Зеркалирование трафика

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы
<< Предыдущий Версия 13 Текущий >>

Настройка

Зеркалирование настраивается в меню Carbon XGE Router 5 -> Настройки зеркалирования трафика

Зеркалирование реализовано с помощью модуля ядра xt_TEE и правил IPTABLES, например: 
# iptables-save | grep TEE
-A xge_post -p tcp -m multiport --sports 80,443 -m set --match-set xge_auth_list dst -j TEE  --gateway 10.0.0.2 
-A xge_post -p udp -m multiport --dports 1812,1813 -j TEE  --gateway 10.0.0.2 
-A xge_pre -p tcp -m multiport --dports 80,443 -m set --match-set xge_auth_list src -j TEE  --gateway 10.0.0.2 
-A xge_pre -p udp -m multiport --sports 1812,1813 -j TEE  --gateway 10.0.0.2

Описание опций

Отправлять в СОРМ зеркало всего радиус трафика:

Данная опция включает зеркалирования только радиус трафика по портам 1812 и 1813.

Включать зеркалирование трафика:

Опция включает зеркалирование трафика с указанных ниже портов. Зеркалирование идет только по тем абонентам, которые находятся в xge_auth_list (т.е. только по абонентам, существующим в биллинге и у которых выбран NAS XGE).

Адрес СОРМ:

Адрес, на который необходимо зеркалировать пакеты.

Порты, которые требуется отправлять в СОРМ:

В данном пункте необходимо прописать порты, на которые будет применяться правило зеркала в фаерволе.

Примечание: XGE не изменяет саму структуру пакета, только маршрутизирует его, поэтому СОРМ и XGE должны находиться в одной сети!

СОРМ без IP и MAC

Некотороые вариации СОРМ2 не имеют IP и MAC адреса. Для выхода из ситуации выполните следующее:

  1. Выделите отдельный интерфейс, с которого роутер будет иметь физический доступ до СОРМ (следует напрямую соединить сетевой порт СОРМ и выделенный порт XGE)
  2. Выберите небольшой (достаточно /30) сегмент любого пула адоресов доступных для использования в частных сетях
  3. Настройте один из адресов на интерфейсе XGE. Например, 100.64.90.25
  4. Выберите произвольный адрес из выделенного сегмента и укажите его в настройках XGE
  5. Создайте статическую arp запись на сервере, выбрав произвольный не существующий mac-адрес, сопоставив его с выбранным адресом. Например: 
    arp -s 100.64.90.26 52:54:00:b4:13:da

    Данный адрес был автоматический сгенерирован гипервизором KVM и вряд ли встретится в Вашей сети.

После проверки работы, добавьте arp запись в хук, чтобы не потерялась после перезагрузки сервера.

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.