможности свитча и он все таки умеет это.

Share this post


Link to post
Share on other sites
Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.
не ну нах, не дай бог чего, фсбшники такую весёлую жизнь устроят за отключение их игрушки

имхо - cisco ^)

Share this post


Link to post
Share on other sites

Доку читал.

 

All ports that are involved in port mirroring must have memberships in the

same VLANs. If a port is configured for port mirroring, the port’s VLAN

membership cannot be changed.

Т.е. порт, с которого зеркалится трафик, и порт, куда зеркалится трафик, должны быть в одном vlan-е. А порты аплинков-то в разных vlan-ах. :(

 

the designated monitor port can be set to monitor traffic in any of the following modes:

• Monitor all traffic port X receives.

• Monitor all traffic port X transmits.

• Monitor all traffic port X receives and transmits.

• Monitor all traffic port X receives or port Y transmits.

• Monitor all traffic port X receives (destined to port Y) and then port Y transmits.

• Monitor all traffic port X receives/transmits and port Y

receives/transmits (conversations between port X and port Y)

Т.е. по доке получается, что в лучшем случае можно зеркалировать обмен между портами X и Y, но никак не суммарный трафик с них. :(

 

Хотя в самом свиче есть режим " Monitoring Mode: [ <-> Port X and Port Y <-> ] ".

Но опять же - порты X, Y и порт монитора должны быть в одном VLAN-е. :(

Есть кто-то, кто реально работал с этими нортеловскими свичами?

Share this post


Link to post
Share on other sites

М... Оказалось, что там не Nortel BPS 2000, а Nortel BayStack 450.

Но зеркалирование там делается точно так же.

 

Версия софта:

BayStack 450-24T

Versions: HW:RevB FW:V1.48 SW:v4.5.2.4 ISVN:2

 

Share this post


Link to post
Share on other sites

Да, все нортеловские свичи похожи.

Мне вот не доводилось работать с 450ми, по причине их древности.

На нынешней линейке нортеловских свичей в 55хх серии есть такая команда в консоли:

port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist>

 

Попробуйте, если нет, то думаю на 450 вам это не сделать

Share this post


Link to post
Share on other sites

А порт оборудования СОРМ случайно не поддерживает dot1q.

А то можно было положить порт коммутутора к которому подключен СОРМ в несколько vlan как тегированный (транковый) и настроить несколько ip интерфейсов на порту оборудования СОРМ..

Edited by biox

Share this post


Link to post
Share on other sites

biox

На нортеловских свичах нельзя сделать так, чтобы порт, в который зеркалируется трафик был транком.

 

Share this post


Link to post
Share on other sites

печально

Share this post


Link to post
Share on other sites

А если отзеркалить в 3 порта, которые затем воткнуть в один свич? По идее он маков знать не будет, так что все пакеты будут броадкаститься на все порты, и если воткнуть в этот свич СОРМ, то на него все должно упасть в целости.

Share this post


Link to post
Share on other sites
port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist>

 

Попробуйте, если нет, то думаю на 450 вам это не сделать

Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху

                          BayStack 450-24T Main Menu

                        IP Configuration/Setup...
                        SNMP Configuration...
                        System Characteristics...
                        Switch Configuration...
                        Console/Comm Port Configuration...
                        Display Hardware Units...
                        Spanning Tree Configuration...
                        TELNET/SNMP Mgr List Configuration...
                        Software Download...
                        Configuration File...
                        Display Event Log
                        Save Current Settings
                        Reset
                        Reset to Default Settings
                        Logout

Use arrow keys to highlight option, press <Return> or <Enter> to select option.

 

А если отзеркалить в 3 порта, которые затем воткнуть в один свич?
В том-то и дело, что три порта не отзеркалить. :( См. 1й пост.

Share this post


Link to post
Share on other sites

Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху

сорри, забыл что там нет CLI... Ну тогда вариантов у вас нет.

Share this post


Link to post
Share on other sites

Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет?

PS. Только сегодня получил ее со склада, еще не успел доки почитать.

Share this post


Link to post
Share on other sites

Читайте доки.

Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет?

Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же?

На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой.

Share this post


Link to post
Share on other sites

На каталистах можно вообще в специальнообученный влан зеркалиться!

Share this post


Link to post
Share on other sites

Читайте доки.

Да почитаю, конечно. Просто железка нередкая. Может кто и использовал такую ее фичу, если она там присутствует.

Share this post


Link to post
Share on other sites

Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет?

Судя по доке умеет зеркалировать до 8 портов в один одновременно

Share this post


Link to post
Share on other sites
Читайте доки.

Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет?

Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же?

На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой.

На последней бете D-link 3627 можно:

 

0) зеркалить один порт в один

1) зеркалить много портов в один

2) Зеркалить много портов в группу агрегированных портов

3) До 4 сессий зеркалирования, при условии разных портов получателей

4) RSPAN

 

Share this post


Link to post
Share on other sites

Такая беда. DGS 3100-24 зеркалирую порт одной сети с нагрузкой не более 53 метров в пиках на сорм (пока тестируем).

Говорят там что пакеты пропадают.

вырвал их СОРМ воткнулся фрей. снимаю дамп на входе в зеркало и на выходе.

Если гонять пинги, о потерь нет, даже если я проганяю пакет 1300 размеров 1000 в секунду. потерь нет.

А если серфинг сайтов с картинками, где есть басе64 при передаче, или отправляю почту.то идут потери и они не видят почты.

Может быть свич гавно? хотя нагрузки нет. я пробовал и вобще без трафика это делать. т.е. чисто один комп совать и зеркалить.

Или может МТУ жестко выставить? Или там криво реализовано зеркалирование?

Ни кто с подобным не сталкивался?

Share this post


Link to post
Share on other sites

Ну в первую очередь поменяйте на что нибудь другое - 3100 уж очень ущербный в плане своих возможностей.

У нас на циске 3750 все идеально работало. Это я к тому что цены на них сейчас смешные. Например ВОТ.

Share this post


Link to post
Share on other sites

Да вот то и дело что я пробую и на циске и тот же результат. получается что wiresharkом слушаю, собираю картинки а они битые. ( хз уже что думать. может мту там или еще чего.

Share this post


Link to post
Share on other sites

тоже зеркалировали на 3100. страфика 300мбит туда и 300 обратно. СОРМ сдали. запустите просто tcpdump и посмотрите, сколько ядро потеряло пакетов. вообще, wireshark лучше не использовать для потокового анализа даже на 50мбит-трафике. собирайте по фильтрам в tcpdump, а потом анализируйте файл в wireshark.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now