Перейти к содержимому
Калькуляторы

Зеркалирование трафика для реализации СОРМ

Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.

Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.

Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками?

А отзеркалировать vlan'ы указанный вами Nortel может?

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.

Изменено пользователем networks

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, странно. Может просто неправильно изучены возможности свитча и он все таки умеет это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.
не ну нах, не дай бог чего, фсбшники такую весёлую жизнь устроят за отключение их игрушки

имхо - cisco ^)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доку читал.

 

All ports that are involved in port mirroring must have memberships in the

same VLANs. If a port is configured for port mirroring, the port’s VLAN

membership cannot be changed.

Т.е. порт, с которого зеркалится трафик, и порт, куда зеркалится трафик, должны быть в одном vlan-е. А порты аплинков-то в разных vlan-ах. :(

 

the designated monitor port can be set to monitor traffic in any of the following modes:

• Monitor all traffic port X receives.

• Monitor all traffic port X transmits.

• Monitor all traffic port X receives and transmits.

• Monitor all traffic port X receives or port Y transmits.

• Monitor all traffic port X receives (destined to port Y) and then port Y transmits.

• Monitor all traffic port X receives/transmits and port Y

receives/transmits (conversations between port X and port Y)

Т.е. по доке получается, что в лучшем случае можно зеркалировать обмен между портами X и Y, но никак не суммарный трафик с них. :(

 

Хотя в самом свиче есть режим " Monitoring Mode: [ <-> Port X and Port Y <-> ] ".

Но опять же - порты X, Y и порт монитора должны быть в одном VLAN-е. :(

Есть кто-то, кто реально работал с этими нортеловскими свичами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Andrei

 

А какой софт у вас на BPS?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

М... Оказалось, что там не Nortel BPS 2000, а Nortel BayStack 450.

Но зеркалирование там делается точно так же.

 

Версия софта:

BayStack 450-24T

Versions: HW:RevB FW:V1.48 SW:v4.5.2.4 ISVN:2

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, все нортеловские свичи похожи.

Мне вот не доводилось работать с 450ми, по причине их древности.

На нынешней линейке нортеловских свичей в 55хх серии есть такая команда в консоли:

port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist>

 

Попробуйте, если нет, то думаю на 450 вам это не сделать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А порт оборудования СОРМ случайно не поддерживает dot1q.

А то можно было положить порт коммутутора к которому подключен СОРМ в несколько vlan как тегированный (транковый) и настроить несколько ip интерфейсов на порту оборудования СОРМ..

Изменено пользователем biox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

biox

На нортеловских свичах нельзя сделать так, чтобы порт, в который зеркалируется трафик был транком.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если отзеркалить в 3 порта, которые затем воткнуть в один свич? По идее он маков знать не будет, так что все пакеты будут броадкаститься на все порты, и если воткнуть в этот свич СОРМ, то на него все должно упасть в целости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist>

 

Попробуйте, если нет, то думаю на 450 вам это не сделать

Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху

                          BayStack 450-24T Main Menu

                        IP Configuration/Setup...
                        SNMP Configuration...
                        System Characteristics...
                        Switch Configuration...
                        Console/Comm Port Configuration...
                        Display Hardware Units...
                        Spanning Tree Configuration...
                        TELNET/SNMP Mgr List Configuration...
                        Software Download...
                        Configuration File...
                        Display Event Log
                        Save Current Settings
                        Reset
                        Reset to Default Settings
                        Logout

Use arrow keys to highlight option, press <Return> or <Enter> to select option.

 

А если отзеркалить в 3 порта, которые затем воткнуть в один свич?
В том-то и дело, что три порта не отзеркалить. :( См. 1й пост.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху

сорри, забыл что там нет CLI... Ну тогда вариантов у вас нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет?

PS. Только сегодня получил ее со склада, еще не успел доки почитать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читайте доки.

Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет?

Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же?

На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На каталистах можно вообще в специальнообученный влан зеркалиться!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читайте доки.

Да почитаю, конечно. Просто железка нередкая. Может кто и использовал такую ее фичу, если она там присутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет?

Судя по доке умеет зеркалировать до 8 портов в один одновременно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читайте доки.

Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет?

Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же?

На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой.

На последней бете D-link 3627 можно:

 

0) зеркалить один порт в один

1) зеркалить много портов в один

2) Зеркалить много портов в группу агрегированных портов

3) До 4 сессий зеркалирования, при условии разных портов получателей

4) RSPAN

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такая беда. DGS 3100-24 зеркалирую порт одной сети с нагрузкой не более 53 метров в пиках на сорм (пока тестируем).

Говорят там что пакеты пропадают.

вырвал их СОРМ воткнулся фрей. снимаю дамп на входе в зеркало и на выходе.

Если гонять пинги, о потерь нет, даже если я проганяю пакет 1300 размеров 1000 в секунду. потерь нет.

А если серфинг сайтов с картинками, где есть басе64 при передаче, или отправляю почту.то идут потери и они не видят почты.

Может быть свич гавно? хотя нагрузки нет. я пробовал и вобще без трафика это делать. т.е. чисто один комп совать и зеркалить.

Или может МТУ жестко выставить? Или там криво реализовано зеркалирование?

Ни кто с подобным не сталкивался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну в первую очередь поменяйте на что нибудь другое - 3100 уж очень ущербный в плане своих возможностей.

У нас на циске 3750 все идеально работало. Это я к тому что цены на них сейчас смешные. Например ВОТ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да вот то и дело что я пробую и на циске и тот же результат. получается что wiresharkом слушаю, собираю картинки а они битые. ( хз уже что думать. может мту там или еще чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тоже зеркалировали на 3100. страфика 300мбит туда и 300 обратно. СОРМ сдали. запустите просто tcpdump и посмотрите, сколько ядро потеряло пакетов. вообще, wireshark лучше не использовать для потокового анализа даже на 50мбит-трафике. собирайте по фильтрам в tcpdump, а потом анализируйте файл в wireshark.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.