vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Коммутатор SNR-S4550-24XQ в качестве фильтра и агрегатора трафика для СОРМ 8

Дата публикации: 18.09.2015
Количество просмотров: 6182

Проблемы с  зеркалированием клиентского трафика на съемник СОРМ, возникают  перед каждым оператором, с ростом объемов трафика.

Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме. Думаем этот опыт будет интересен нашим читателям.

Описание решения, присланное нашим клиентом:

С планомерным увеличением объемов клиентского трафика остро встал вопрос об уходе от схемы сбора трафика для СОРМ с использованием активного оборудования ядра сети в сторону использования пассивных оптических съемников.

Предыдущая схема была достаточно типовая - оборудование СОРМ подключалось непосредственно к Cisco 6500 двумя 10G интерфейсами. На Cisco настраивалось необходимое число RSPAN сессий с целью загнать весь трафик в определенный RSPAN VLAN. На этом же узле к данному RSPAN Vlan применялась VLAN Access map с целью отфильтровать интересующий трафик. В завершении, с помощью еще одной RSPAN сессии, трафик из RSPAN VLAN отправлялся в SPAN порты (2х10G) - непосредственно в СОРМ.

Очевидные минусы схемы - нагрузка на Cisco "лишним" SPAN трафиком, необходимостью его фильтрации.

При переходе к схеме с использованием оптических съемников возникает необходимость в агрегации большого числа 10G линков с последующей фильтрацией интересующего трафика на OSI L3-L4, так как текущая конфигурация СОРМ включает лишь два 10G интерфейса. Исходя из этих выводов, мы сформировали требования к коммутатору:

  • хорошая 10G port density;
  • L3-L4 ACL для switched трафика;
  • наличие "базового" набора фич, таких как no mac address learning per port, QinQ Tunnel, Traffic Segmentation/Protected Port/Private VLAN;
  • бюджетная цена ввиду нулевой доходности "проекта".


Таким образом, с помощью SNR-S4550 решаются следующие задачи:

  • агрегация трафик с оптических съемников (6x10G портов на RX);
  • фильтрация трафика, поступающего со съемников, перед отправкой в СОРМ.

Схема подключения SNR-S4550-24XQ
Схема подключения SNR-S4550-24XQ

Основные моменты конфигурации коммутатора SNR-S4550-24XQ:

  1. Используем "mac-address-learning disable interface Ethernet " на всех RX портах, чтобы коммутатор не запоминал мак адреса в кадрах и производил широковещательную рассылку поступающих кадров.
  2. Используем два VLAN (по числу TX портов) для группировки RX и TX портов в две группы (3 RX + 1 TX per group), чтобы широковещательная рассылка не дублировалась в оба TX порта.
  3. Используем две "isolate-port group" с целью изолировать RX порты в каждом из VLAN друг от друга.
  4. Используем ACL для фильтрации поступающего трафика.
  5. Используем QinQ Tunnel что бы сохранить оригинальный VLAN id кадров, так же пропадает необходимость настраивать коммутатор под все возможные варианты VLANов в RX трафике.

 

 

Сам конфиг:

На вопрос "были ли какие-то сложности при внедрении решения?" получили ответ:

Сложностей в настройке самого SNR не было, все предельно просто и понятно. С момента запуска проблем не возникало.

В дополнение графики загрузки портов и CPU SNR-S4550.

Порты со стороны оптических делителей
Порты со стороны оптических делителей

Порты со стороны СОРМ
Порты со стороны СОРМ

Загрузка CPU
Загрузка CPU

 

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/article/28075/kommutator-snr-s4550-24xq-v-kachestve-filtra-i-agregatora-trafika-dlya-sorm.html

Комментарии:(8) комментировать

19 сентября 2015 - 21:57
Robot_NagNews:
#1

Материал:
Проблемы с зеркалированием клиентского трафика на съемник СОРМ, возникают перед каждым оператором, с ростом объемов трафика. Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме, думаем этот опыт будет интересен нашим читателям.

Полный текст


19 сентября 2015 - 21:57
catalist:
#2

а можно увидеть содержимое акцесс группы sorm ?
ps: а чем рисуете графики такие?


19 сентября 2015 - 23:16
zhenya`:
#3

Заббикс это


21 сентября 2015 - 9:17
pfexec:
#4

а в чем, собственно, достижение ? собрать трафик с файбер тапов свичем с 9МБ шаред буферами и, теряя по пути пакеты, слить в СОРМ ? для этого и файбертапы то не нужны даже. Ж)


23 сентября 2015 - 13:32
Mikhail Burnin:
#5

Просмотр сообщенияcatalist (19 сентября 2015 - 20:57) писал:

а можно увидеть содержимое акцесс группы sorm ?


Добрый день,
А что конкретно интересует ? ACL-ем можно фильтровать по любым заголовкам L2-L4


23 сентября 2015 - 17:49
sio:
#6

Просмотр сообщенияMikhail Burnin (23 сентября 2015 - 12:32) писал:

Просмотр сообщенияcatalist (19 сентября 2015 - 20:57) писал:

а можно увидеть содержимое акцесс группы sorm ?


Добрый день,
А что конкретно интересует ? ACL-ем можно фильтровать по любым заголовкам L2-L4


За любую фильтрацию по любым заголовкам L2-L4 можно по шапке получить, интересует конкретный фильтр, который удалось согласовать с соответствующими товарищами.


24 сентября 2015 - 13:58
Mikhail Burnin:
#7

Отфильтровывается не-абонентский трафик, например доступ пиринг-партнеров к определенным ресурсам, служебный трафик и.т.п.
Конкретные фильтры не могут быть опубликованы по понятным причинам.


24 сентября 2015 - 19:26
ilili:
#8

QoS ACL есть ?


25 сентября 2015 - 10:19
Mikhail Burnin:
#9

Просмотр сообщенияilili (24 сентября 2015 - 18:26) писал:

QoS ACL есть ?


Есть.


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться