Andrei Опубликовано 4 октября, 2009 · Жалоба Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы. Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 4 октября, 2009 (изменено) · Жалоба Имеется 3 аплинка, все заведены на один центральный свич (Nortel Business Policy Switch 2000), разрулены в разные Vlan-ы.Для реализации СОРМа требуется отзеркалить весь трафик на оборудование СОРМ, включенное в один из портов того же свича. Проблема в том, что зеркалить можно трафик только с ОДНОГО порта свича на "мониторящий" порт с СОРМом. Как народ выкручивается в ситуации с несколькими аплинками? А отзеркалировать vlan'ы указанный вами Nortel может? Изменено 4 октября, 2009 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
networks Опубликовано 4 октября, 2009 (изменено) · Жалоба Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один. Изменено 4 октября, 2009 пользователем networks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 4 октября, 2009 · Жалоба Да, странно. Может просто неправильно изучены возможности свитча и он все таки умеет это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 4 октября, 2009 · Жалоба Странно, кстати, другие свитчи (тот же 3526) могут зеркалить трафик с НЕСКОЛЬКИХ портов в один.не ну нах, не дай бог чего, фсбшники такую весёлую жизнь устроят за отключение их игрушкиимхо - cisco ^) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 октября, 2009 · Жалоба Доку читал. All ports that are involved in port mirroring must have memberships in the same VLANs. If a port is configured for port mirroring, the port’s VLAN membership cannot be changed. Т.е. порт, с которого зеркалится трафик, и порт, куда зеркалится трафик, должны быть в одном vlan-е. А порты аплинков-то в разных vlan-ах. :( the designated monitor port can be set to monitor traffic in any of the following modes:• Monitor all traffic port X receives. • Monitor all traffic port X transmits. • Monitor all traffic port X receives and transmits. • Monitor all traffic port X receives or port Y transmits. • Monitor all traffic port X receives (destined to port Y) and then port Y transmits. • Monitor all traffic port X receives/transmits and port Y receives/transmits (conversations between port X and port Y) Т.е. по доке получается, что в лучшем случае можно зеркалировать обмен между портами X и Y, но никак не суммарный трафик с них. :( Хотя в самом свиче есть режим " Monitoring Mode: [ <-> Port X and Port Y <-> ] ". Но опять же - порты X, Y и порт монитора должны быть в одном VLAN-е. :( Есть кто-то, кто реально работал с этими нортеловскими свичами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BorodaSpb Опубликовано 5 октября, 2009 · Жалоба Andrei А какой софт у вас на BPS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 октября, 2009 · Жалоба М... Оказалось, что там не Nortel BPS 2000, а Nortel BayStack 450. Но зеркалирование там делается точно так же. Версия софта: BayStack 450-24T Versions: HW:RevB FW:V1.48 SW:v4.5.2.4 ISVN:2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BorodaSpb Опубликовано 5 октября, 2009 · Жалоба Да, все нортеловские свичи похожи. Мне вот не доводилось работать с 450ми, по причине их древности. На нынешней линейке нортеловских свичей в 55хх серии есть такая команда в консоли: port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist> Попробуйте, если нет, то думаю на 450 вам это не сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 6 октября, 2009 (изменено) · Жалоба А порт оборудования СОРМ случайно не поддерживает dot1q. А то можно было положить порт коммутутора к которому подключен СОРМ в несколько vlan как тегированный (транковый) и настроить несколько ip интерфейсов на порту оборудования СОРМ.. Изменено 6 октября, 2009 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BorodaSpb Опубликовано 6 октября, 2009 · Жалоба biox На нортеловских свичах нельзя сделать так, чтобы порт, в который зеркалируется трафик был транком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 6 октября, 2009 · Жалоба печально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 6 октября, 2009 · Жалоба А если отзеркалить в 3 порта, которые затем воткнуть в один свич? По идее он маков знать не будет, так что все пакеты будут броадкаститься на все порты, и если воткнуть в этот свич СОРМ, то на него все должно упасть в целости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 октября, 2009 · Жалоба port-mirroring mode ManytoOneRxTx monitor-port <portlist> mirror-port-X <portlist> Попробуйте, если нет, то думаю на 450 вам это не сделать Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху BayStack 450-24T Main Menu IP Configuration/Setup... SNMP Configuration... System Characteristics... Switch Configuration... Console/Comm Port Configuration... Display Hardware Units... Spanning Tree Configuration... TELNET/SNMP Mgr List Configuration... Software Download... Configuration File... Display Event Log Save Current Settings Reset Reset to Default Settings Logout Use arrow keys to highlight option, press <Return> or <Enter> to select option. А если отзеркалить в 3 порта, которые затем воткнуть в один свич?В том-то и дело, что три порта не отзеркалить. :( См. 1й пост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BorodaSpb Опубликовано 7 октября, 2009 · Жалоба Такого в 450 нет. :( Там вообще при входе телнетом попадаешь в текстовую менюху сорри, забыл что там нет CLI... Ну тогда вариантов у вас нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 октября, 2009 · Жалоба Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет? PS. Только сегодня получил ее со склада, еще не успел доки почитать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 7 октября, 2009 · Жалоба Читайте доки. Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет? Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же? На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 7 октября, 2009 · Жалоба На каталистах можно вообще в специальнообученный влан зеркалиться! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 октября, 2009 · Жалоба Читайте доки. Да почитаю, конечно. Просто железка нередкая. Может кто и использовал такую ее фичу, если она там присутствует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 8 октября, 2009 · Жалоба Часть оптических линков до микрорайонов сейчас перевожу на Dlink-DGS-3100-24TG, там есть 8 медных портов. Можно туда и аплинки перекинуть. Эта железка такое "многопортовое зеркалирование" умеет? Судя по доке умеет зеркалировать до 8 портов в один одновременно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 9 октября, 2009 · Жалоба Читайте доки.Д-Линки обычно умеют зеркалить трафик с нескольких портов в один. Пролезет? Каталисты умеют зеркалить ещё и в несколько портов, но оно надо, если зеркалится одно и то же? На ДЛинках не встречал больше одной сессии зеркалирования, на каталистах их две: можно один набор портов или виланов зеркалить в один порт, другой набор - в другой. На последней бете D-link 3627 можно: 0) зеркалить один порт в один 1) зеркалить много портов в один 2) Зеркалить много портов в группу агрегированных портов 3) До 4 сессий зеркалирования, при условии разных портов получателей 4) RSPAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kkadd Опубликовано 16 ноября, 2012 · Жалоба Такая беда. DGS 3100-24 зеркалирую порт одной сети с нагрузкой не более 53 метров в пиках на сорм (пока тестируем). Говорят там что пакеты пропадают. вырвал их СОРМ воткнулся фрей. снимаю дамп на входе в зеркало и на выходе. Если гонять пинги, о потерь нет, даже если я проганяю пакет 1300 размеров 1000 в секунду. потерь нет. А если серфинг сайтов с картинками, где есть басе64 при передаче, или отправляю почту.то идут потери и они не видят почты. Может быть свич гавно? хотя нагрузки нет. я пробовал и вобще без трафика это делать. т.е. чисто один комп совать и зеркалить. Или может МТУ жестко выставить? Или там криво реализовано зеркалирование? Ни кто с подобным не сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BasilKlyev Опубликовано 16 ноября, 2012 · Жалоба Ну в первую очередь поменяйте на что нибудь другое - 3100 уж очень ущербный в плане своих возможностей. У нас на циске 3750 все идеально работало. Это я к тому что цены на них сейчас смешные. Например ВОТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kkadd Опубликовано 16 ноября, 2012 · Жалоба Да вот то и дело что я пробую и на циске и тот же результат. получается что wiresharkом слушаю, собираю картинки а они битые. ( хз уже что думать. может мту там или еще чего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 16 ноября, 2012 · Жалоба тоже зеркалировали на 3100. страфика 300мбит туда и 300 обратно. СОРМ сдали. запустите просто tcpdump и посмотрите, сколько ядро потеряло пакетов. вообще, wireshark лучше не использовать для потокового анализа даже на 50мбит-трафике. собирайте по фильтрам в tcpdump, а потом анализируйте файл в wireshark. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...