kvadro Опубликовано 8 апреля, 2013 · Жалоба здравствуйте. Прошу помощи вот в таком вопросе: Имеется договоренность с верхним провайдером (Мегафон), что они оказывают нам услугу сорм. Задача отправить им наш внешний трафик. Причем, хотели прогнать им трафик через вилан. Т.е. у нас с ними есть физический линк, по нему мы пропускаем свой трафик (своя AS 47751). Они предлагают нам принять трафик для сорм через тот же линк, но в другом вилане. Еще есть второй верхний провайдер (ТТК), на другом порту этого же свича. У меня трафик приходит на SNR-S2960-24G на 27 порт (Мегафон), 26 порт (ТТК). На этом свиче зеркалирую трафик с 26 порта (ТТК) на 23 порт (access vlan 950 - нужный вилан). Этот вилан отправляю в Мегафон (27 порт switchport trunk). На 23 порту все в порядке - трафик есть, но в 27 порт он уже не уходит. Вроде бы надо отключить mac learning на порту 27, но в этом коммутаторе такой фичи нету. Вопрос: можно ли на SE100 провернуть такой фокус. два внешних аплинка приходят на один физ.интерфейс (port eth2/2), попадают в отдельный контекст, настроен BGP. На редбаке есть свободные физ.интерфейсы. Можно ли отзеркалировать трафик с порта 2/2 на порт 2/15, например, и этот порт отправить акссессом в влан 950 до Мегафона? причем, уходить пакеты будут теми же коммутаторами, что и пришли. Свичи, как я уже писал - SNR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 9 апреля, 2013 · Жалоба Как-то сумбурно описано, не до конца понятно. Т.е. у вас два аплинка. Один из них предоставляет услугу СОРМ. Для чего вам эти финты с заворотами Vlan? Снимайте трафик с одного интерфейса, смотрящего в вашу сторону. Если требуется, не нужный трафик отфильтруйте. Между вами и Мегафоном линк организуется в транке, по выделенным виланам бежит основной канал и зеркалированный трафик. Допустим так: SE100 +----------------------+ Вн. сеть -------->| 2/1 2/2 |<-----------------------------> ТТК | | +->| 2/15 2/3 |<------------------+ | +----------------------+ | | Mirrored Traffic from 2/1 -> +--------------------+ Trunk VLAN 950,951 +------------------------------------->| SNR-S2960 |<-------------------> Мегафон +--------------------+ По хорошему, в ряде случаев, для СОРМ требуется еще и служебный трафик RADIUS. Т.е. снимать с внутреннего интерфейса наверное наиболее правильнее будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kvadro Опубликовано 9 апреля, 2013 · Жалоба да, именно это я и хочу. подскажите конкретно по конфигу как сделать? надо отзеркалировать весь трафик с 2/2 на 2/15. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m9ic Опубликовано 9 апреля, 2013 · Жалоба kvadro, извиняюсь, что вклиниваюсь. Chrst, вы эту схему от руки набросали, или какая-то программулина есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 9 апреля, 2013 · Жалоба Порт с которого зеркалится port ethernet 2/2 description ** Local Network Area no shutdown bind interface ENet22 local forward policy MirrorPolicy in forward policy MirrorPolicy out Порт на который зеркалится port ethernet 2/15 description ** SORM - Traffic Morrored Port no shutdown bind interface ENet215 local forward output IpTraffic Полиси для зеркалирования forward policy MirrorPolicy access-group Mirror_ACL local class ALL mirror destination IpTraffic all ip-datagrams И соответственно ACL для фильтрации зеркалируемого трафика policy access-list Mirror_ACL seq 10 permit ip any class ALL Данный ACL пропускает абсолютно весь трафик, чтобы фильтровать не нужное ACL составить в соответствии с потребностями. Этот ACL следует добавлять в рабочий контекст. Если контекст один, то в local. kvadro, извиняюсь, что вклиниваюсь. Chrst, вы эту схему от руки набросали, или какая-то программулина есть? Совершенно с импровизировал ;). Более серьезные вещи в Dia рисую (Visio не пользую, т.к. под Linux замороченно использовать, хотя более удобная и функциональная). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kvadro Опубликовано 9 апреля, 2013 · Жалоба спасибо. буду пробовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kvadro Опубликовано 9 апреля, 2013 · Жалоба вот кусок конфига - с порта 2/15 ниче не идет, ваще никакой активности :( context local ! ! ! policy access-list Mirror_ACL seq 10 permit ip any class ALL ! ! ! forward policy MirrorPolicy ip access-group Mirror_ACL local class ALL mirror destination IpTraffic all ip-datagrams ! ! ! port ethernet 2/2 no auto-negotiate no shutdown encapsulation dot1q forward policy MirrorPolicy in forward policy MirrorPolicy out dot1q pvc 425 bind interface TTK BGP dot1q pvc 952 bind interface Megafon BGP ! ! ! port ethernet 2/15 description SORM-Traffic Mirrored Port no shutdown forward output IpTraffic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 9 апреля, 2013 · Жалоба спасибо. буду пробовать. что видно по #sh forward policy MirrorPolicy и еще, или не весь конфиг попал на экран или port2/15 не забинден на интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...