Jump to content
Калькуляторы

Зеркалирование транков для СОРМ

Известна ли Вам причина по которой на Cisco неполучается зеркалировать транковые порты (etherchannel) для отображения трафика в СОРМ ?

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites

А почему нельзя просто отзеркалить все порты, входящие в etherchannel?

В настройках "monitor session X source interface" есть Port-channel, но не пробовал...

Share this post


Link to post
Share on other sites
А почему нельзя просто отзеркалить все порты, входящие в etherchannel?

В настройках "monitor session X source interface" есть Port-channel, но не пробовал...

на 3560G такая конструкция

monitor session 1 source interface Po1 , Po2

работает

Share this post


Link to post
Share on other sites

Нет. интересует вот как:

 

interface Port-channel1

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 14,47,48,138,200-205

switchport mode trunk

 

interface GigabitEthernet3/45

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 10,14,43,139,200-205

channel-group 1 mode desirable

switchport mode trunk

!

interface GigabitEthernet3/46

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 10,14,43,139,200-205

channel-group 1 mode desirable

switchport mode trunk

 

monitor session 1 type local

description SORM

source interface Gi3/45

destination interface Gi1/1

 

monitor session 2 type local

description SORM

source interface Gi3/46

destination interface Gi1/2

 

Якобы такая схема непременима. Почему - не говорят.

 

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites
Нет. интересует вот как:

 

interface Port-channel1

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 14,47,48,138,200-205

switchport mode trunk

 

interface GigabitEthernet3/45

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 10,14,43,139,200-205

switchport mode trunk

!

interface GigabitEthernet3/46

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 10,14,43,139,200-205

switchport mode trunk

 

monitor session 1 type local

description SORM

source interface Gi3/45

destination interface Gi1/1

 

monitor session 2 type local

description SORM

source interface Gi3/46

destination interface Gi1/2

 

Якобы такая схема непременима. Почему - не говорят.

Прошу прощения, а interface Port-channel1 здесь к чему привязан?

 

Share this post


Link to post
Share on other sites
Извиняюсь поправил.

добавил:

channel-group 1 mode desirable

Что могу сказать, такая конструкция работает у нас и как раз для CORM :)

monitor session 1 source interface Po1 , Po2
monitor session 1 destination interface Gi0/24

 

что по вашему случаю - сожалею...

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

Я конечно не спец в настройкх. Но вот уверен что там нужен правильный SNMP запрос от оборудования СОРМ и щастье перехвата будет доступно на указанное в трапе время.

Share this post


Link to post
Share on other sites

А есть ли вообще смысл зеркалировать Po либо несколько интерфейсов суммарным траффиком больше одного гига? интерфейс то вроде гигабитный.

Share this post


Link to post
Share on other sites
А есть ли вообще смысл зеркалировать Po либо несколько интерфейсов суммарным траффиком больше одного гига? интерфейс то вроде гигабитный.

Po может например для redundancy использоваться, с трафиком значительно меньше гига.

Share this post


Link to post
Share on other sites

destination тоже может быть Po, по крайней мере на шеститонниках...

Share this post


Link to post
Share on other sites
А есть ли вообще смысл зеркалировать Po либо несколько интерфейсов суммарным траффиком больше одного гига? интерфейс то вроде гигабитный.

Po может например для redundancy использоваться, с трафиком значительно меньше гига.

Я спрашиваю, что делать если трафика больше чем гиг,два,три...?

Share this post


Link to post
Share on other sites

Я ж написал: зеркалить в Port-Channel или в 10Г.

Share this post


Link to post
Share on other sites
Я ж написал: зеркалить в Port-Channel или в 10Г.

Что, куда зеркалить?

 

На сормовской железке ОДИН гигабитный интерфейс! а у меня 4 гига трафика и как в гигабитный порт зеркалить 4! гигабитных интерфейса?

Share this post


Link to post
Share on other sites

У вас как който не правильный СОРМ или вы не умеете его готовить. СОРМ должен перехватывать именно трафик сормируемого абонента и из железки которая может отобрать этот трафик + минимально загрузив при этом сеть ПД. То есть брать с ближайшей железке к сорму. Зачем весь поток данных?

Share this post


Link to post
Share on other sites

Требования такие, потому и весь поток.

Не будут же ФСБшники по каждому поводу дергать оператора, включи-ка нам этого клиента, мы его послушаем, а теперь этого...

Железка СОРМ и правда неправильная, в ней должно быть достаточное количество портов и гигабит.

Share this post


Link to post
Share on other sites
Требования такие, потому и весь поток.

Не будут же ФСБшники по каждому поводу дергать оператора, включи-ка нам этого клиента, мы его послушаем, а теперь этого...

Железка СОРМ и правда неправильная, в ней должно быть достаточное количество портов и гигабит.

вообще то будут. смотря как договориться. это между прочим наиболее удобный вариант для оператора, т.к. не требуется городить лисапед. проще как никак пробросить зеркало абонентского 100mbps порта, чем сливать на СОРМ вообще все подряд (за что друзья-товарищи тебе "спасибо" скажут, когда начнут в твоем дер месиве копаться)

Share this post


Link to post
Share on other sites

А как вообще можно по другому взаимодействовать? Уголовное дело есть, обращение есть тогда зеркало есть конкретного абонентского порта. В этом контексте 1G более чем достаточно. А если по другому, можно ради спортивного интереса, вашим абонентам по судиться с вами о нарушении не прикосновенности частной жизни.

Share this post


Link to post
Share on other sites
Требования такие, потому и весь поток.

Не будут же ФСБшники по каждому поводу дергать оператора, включи-ка нам этого клиента, мы его послушаем, а теперь этого...

Железка СОРМ и правда неправильная, в ней должно быть достаточное количество портов и гигабит.

вообще то будут. смотря как договориться. это между прочим наиболее удобный вариант для оператора, т.к. не требуется городить лисапед. проще как никак пробросить зеркало абонентского 100mbps порта, чем сливать на СОРМ вообще все подряд (за что друзья-товарищи тебе "спасибо" скажут, когда начнут в твоем дер месиве копаться)

Наиболее удобный вариант - это сливать "все что есть" и не заморачиваться с какими то отдельными абонами, а они уж сами пусть копают то что им нужно.

Я сливаю меньше трети суммарного трафика, как раз получается 99% полка практически в любое время суток на их интерфейсе, а что они уж там видят, это только им известно.

Как раз в прошлые выходные погорел на СОРМе интерфейс входящий просто упал линк, и больше не поднялся, завтра приедут менять на новый девайс. Железка отработала аккурат 4 года.

Share this post


Link to post
Share on other sites
А как вообще можно по другому взаимодействовать? Уголовное дело есть, обращение есть тогда зеркало есть конкретного абонентского порта. В этом контексте 1G более чем достаточно. А если по другому, можно ради спортивного интереса, вашим абонентам по судиться с вами о нарушении не прикосновенности частной жизни.

Не знаю как в Новосибирске, но в Питере местные внутренние органы работают с бумажками, и никакое зеркалирование им и не снилось.

И обычно если уже есть уголовное дело, то слушать порт абонента бессмысленно. Обычно данные запрашиваются уже постфактум.

Share this post


Link to post
Share on other sites
Не знаю как в Новосибирске, но в Питере местные внутренние органы работают с бумажками, и никакое зеркалирование им и не снилось.

И обычно если уже есть уголовное дело, то слушать порт абонента бессмысленно. Обычно данные запрашиваются уже постфактум.

Вы вообще о чём? СОРМ идёт по ведомству ФСБ, они никаких бумажек не приносят, сами смотрят.

Вот менты - да, время от времени запрашивают всякую фигню...

 

А если по другому, можно ради спортивного интереса, вашим абонентам по судиться с вами о нарушении не прикосновенности частной жизни.
Есть закон о связи, который оператору надо исполнять. А про закон о неприкосновенности и т.д. - впервые слышу...

Share this post


Link to post
Share on other sites
Я ж написал: зеркалить в Port-Channel или в 10Г.

Что, куда зеркалить?

 

На сормовской железке ОДИН гигабитный интерфейс! а у меня 4 гига трафика и как в гигабитный порт зеркалить 4! гигабитных интерфейса?

Ну значит тебе пора покупать другую железку, например с 4 гигабитами, а на какие средства (примерно $70000) ты это будешь делать никого не волнует это твои проблемы :)

 

 

Share this post


Link to post
Share on other sites

http://sormovich.ru/specifications

предлагают вариант до 20G.. а дальше готовьте бабки..

 

Есть закон о связи, который оператору надо исполнять. А про закон о неприкосновенности и т.д. - впервые слышу...
В России тайна связи гарантируется Конституцией Российской Федерации (1993 года). Часть 2 статья 23 гласит:

- Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения

©http://ru.wikipedia.org/wiki/Тайна_связи

Edited by darkagent

Share this post


Link to post
Share on other sites
Есть закон о связи, который оператору надо исполнять. А про закон о неприкосновенности и т.д. - впервые слышу...
В России тайна связи гарантируется Конституцией Российской Федерации (1993 года). Часть 2 статья 23 гласит:

- Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения

©http://ru.wikipedia.org/wiki/Тайна_связи

И чё? Сотрудники оператора в юзерский трафик не смотрят, какие претензии?

Смотрят в него специальные люди, трафик которым оператор должен предоставлять согласно закона о связи... И кстати, не только трафик, но и персональные данные, чтобы можно было осуществить однозначное сопоставление IP-адреса и ФИО.

ЗОС противоречит Конституции? Ну так это не проблема оператора!

Share this post


Link to post
Share on other sites

Так про то и говориться что может стать этой проблеммой очень быстро при желании.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this