faq обучение настройка
Текущее время: Чт мар 28, 2024 12:47

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пн июл 30, 2018 09:43 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Добрый день.

Не работает фильтр трафика. Прописано что бы зеркалировался только трафик из подсети 10.3.0.0/16 а отдается весь.

Зеркалирование настроено на 3-ех коммутаторах. Коммутаторы во всех случаях DGS-3420-28SC | Firmware 1.70.B005 | Hardware A2

1 коммутатор

create vlan rspanvlan tag 3000
create rspan vlan vlan_name rspanvlan

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.3.0.0 port 28 mirror group_id 1

enable rspan
config mirror port 28 add source ports 1,2,3,4,5,6,7,8 both
enable mirror

2 коммутатор

create vlan rspanvlan tag 3000
create rspan vlan vlan_name rspanvlan

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.3.0.0 port 28 mirror group_id 1

enable rspan
config mirror port 28 add source ports 1,2,3 both
enable mirror

3 коммутатор

create vlan rspanvlan tag 3000
config vlan rspanvlan add tagged 26,27,28
create rspan vlan vlan_name rspanvlan
config rspan vlan vlan_name rspanvlan redirect add port 26
enable rspan

В теории тут ACL не нужен но все равно прописано на всякий случай.

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.3.0.0 port 26 mirror group_id 1

Мы где то ошиблись в настройках или ACL не работает корректно?


Вложения:
lol.jpg
lol.jpg [ 36.08 KiB | Просмотров: 5449 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Ср авг 01, 2018 13:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
ACL надо вешать на source порты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пн авг 06, 2018 11:59 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Поменяли но не помогло. Трафик все равно сыпется весь.

1 коммутатор

create vlan rspanvlan tag 3000
create rspan vlan vlan_name rspanvlan

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.3.0.0 port 1,2,3,4,5,6,7,8 mirror group_id 1

enable rspan
config mirror port 28 add source ports 1,2,3,4,5,6,7,8 both
enable mirror

2 коммутатор

create vlan rspanvlan tag 3000
create rspan vlan vlan_name rspanvlan

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.3.0.0 port 1,2,3 mirror group_id 1

enable rspan
config mirror port 28 add source ports 1,2,3 both
enable mirror

3 коммутатор

create vlan rspanvlan tag 3000
config vlan rspanvlan add tagged 26,27,28
create rspan vlan vlan_name rspanvlan
config rspan vlan vlan_name rspanvlan redirect add port 26
enable rspan


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пн авг 06, 2018 15:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Приведите выводы
show mirror
show access_profile profile_id 1


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Ср авг 08, 2018 09:05 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
1 коммутатор

DGS-3420-28SC:admin#show mirror
Command: show mirror

Mirror Global State: Enabled

Group State Target Port Source Ports
------- ---------- ------------- ----------------------------------------------
1 Enabled 28 RX: 1-8
TX: 1-8

DGS-3420-28SC:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

Access Profile Table

================================================================================
Profile ID: 1 Profile name: 1 Type: IPv4

MASK on
Source IP : 255.255.0.0

Available HW Entries : 255
--------------------------------------------------------------------------------
Rule ID : 1 (auto assign) Ports: 1-8

Match on
Source IP : 10.3.0.0

Action:
Mirror(Mirror Group ID:1)

================================================================================

2 коммутатор

DGS-3420-28SC:admin#show mirror
Command: show mirror

Mirror Global State: Enabled

Group State Target Port Source Ports
------- ---------- ------------- ----------------------------------------------
1 Enabled 28 RX: 1-3
TX: 1-3

DGS-3420-28SC:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

Access Profile Table

================================================================================
Profile ID: 1 Profile name: 1 Type: IPv4

MASK on
Source IP : 255.255.0.0

Available HW Entries : 255
--------------------------------------------------------------------------------
Rule ID : 1 (auto assign) Ports: 1-3

Match on
Source IP : 10.3.0.0

Action:
Mirror(Mirror Group ID:1)

================================================================================

3 коммутатор

DGS-3420-28SC:admin#show mirror
Command: show mirror

Mirror Global State: Enabled

Group State Target Port Source Ports
------- ---------- ------------- ----------------------------------------------

DGS-3420-28SC:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

The profile does not exist.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Ср авг 08, 2018 09:21 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
что самое интересное те адреса в 10 порту первого коммутатора, трафик с которого не снимается вообще


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Ср авг 08, 2018 16:46 
Не в сети

Зарегистрирован: Чт ноя 01, 2012 05:57
Сообщений: 66
Knoppix писал(а):
1 коммутатор

DGS-3420-28SC:admin#show mirror
Command: show mirror

Mirror Global State: Enabled

Group State Target Port Source Ports
------- ---------- ------------- ----------------------------------------------
1 Enabled 28 RX: 1-8
TX: 1-8

Указание портов только в acl не есть достаточное условие для попадание трафика в mirror_group? Т.е. если убрать из mirror - rx 1-8 и tx 1-8, что-нибудь будет попадать в rspan-вилан?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Чт авг 09, 2018 09:13 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
если убираю из mirror то трафик не зеркалируется


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пн авг 13, 2018 15:24 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Может фильтр ACL просто не работает для mirror?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Чт авг 30, 2018 11:56 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Если вы не знаете ответа на прошлый вопрос может вы просто посоветуете коммутатор 10Gb где фильтр точно работает и к которому есть проверенная инструкция как его включить?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пт окт 19, 2018 10:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Если вы зеркалируете через acl, вам не надо указывать source порты при настройке mirror group.
Достаточно повесить acl.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пт фев 08, 2019 16:54 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Artem Kolpakov писал(а):
Если вы зеркалируете через acl, вам не надо указывать source порты при настройке mirror group.
Достаточно повесить acl.


Спасибо, получилось. Сделали так:

config mirror port 23 вместо config mirror port 23 add source ports 22 both

и acl

config rspan vlan vlan_name rspanvlan source mirror_group_id 1
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.0.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.0.0.0 port 22 mirror group_id 1

Но в wireshark попадают только source пакеты без destination. Можно как то сделать что бы попадали и destination пакеты?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Пт мар 22, 2019 11:42 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
Как быть с destination пакетами нет информации?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Ср мар 27, 2019 14:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Добавьте соответствующее правило в acl


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3420-28SC +RSPAN +ACL
СообщениеДобавлено: Вт сен 03, 2019 15:49 
Не в сети

Зарегистрирован: Чт мар 03, 2011 18:34
Сообщений: 70
При попытке добавления правила:
Код:
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 10.0.0.0 port 22 mirror group_id 1

выдает:
Код:
Cannot add the rule to the profile as the rule conflicts with the profile.
Fail!

При попытке добавить в отдельный профиль:
Код:
create access_profile profile_id 2 profile_name 2 ip source_ip_mask 255.0.0.0

на команде:
Код:
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.0.0.0 port 22 mirror group_id 1

выдает такую же ошибку
Код:
Cannot add the rule to the profile as the rule conflicts with the profile.
Fail!

Надо как то по другому добавлять правило?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB