... Настройка сети для работы Carbon Reductor состоит из 2.5 частей. {toc} h1. Для версий 7.4.4 и выше
|
h2. Настройка сканирования трафика
|
|
Запустите мастер настройки сети выбрав пункт в menu *Настройка сканирования трафика*
|
!JUasAR.png|align=center,border=1!
|
При первом запуске необходимо выполнить сканирования трафика, чтобы понять что приходит в зеркало трафика, в диалоговом окне выберите кнопку *<ДА>*.
|
!YRnZ0o.png|align=center,border=1!
|
|
При этом будет выведена информация о всех сетевых интерфейсах.
|
Пример вывода:
|
... {code} # Протоколы в зеркале (без разворачивания): 802.1Q IPv4 # Тэги vlan: vlan 101 vlan 102 vlan 103 vlan 104 vlan 105 vlan 106 vlan 110 vlan 111 vlan 120 vlan 555 vlan 789 vlan 99 # Версии IP-протокола IPv4 # Пакеты VPN: ethertype PPPoE # Пакетов с tcp src port 80 (всего 100) 6 # Пакетов с tcp dst port 80 (всего 100) 0 # Наличие IP с которым уходим в default route в зеркале (10.0.0.4): Присутствует {code}
|
Следующим шагом согласитесь на запуск мастера настройки сети.
|
!s6QXhH.png|align=center,border=1!
|
Затем выберите тип зеркала (коммутатор или маршрутизатор).
|
!OieujY.png|align=center,border=1!
|
h3. L2 mirror без vlan (с порта коммутатора)
|
... Выбираем пункт меню *l2_eth_only*.
|
Затем выбираем интерфейсы необходимые для зеркалирования трафика.
|
!eZmg6Q.png|align=center,border=1!
|
Получаем сообщение об успешной настройке.
|
!JTCix2.png|align=center,border=1!
|
|
... h3. L2 mirror + vlan (с порта коммутатора) Выбираем пункт меню *l2_vlan_only*
|
Затем выбираем интерфейсы, на которые необходимо добавить vlan
|
!x4Dqph.png|align=center,border=1!
|
И вводим номер тега vlan.
|
!zOvLMZ.png|align=center,border=1!
|
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки. h3. L2 mirror + vlan + без (с порта коммутатора)
|
|
Данное опция предназначена для универсальной настройки с vlan, так и без него. Выбираем пункт меню *l2_vlan_mixed*.
|
A. Первым шагом настраиваем l2 без vlan
|
|
!eZmg6Q.png|align=center,border=1!
|
Б. Нажав кнопку *<Далее>* попадаем в меню с настройкой vlan
|
!x4Dqph.png|align=center,border=1!
|
И вводим номер тега vlan.
|
!zOvLMZ.png|align=center,border=1!
|
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
|
... h3. L3 mirror (на IP адрес) Выбираем пункт меню *l3*.
|
Выбираем нужный интерфейс из списка.
|
!eZmg6Q.png|align=center,border=1!
|
|
Вводим IP/маску в правильном формате, в противном случае мастер не даст возможность продолжить настройку
|
продолжить настройку
|
|
!zOvLMZ.png|align=center,border=1!
|
|
!jMZFBZ.png|border=1!
|
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
|
... h3. L3 mirror + vlan (на IP адрес) Выбираем пункт меню *l3_vlan*.
|
Затем выбираем интерфейсы, на которые необходимо добавить vlan.
|
!x4Dqph.png|align=center,border=1!
|
Вводим номер тега vlan
|
!zOvLMZ.png|align=center,border=1!
|
И IP/маску для интерфейса
|
!zOvLMZ.png|align=center,border=1!
|
|
!jMZFBZ.png|border=1!
|
|
Нажимаем кнопку *<Далее>* и применяем настройки.
|
h1. Для версий ниже 7.4.4
|
... h2. 1. Настройка для выхода в интернет См. статью [reductor5:Настройка сети для выхода в интернет] после этого у вас будет возможность скачать и [установить|reductor5:Установка] на сервер Carbon Reductor. h2. 2. Настройка сканирования трафика Перед настройкой сканирования трафика изучите, что приходит в зеркало трафика выполнив команду: {code} /usr/local/Reductor/bin/mirror_info.sh eth1 10000 {code} * eth1 - сетевая карта на которую приходит зеркало трафика; * 10000 - число пакетов для анализа. Пример вывода: {code} # Протоколы в зеркале (без разворачивания): 802.1Q IPv4 # Тэги vlan: vlan 101 vlan 102 vlan 103 vlan 104 vlan 105 vlan 106 vlan 110 vlan 111 vlan 120 vlan 555 vlan 789 vlan 99 # Версии IP-протокола IPv4 # Пакеты VPN: ethertype PPPoE # Пакетов с tcp src port 80 (всего 100) 6 # Пакетов с tcp dst port 80 (всего 100) 0 # Наличие IP с которым уходим в default route в зеркале (10.0.0.4): Присутствует {code} Определить наличие VLAN можно запустив команду и взглянув на данные о принятых пакетах: {code} tcpdump -nneei <интерфейс, куда приходит зеркало, например eth1> -c 100 {code} h3. L2 mirror без vlan (с порта коммутатора) Запускаем мастер настройки сканирования через menu. Пропускаем пункт с VLAN. Применяем настройки. h3. L2 mirror + vlan (с порта коммутатора) Запускаем мастер настройки сканирования через menu. После выбора интерфейсов добавляем VLAN тэги. *Не применяем настройки.* Рекомендуется исключить обычный интерфейс из созданного bridge, так как это может привести к петле в сети. Для этого после применения настроек открываем любым удобным текстовым редактором конфиг интерфейса, лежащий в {code} /etc/sysconfig/network-scripts/ifcfg-<имя_интерфейса, например eth1> {code} убрать строчку {code} BRIDGE=br0 {code} (или любой другой bridge) и выполнить {code} service network restart {code} Проверить его отсутствие/наличие в bridge можно выполнив команду {code} brctl show {code} при правильной настройке внутри bridge будут только vlan-интерфейсы. h3. L3 mirror (на IP адрес) В случае, если используется L3 mirror с маршрутизатора, то пользоваться мастером настройки сети не нужно. Достаточно средствами CentOS или вручную по аналогии с [настройкой сети для выхода в интернет|reductor5:Настройка сети для выхода в интернет] настроить второй интерфейс, который не имеет параметра GATEWAY, а {code} DEFROUTE=no {code} а IPADDR/NETMASK - то, куда отправляется зеркало трафика Мы не рекомендуем использовать одну сетевую карту для выхода в интернет и приёма зеркала трафика, хотя имеются установки, в которых было решено обойтись одной картой. h3. Добавление ещё одного интерфейса для сканирования (L2, опционально) Если у вас увеличился объём снимаемого трафика и вы добавили ещё один интерфейс в сервер с Carbon Reductor, лучше не запускать мастер настройки заново, т.к. он затирает все настройки сетевых интерфейсов кроме того, через который Carbon Reductor выходит в интернет. То же самое касается изменения настроек - лучше сделать их вручную. Скопируйте шаблон настроек интерфейса, для обычного ethernet: {code} cp /usr/local/Reductor/contrib/tmplts/ifcfg-eth /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса> {code} для vlan: {code} cp /usr/local/Reductor/contrib/tmplts/ifcfg-vlan /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса>.<номер тэга vlan> {code} и замените на реальные значения: * $eth * $bridge * $ip (лучше незанятый на этом сервере из сети 169.255.255.0/24) * $tag (для vlan) Пример конфига: {code} DEVICE=eth2 BOOTPROTO=static BRIDGE=br0 IPADDR=169.255.255.197 NETMASK=255.255.255.0 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=no {code} h2. 3. Настройка оборудования для отправки зеркала трафика Настройки оборудования находятся в этом [разделе документации|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260].
|
h2. 4. Увеличение производительности сервера
|
Если в зеркало трафика попадает более 1 гбит/c, скорее всего производительность фильтрации из коробки будет не очень высока и появятся потери и пропуски фильтрации. Не спешите отчаиваться, [по советам данной статье|reductor5:Потери на сетевых картах, задержки в обработке и как с ними бороться] можно снизить нагрузку на процессор более чем в 15 раз.
|
h2. 5. Проверка ребутом сервера
|
... Чтобы убедиться, что все настройки корректны и сохраняются - необходим рестарт сервера. service network restart может не выявить некоторые нюансы применения/сохранения настроек. h2. Полезные команды Показать бриджи и интерфейсы в них {code} brctl show {code} Удаление интерфейса из bridge: {code} brctl delif br0 eth1 {code} Удаление бриджа (если в нём нет интерфейсов) {code} brctl delbr br0 {code} Удаление интерфейса {code} ip link del dev eth1.123 {code}
|