insekt Опубликовано 25 августа, 2013 · Жалоба Необходимо на пару удаленных объектов доступных только через L3 установить снифер для проведения диагностических работ. Что можете посоветовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 25 августа, 2013 · Жалоба MTU можно будет поднять или нужен тунель с фрагментацией? сколько трафика?(в мегабитах/с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
insekt Опубликовано 25 августа, 2013 · Жалоба MTU поднять вроде можно, точно ответить пока не могу, изучаем вопрос. Скорость от сотен килобит до 10-20 мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 25 августа, 2013 (изменено) · Жалоба CPE с поддержкой openvpn l2? Изменено 25 августа, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 августа, 2013 · Жалоба Такой годится? http://supermicro.nl/products/system/Mini-ITX/1017/SYS-1017A-MP.cfm Или надо компактнее\дешевле? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 26 августа, 2013 · Жалоба Будет странно звучать от меня, но возможно подойдет Mikrotik :) У меня в https://code.google.com/p/sysadmin-tools/source/browse/#svn%2Ftrunk%2Ftzsp_tap есть код, который превращает Mikrotik TZSP в траффик с интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 26 августа, 2013 · Жалоба Если на удалённой площадке есть свич, которые зеркалирует, то действительно может подойти микротик, даже в голом виде. Я пробовал - работает. EoIP с указанием external FDB. 20 мегабит без проблем протянет какая-нибудь мыльница от микротика за 2-3 тыс руб. Ну и смотря какое оборудование уже имеется. Я подобную же задачу реализовываю на цисках через L2TPv3 с отключением mac learning в нужном влане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
insekt Опубликовано 26 августа, 2013 (изменено) · Жалоба Такой годится?http://supermicro.nl/products/system/Mini-ITX/1017/SYS-1017A-MP.cfmИли надо компактнее\дешевле? Да и такое сгодилось бы, если это было готовое решение. А так я понимаю это просто мини комп, куда надо будет наливать линукс и потом поверх него еще огород городить. Будет странно звучать от меня, но возможно подойдет Mikrotik :)У меня в https://code.google.com/p/sysadmin-tools/source/browse/#svn%2Ftrunk%2Ftzsp_tap есть код, который превращает Mikrotik TZSP в траффик с интерфейса. Вроде то, что надо и как я понял Микротик по умолчанию может стримать перехваченные пакеты посредством TZSP. Но не совсем понятно как потом на приемной стороне снять UDP заголовки, чтобы получить оригинальный поток, вот тут одному форумчанину найти готового решения не удалось найти и сделал собственное решение http://forum.nag.ru/forum/index.php?showtopic=52845 CPE с поддержкой openvpn l2? Если на удалённой площадке есть свич, которые зеркалирует, то действительно может подойти микротик, даже в голом виде.Я пробовал - работает. EoIP с указанием external FDB. 20 мегабит без проблем протянет какая-нибудь мыльница от микротика за 2-3 тыс руб.Ну и смотря какое оборудование уже имеется. Я подобную же задачу реализовываю на цисках через L2TPv3 с отключением mac learning в нужном влане. Почему спросил про ERSPAN - в центре есть циски, которые могут принять и деинкапсулировать этот поток прямо на станцию, где производится анализ. По поводу L2TPv3 - не совсем понял как сделали с отключением мак лёрнинга, можете чуть подробнее. Еще добавлю нюанс. Железку надо вставить в разрыв рабочей линии, т.е. сохранить работу всего текущего трафика. На удаленных объектах бывают свичи с поддержкой зеркалирования, но не везде, поэтому ищется универсальное решение. Изменено 26 августа, 2013 пользователем insekt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 26 августа, 2013 · Жалоба С одной стороны есть каталист, на котором зеркалируется трафик с серверов, есть второй каталист, в который спан портом подключен первый. На втором каталисте приёмный порт заведён в влан, в котором отключено изучение мак адресов. Дальше маршрутизатор с л2тпв3 хконнект на сабинтерфейсе. С другой стороны почти симметрично - маршрутизатор-каталист-сервер снифер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 26 августа, 2013 · Жалоба Железку надо вставить в разрыв рабочей линии, т.е. сохранить работу всего текущего трафика Микротик попрёт. ERSPAN вообще, по-моему, на достаточно ограниченном количестве оборудования реализован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 26 августа, 2013 · Жалоба Вроде то, что надо и как я понял Микротик по умолчанию может стримать перехваченные пакеты посредством TZSP. Но не совсем понятно как потом на приемной стороне снять UDP заголовки, чтобы получить оригинальный поток, вот тут одному форумчанину найти готового решения не удалось найти и сделал собственное решение http://forum.nag.ru/...showtopic=52845 Я дал ссылку на свой код, где реализована конвертация, на линуксе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
insekt Опубликовано 26 августа, 2013 · Жалоба Я дал ссылку на свой код, где реализована конвертация, на линуксе. Я в программировании не силен, а проконсультироваться с коллегами пока не могу. Если не сложно поясните принцип работы. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
schnm Опубликовано 26 августа, 2013 (изменено) · Жалоба Тут есть пример как сделать на свиче с RSPAN и циске с l2tpv3 в настройках влана надо не забыть сказать remote-span Изменено 26 августа, 2013 пользователем schnm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 26 августа, 2013 · Жалоба Я в программировании не силен, а проконсультироваться с коллегами пока не могу. Если не сложно поясните принцип работы. Спасибо. Программка случае udp поток, создает интерфейс,и просто преобразует получаемый tzsp траффик в траффик на этот интерфейс. Если вы забриджуете этот интерфейс на реальную сетевуху - получите полный аналог ERSPAN Ну или анализируйте локально этот интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...