Настройка L2-mirror с маршрутизатора Ericsson SE100

Skip to end of metadata
Go to start of metadata

Реализовалось на древней версии SEOS-6.5.1.5-Release, но должно работать и на последующих, т.к. используется только базовый функционал.

Будем использовать схему с двумя политиками для зеркалирования: первой политикой мы зеркалируем трафик от абонентов с аплинк порта на анализатор, а второй политикой с порта анализатор зеркалируем исходящий трафик на аплинк порт. Поскольку маршрутизатор то у нас аппаратный, то такие политики не вызывают падения производительности и других неприятных эффектов.

Для маршрутизация абонентов обязательно нужно создать отдельный контекст, т.е. не нужно зеркалировать трафик в контексте local. Если контекст уже есть и в нем работают сабскрайберы, то нужно только добавить в контекст ACL, определить политики зеркалирования и навесить эти политики на реальные порты.

1. Добавляем в контекст ACL для зеркалирования

context inet

! Определяем наш внешний IP для аплинка
interface ext-net
ip address <Внешний-IP>

! Здесь определяется список того, что нужно зеркалировать НА карбонредуктор
policy access-list Mirror_ACL
! Вот это правило нужно, чтобы убрать с зеркала трафик самого редуктора
seq 3 permit ip host <IP-адрес карбонередуктора> any class CarbonTraffic
! Дальше идет список портов трафика от абонентов
seq 5 permit udp any any eq domain class MirrorTraffic
seq 10 permit tcp any any eq www class MirrorTraffic
seq 20 permit tcp any any eq 443 class MirrorTraffic
seq 21 permit tcp any any eq 8080 class MirrorTraffic
seq 40 permit tcp any any eq ftp class MirrorTraffic
seq 50 permit tcp any any eq ftp-data class MirrorTraffic

! А здесь мы определяем что нужно зеркалировать ОТ карбонредуктора
policy access-list ReductorBlock_ACL
seq 10 permit ip any any class ReductorBlockTraffic
!

! Определяем маршрут по умолчанию
ip route 0.0.0.0/0 <IP-адрес шлюз аплинка>
! Выкашиваем майкрософтовские teredo IPv6-in-IPv4 туннели
ip route 192.88.99.1/32 10.10.139.141

! ** End Context **

2. Определяем policy для зеркалирования

В mirror destination по сути указывается символьный “alias” для реального физического порта, который указывается уже конфигурации самого порта.

! Политика для зеркалирования трафика абонентов НА карбон редуктор
forward policy MirrorPolicy
ip access-group Mirror_ACL inet
class MirrorTraffic
mirror destination CarbonReductor1 forwarded ip-datagrams

! Политика для зеркалирования трафика редиректов и RST-пакетов ОТ карбон редуктора.
forward policy ReductorBlockPolicy
ip access-group ReductorBlock_ACL inet
class ReductorBlockTraffic
mirror destination ProviderUplink all ip-datagrams

3. Навешиваем политики на физические порты

Указываем куда какая политика должна зеркалировать трафик через forward output.

! На это порт подключен анализатор
port ethernet 2/2
description Carbon-Reductor
no shutdown
medium-type copper
encapsulation dot1q
forward output CarbonReductor1
!

! Это порт аплинка
port ethernet 2/4
description uplink
no shutdown
! Если аплинк отдает трафик в вилане, то нужно навешивать политику на dot1q pvc, а если отдает нетегированым портом, то навешивать на сам порт.
dot1q pvc 999
description inet
bind interface ext-net inet
forward policy MirrorPolicy out
forward output ProviderUplink

4. Несколько аплинков

Если аплинков несколько, то навешивать политику зеркалирования нужно на порт каждого аплинка и, соотвественно, добавлять в политику для исходящего от редуктора (ReductorBlockPolicy) дополнительные порты командой mirror destination.

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.