Andrei Posted October 4, 2009 Posted October 4, 2009 Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы. Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками? Вставить ник Quote
Konstantin Klimchev Posted October 4, 2009 Posted October 4, 2009 (edited) Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками? А отзеркалировать vlan'ы указанный вами Nortel может? Edited October 4, 2009 by Konstantin Klimchev Вставить ник Quote
networks Posted October 4, 2009 Posted October 4, 2009 (edited) Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один. Edited October 4, 2009 by networks Вставить ник Quote
SokolovS Posted October 4, 2009 Posted October 4, 2009 Да, странно. Может просто неправильно изучены возможности свитча и он все таки умеет это. Вставить ник Quote
Giga-Byte Posted October 4, 2009 Posted October 4, 2009 Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.не ну нах, не дай бог чего, фсбшники такую весёлую жизнь устроят за отключение их игрушкиимхо - cisco ^) Вставить ник Quote
Andrei Posted October 5, 2009 Author Posted October 5, 2009 Доку читал. All ports that are involved in port mirroring must have memberships in the same VLANs. If a port is configured for port mirroring, the port’s VLAN membership cannot be changed. Т.е. порт, с которого зеркалится трафик, и порт, куда зеркалится трафик, должны быть в одном vlan-е. А порты аплинков-то в разных vlan-ах. :( the designated monitor port can be set to monitor traffic in any of the following modes:• Monitor all traffic port X receives. • Monitor all traffic port X transmits. • Monitor all traffic port X receives and transmits. • Monitor all traffic port X receives or port Y transmits. • Monitor all traffic port X receives (destined to port Y) and then port Y transmits. • Monitor all traffic port X receives/transmits and port Y receives/transmits (conversations between port X and port Y) Т.е. по доке получается, что в лучшем случае можно зеркалировать обмен между портами X и Y, но никак не суммарный трафик с них. :( Хотя в самом свиче есть режим " Monitoring Mode: [ <-> Port X and Port Y <-> ] ". Но опять же - порты X, Y и порт монитора должны быть в одном VLAN-е. :( Есть кто-то, кто реально работал с этими нортеловскими свичами? Вставить ник Quote
BorodaSpb Posted October 5, 2009 Posted October 5, 2009 Andrei А какой софт у вас на BPS? Вставить ник Quote
Andrei Posted October 5, 2009 Author Posted October 5, 2009 М... Оказалось, что там не Nortel BPS 2000, а Nortel BayStack 450. Но зеркалирование там делается точно так же. Версия софта: BayStack 450-24T Versions: HW:RevB FW:V1.48 SW:v4.5.2.4 ISVN:2 Вставить ник Quote
BorodaSpb Posted October 5, 2009 Posted October 5, 2009 Да, все нортеловские свичи похожи. Мне вот не доводилось работать с 450ми, по причине их древности. На нынешней линейке нортеловских свичей в 55хх серии есть такая команда в консоли: port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist> Попробуйте, если нет, то думаю на 450 вам это не сделать Вставить ник Quote
biox Posted October 6, 2009 Posted October 6, 2009 (edited) А порт оборудования СОРМ случайно не поддерживает dot1q. А то можно было положить порт коммутутора к которому подключен СОРМ в несколько vlan как тегированный (транковый) и настроить несколько ip интерфейсов на порту оборудования СОРМ.. Edited October 6, 2009 by biox Вставить ник Quote
BorodaSpb Posted October 6, 2009 Posted October 6, 2009 biox На нортеловских свичах нельзя сделать так, чтобы порт, в который зеркалируется трафик был транком. Вставить ник Quote
Nic Posted October 6, 2009 Posted October 6, 2009 А если отзеркалить в 3 порта, которые затем воткнуть в один свич? По идее он маков знать не будет, так что все пакеты будут броадкаститься на все порты, и если воткнуть в этот свич СОРМ, то на него все должно упасть в целости. Вставить ник Quote
Andrei Posted October 7, 2009 Author Posted October 7, 2009 port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist> Попробуйте, если нет, то думаю на 450 вам это не сделать Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху BayStack 450-24T Main Menu IP Configuration/Setup... SNMP Configuration... System Characteristics... Switch Configuration... Console/Comm Port Configuration... Display Hardware Units... Spanning Tree Configuration... TELNET/SNMP Mgr List Configuration... Software Download... Configuration File... Display Event Log Save Current Settings Reset Reset to Default Settings Logout Use arrow keys to highlight option, press <Return> or <Enter> to select option. А если отзеркалить в 3 порта, которые затем воткнуть в один свич?В том-то и дело, что три порта не отзеркалить. :( См. 1й пост. Вставить ник Quote
BorodaSpb Posted October 7, 2009 Posted October 7, 2009 Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху сорри, забыл что там нет CLI... Ну тогда вариантов у вас нет. Вставить ник Quote
Andrei Posted October 7, 2009 Author Posted October 7, 2009 Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет? PS. Только сегодня получил ее со склада, еще не успел доки почитать. Вставить ник Quote
UglyAdmin Posted October 7, 2009 Posted October 7, 2009 Читайте доки. Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет? Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же? На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой. Вставить ник Quote
chainick Posted October 7, 2009 Posted October 7, 2009 На каталистах можно вообще в специальнообученный влан зеркалиться! Вставить ник Quote
Andrei Posted October 7, 2009 Author Posted October 7, 2009 Читайте доки. Да почитаю, конечно. Просто железка нередкая. Может кто и использовал такую ее фичу, если она там присутствует. Вставить ник Quote
Andrei Posted October 8, 2009 Author Posted October 8, 2009 Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет? Судя по доке умеет зеркалировать до 8 портов в один одновременно Вставить ник Quote
Magnum72 Posted October 9, 2009 Posted October 9, 2009 Читайте доки.Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет? Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же? На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой. На последней бете D-link 3627 можно: 0) зеркалить один порт в один 1) зеркалить много портов в один 2) Зеркалить много портов в группу агрегированных портов 3) До 4 сессий зеркалирования, при условии разных портов получателей 4) RSPAN Вставить ник Quote
kkadd Posted November 16, 2012 Posted November 16, 2012 Такая беда. DGS 3100-24 зеркалирую порт одной сети с нагрузкой не более 53 метров в пиках на сорм (пока тестируем). Говорят там что пакеты пропадают. вырвал их СОРМ воткнулся фрей. снимаю дамп на входе в зеркало и на выходе. Если гонять пинги, о потерь нет, даже если я проганяю пакет 1300 размеров 1000 в секунду. потерь нет. А если серфинг сайтов с картинками, где есть басе64 при передаче, или отправляю почту.то идут потери и они не видят почты. Может быть свич гавно? хотя нагрузки нет. я пробовал и вобще без трафика это делать. т.е. чисто один комп совать и зеркалить. Или может МТУ жестко выставить? Или там криво реализовано зеркалирование? Ни кто с подобным не сталкивался? Вставить ник Quote
BasilKlyev Posted November 16, 2012 Posted November 16, 2012 Ну в первую очередь поменяйте на что нибудь другое - 3100 уж очень ущербный в плане своих возможностей. У нас на циске 3750 все идеально работало. Это я к тому что цены на них сейчас смешные. Например ВОТ. Вставить ник Quote
kkadd Posted November 16, 2012 Posted November 16, 2012 Да вот то и дело что я пробую и на циске и тот же результат. получается что wiresharkом слушаю, собираю картинки а они битые. ( хз уже что думать. может мту там или еще чего. Вставить ник Quote
dmvy Posted November 16, 2012 Posted November 16, 2012 тоже зеркалировали на 3100. страфика 300мбит туда и 300 обратно. СОРМ сдали. запустите просто tcpdump и посмотрите, сколько ядро потеряло пакетов. вообще, wireshark лучше не использовать для потокового анализа даже на 50мбит-трафике. собирайте по фильтрам в tcpdump, а потом анализируйте файл в wireshark. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.