Jump to content

зеркалирование трафика на SE100

kvadro
 Share

Recommended Posts

kvadro

kvadro

Posted
Posted

здравствуйте. Прошу помощи вот в таком вопросе:

Имеется договоренность с верхним провайдером (Мегафон), что они оказывают нам услугу сорм. Задача отправить им наш внешний трафик. Причем, хотели прогнать им трафик через вилан. Т.е. у нас с ними есть физический линк, по нему мы пропускаем свой трафик (своя AS 47751). Они предлагают нам принять трафик для сорм через тот же линк, но в другом вилане. Еще есть второй верхний провайдер (ТТК), на другом порту этого же свича.

У меня трафик приходит на SNR-S2960-24G на 27 порт (Мегафон), 26 порт (ТТК). На этом свиче зеркалирую трафик с 26 порта (ТТК) на 23 порт (access vlan 950 - нужный вилан). Этот вилан отправляю в Мегафон (27 порт switchport trunk). На 23 порту все в порядке - трафик есть, но в 27 порт он уже не уходит. Вроде бы надо отключить mac learning на порту 27, но в этом коммутаторе такой фичи нету.

Вопрос: можно ли на SE100 провернуть такой фокус. два внешних аплинка приходят на один физ.интерфейс (port eth2/2), попадают в отдельный контекст, настроен BGP. На редбаке есть свободные физ.интерфейсы. Можно ли отзеркалировать трафик с порта 2/2 на порт 2/15, например, и этот порт отправить акссессом в влан 950 до Мегафона? причем, уходить пакеты будут теми же коммутаторами, что и пришли. Свичи, как я уже писал - SNR.

Chrst

Chrst

Posted
Posted

Как-то сумбурно описано, не до конца понятно.

Т.е. у вас два аплинка. Один из них предоставляет услугу СОРМ.

Для чего вам эти финты с заворотами Vlan? Снимайте трафик с одного интерфейса, смотрящего в вашу сторону. Если требуется, не нужный трафик отфильтруйте. Между вами и Мегафоном линк организуется в транке, по выделенным виланам бежит основной канал и зеркалированный трафик.

 

Допустим так:

                       SE100
                 +----------------------+
Вн. сеть -------->| 2/1              2/2 |<-----------------------------> ТТК
                 |                      |
              +->| 2/15             2/3 |<------------------+
              |  +----------------------+                   |
              | Mirrored Traffic from 2/1 ->         +--------------------+ Trunk VLAN 950,951
              +------------------------------------->|  SNR-S2960         |<-------------------> Мегафон
                                                     +--------------------+

 

По хорошему, в ряде случаев, для СОРМ требуется еще и служебный трафик RADIUS. Т.е. снимать с внутреннего интерфейса наверное наиболее правильнее будет.

Chrst

Chrst

Posted
Posted

Порт с которого зеркалится

port ethernet 2/2
description ** Local Network Area
no shutdown
bind interface ENet22 local
forward policy MirrorPolicy in 
forward policy MirrorPolicy out

Порт на который зеркалится

port ethernet 2/15
description ** SORM - Traffic Morrored Port
no shutdown
bind interface ENet215 local
forward output IpTraffic

 

Полиси для зеркалирования

forward policy MirrorPolicy 
access-group Mirror_ACL local
 class ALL
  mirror destination IpTraffic all ip-datagrams

И соответственно ACL для фильтрации зеркалируемого трафика

 policy access-list Mirror_ACL
 seq 10 permit ip any class ALL

Данный ACL пропускает абсолютно весь трафик, чтобы фильтровать не нужное ACL составить в соответствии с потребностями.

Этот ACL следует добавлять в рабочий контекст. Если контекст один, то в local.

 

kvadro, извиняюсь, что вклиниваюсь. Chrst, вы эту схему от руки набросали, или какая-то программулина есть?

Совершенно с импровизировал ;).

 

Более серьезные вещи в Dia рисую (Visio не пользую, т.к. под Linux замороченно использовать, хотя более удобная и функциональная).

kvadro

kvadro

Posted
  • Author
Posted

вот кусок конфига - с порта 2/15 ниче не идет, ваще никакой активности :(

context local

!

!

!

policy access-list Mirror_ACL

seq 10 permit ip any class ALL

!

!

!

forward policy MirrorPolicy

ip access-group Mirror_ACL local

class ALL

mirror destination IpTraffic all ip-datagrams

!

!

! port ethernet 2/2

no auto-negotiate

no shutdown

encapsulation dot1q

forward policy MirrorPolicy in

forward policy MirrorPolicy out

dot1q pvc 425

bind interface TTK BGP

dot1q pvc 952

bind interface Megafon BGP

!

!

! port ethernet 2/15

description SORM-Traffic Mirrored Port

no shutdown

forward output IpTraffic

Chrst

Chrst

Posted
Posted

спасибо. буду пробовать.

что видно по #sh forward policy MirrorPolicy

 

и еще, или не весь конфиг попал на экран или port2/15 не забинден на интерфейс.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.