insekt Posted August 25, 2013 Posted August 25, 2013 Необходимо на пару удаленных объектов доступных только через L3 установить снифер для проведения диагностических работ. Что можете посоветовать? Вставить ник Quote
srg555 Posted August 25, 2013 Posted August 25, 2013 MTU можно будет поднять или нужен тунель с фрагментацией? сколько трафика?(в мегабитах/с) Вставить ник Quote
insekt Posted August 25, 2013 Author Posted August 25, 2013 MTU поднять вроде можно, точно ответить пока не могу, изучаем вопрос. Скорость от сотен килобит до 10-20 мегабит. Вставить ник Quote
srg555 Posted August 25, 2013 Posted August 25, 2013 (edited) CPE с поддержкой openvpn l2? Edited August 25, 2013 by srg555 Вставить ник Quote
Ilya Evseev Posted August 26, 2013 Posted August 26, 2013 Такой годится? http://supermicro.nl/products/system/Mini-ITX/1017/SYS-1017A-MP.cfm Или надо компактнее\дешевле? Вставить ник Quote
nuclearcat Posted August 26, 2013 Posted August 26, 2013 Будет странно звучать от меня, но возможно подойдет Mikrotik :) У меня в https://code.google.com/p/sysadmin-tools/source/browse/#svn%2Ftrunk%2Ftzsp_tap есть код, который превращает Mikrotik TZSP в траффик с интерфейса. Вставить ник Quote
Картуччо Posted August 26, 2013 Posted August 26, 2013 Если на удалённой площадке есть свич, которые зеркалирует, то действительно может подойти микротик, даже в голом виде. Я пробовал - работает. EoIP с указанием external FDB. 20 мегабит без проблем протянет какая-нибудь мыльница от микротика за 2-3 тыс руб. Ну и смотря какое оборудование уже имеется. Я подобную же задачу реализовываю на цисках через L2TPv3 с отключением mac learning в нужном влане. Вставить ник Quote
insekt Posted August 26, 2013 Author Posted August 26, 2013 (edited) Такой годится?http://supermicro.nl/products/system/Mini-ITX/1017/SYS-1017A-MP.cfmИли надо компактнее\дешевле? Да и такое сгодилось бы, если это было готовое решение. А так я понимаю это просто мини комп, куда надо будет наливать линукс и потом поверх него еще огород городить. Будет странно звучать от меня, но возможно подойдет Mikrotik :)У меня в https://code.google.com/p/sysadmin-tools/source/browse/#svn%2Ftrunk%2Ftzsp_tap есть код, который превращает Mikrotik TZSP в траффик с интерфейса. Вроде то, что надо и как я понял Микротик по умолчанию может стримать перехваченные пакеты посредством TZSP. Но не совсем понятно как потом на приемной стороне снять UDP заголовки, чтобы получить оригинальный поток, вот тут одному форумчанину найти готового решения не удалось найти и сделал собственное решение http://forum.nag.ru/forum/index.php?showtopic=52845 CPE с поддержкой openvpn l2? Если на удалённой площадке есть свич, которые зеркалирует, то действительно может подойти микротик, даже в голом виде.Я пробовал - работает. EoIP с указанием external FDB. 20 мегабит без проблем протянет какая-нибудь мыльница от микротика за 2-3 тыс руб.Ну и смотря какое оборудование уже имеется. Я подобную же задачу реализовываю на цисках через L2TPv3 с отключением mac learning в нужном влане. Почему спросил про ERSPAN - в центре есть циски, которые могут принять и деинкапсулировать этот поток прямо на станцию, где производится анализ. По поводу L2TPv3 - не совсем понял как сделали с отключением мак лёрнинга, можете чуть подробнее. Еще добавлю нюанс. Железку надо вставить в разрыв рабочей линии, т.е. сохранить работу всего текущего трафика. На удаленных объектах бывают свичи с поддержкой зеркалирования, но не везде, поэтому ищется универсальное решение. Edited August 26, 2013 by insekt Вставить ник Quote
Картуччо Posted August 26, 2013 Posted August 26, 2013 С одной стороны есть каталист, на котором зеркалируется трафик с серверов, есть второй каталист, в который спан портом подключен первый. На втором каталисте приёмный порт заведён в влан, в котором отключено изучение мак адресов. Дальше маршрутизатор с л2тпв3 хконнект на сабинтерфейсе. С другой стороны почти симметрично - маршрутизатор-каталист-сервер снифер. Вставить ник Quote
Картуччо Posted August 26, 2013 Posted August 26, 2013 Железку надо вставить в разрыв рабочей линии, т.е. сохранить работу всего текущего трафика Микротик попрёт. ERSPAN вообще, по-моему, на достаточно ограниченном количестве оборудования реализован. Вставить ник Quote
nuclearcat Posted August 26, 2013 Posted August 26, 2013 Вроде то, что надо и как я понял Микротик по умолчанию может стримать перехваченные пакеты посредством TZSP. Но не совсем понятно как потом на приемной стороне снять UDP заголовки, чтобы получить оригинальный поток, вот тут одному форумчанину найти готового решения не удалось найти и сделал собственное решение http://forum.nag.ru/...showtopic=52845 Я дал ссылку на свой код, где реализована конвертация, на линуксе. Вставить ник Quote
insekt Posted August 26, 2013 Author Posted August 26, 2013 Я дал ссылку на свой код, где реализована конвертация, на линуксе. Я в программировании не силен, а проконсультироваться с коллегами пока не могу. Если не сложно поясните принцип работы. Спасибо. Вставить ник Quote
schnm Posted August 26, 2013 Posted August 26, 2013 (edited) Тут есть пример как сделать на свиче с RSPAN и циске с l2tpv3 в настройках влана надо не забыть сказать remote-span Edited August 26, 2013 by schnm Вставить ник Quote
nuclearcat Posted August 26, 2013 Posted August 26, 2013 Я в программировании не силен, а проконсультироваться с коллегами пока не могу. Если не сложно поясните принцип работы. Спасибо. Программка случае udp поток, создает интерфейс,и просто преобразует получаемый tzsp траффик в траффик на этот интерфейс. Если вы забриджуете этот интерфейс на реальную сетевуху - получите полный аналог ERSPAN Ну или анализируйте локально этот интерфейс. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.