Проблемы с зеркалированием клиентского трафика на съемник СОРМ, возникают перед каждым оператором, с ростом объемов трафика.
Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме. Думаем этот опыт будет интересен нашим читателям.
С планомерным увеличением объемов клиентского трафика остро встал вопрос об уходе от схемы сбора трафика для СОРМ с использованием активного оборудования ядра сети в сторону использования пассивных оптических съемников.
Предыдущая схема была достаточно типовая - оборудование СОРМ подключалось непосредственно к Cisco 6500 двумя 10G интерфейсами. На Cisco настраивалось необходимое число RSPAN сессий с целью загнать весь трафик в определенный RSPAN VLAN. На этом же узле к данному RSPAN Vlan применялась VLAN Access map с целью отфильтровать интересующий трафик. В завершении, с помощью еще одной RSPAN сессии, трафик из RSPAN VLAN отправлялся в SPAN порты (2х10G) - непосредственно в СОРМ.
Очевидные минусы схемы - нагрузка на Cisco "лишним" SPAN трафиком, необходимостью его фильтрации.
При переходе к схеме с использованием оптических съемников возникает необходимость в агрегации большого числа 10G линков с последующей фильтрацией интересующего трафика на OSI L3-L4, так как текущая конфигурация СОРМ включает лишь два 10G интерфейса. Исходя из этих выводов, мы сформировали требования к коммутатору:
Таким образом, с помощью SNR-S4550 решаются следующие задачи:
Схема подключения SNR-S4550-24XQ
Основные моменты конфигурации коммутатора SNR-S4550-24XQ:
vlan 1000 name SormGroup1 ! vlan 2000 name SormGroup2 ! firewall enable ! ip access-list extended Sorm ! Interface Ethernet1/0/9 speed-duplex force1g-full description SormInGroup1 dot1q-tunnel enable switchport access vlan 1000 ip access-group Sorm in ! Interface Ethernet1/0/10 description SormOutGroup1 dot1q-tunnel enable switchport access vlan 1000 ! Interface Ethernet1/0/11 description SormInGroup1 dot1q-tunnel enable switchport access vlan 1000 ip access-group Sorm in ! Interface Ethernet1/0/13 description SormInGroup1 dot1q-tunnel enable switchport access vlan 1000 ip access-group Sorm in ! Interface Ethernet1/0/15 description SormInGroup1 transceiver-monitoring enable dot1q-tunnel enable switchport access vlan 1000 ip access-group Sorm in ! Interface Ethernet1/0/17 description SormInGroup2 dot1q-tunnel enable switchport access vlan 2000 ip access-group Sorm in ! Interface Ethernet1/0/18 description SormOutGroup2 dot1q-tunnel enable switchport access vlan 2000 ! Interface Ethernet1/0/19 description SormInGroup2 dot1q-tunnel enable switchport access vlan 2000 ip access-group Sorm in ! Interface Ethernet1/0/21 description SormInGroup2 transceiver-monitoring enable dot1q-tunnel enable switchport access vlan 2000 ip access-group Sorm in ! mac-address-learning disable interface Ethernet1/0/9 mac-address-learning disable interface Ethernet1/0/10 mac-address-learning disable interface Ethernet1/0/11 mac-address-learning disable interface Ethernet1/0/13 mac-address-learning disable interface Ethernet1/0/15 mac-address-learning disable interface Ethernet1/0/17 mac-address-learning disable interface Ethernet1/0/18 mac-address-learning disable interface Ethernet1/0/19 mac-address-learning disable interface Ethernet1/0/21 ! isolate-port group SormGroup1 switchport interface Ethernet1/0/15 isolate-port group SormGroup1 switchport interface Ethernet1/0/13 isolate-port group SormGroup1 switchport interface Ethernet1/0/11 isolate-port group SormGroup1 switchport interface Ethernet1/0/9 isolate-port group SormGroup2 switchport interface Ethernet1/0/21 isolate-port group SormGroup2 switchport interface Ethernet1/0/19 isolate-port group SormGroup2 switchport interface Ethernet1/0/17 end
На вопрос "были ли какие-то сложности при внедрении решения?" получили ответ:
Сложностей в настройке самого SNR не было, все предельно просто и понятно. С момента запуска проблем не возникало.
В дополнение графики загрузки портов и CPU SNR-S4550.
Порты со стороны оптических делителей
Порты со стороны СОРМ
Загрузка CPU
Материал:
Проблемы с зеркалированием клиентского трафика на съемник СОРМ, возникают перед каждым оператором, с ростом объемов трафика. Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме, думаем этот опыт будет интересен нашим читателям.
Полный текст
а можно увидеть содержимое акцесс группы sorm ?
ps: а чем рисуете графики такие?
Заббикс это
а в чем, собственно, достижение ? собрать трафик с файбер тапов свичем с 9МБ шаред буферами и, теряя по пути пакеты, слить в СОРМ ? для этого и файбертапы то не нужны даже. Ж)
Добрый день,
А что конкретно интересует ? ACL-ем можно фильтровать по любым заголовкам L2-L4
За любую фильтрацию по любым заголовкам L2-L4 можно по шапке получить, интересует конкретный фильтр, который удалось согласовать с соответствующими товарищами.
Отфильтровывается не-абонентский трафик, например доступ пиринг-партнеров к определенным ресурсам, служебный трафик и.т.п.
Конкретные фильтры не могут быть опубликованы по понятным причинам.
QoS ACL есть ?
Есть.