Настройка сети для работы Carbon Reductor состоит из 2.5 частей.
{toc}
h1. Для версий 7.4.4 и выше
h2. Настройка сканирования трафика
Запустите мастер настройки сети выбрав пункт в menu *Настройка сканирования трафика*
!JUasAR.png|border=1!
При первом запуске необходимо выполнить сканирования трафика, чтобы понять что приходит в зеркало трафика, в диалоговом окне выберите кнопку *<ДА>*.
!YRnZ0o.png|border=1!
При этом будет выведена информация о всех сетевых интерфейсах.
Пример вывода:
{code}
# Протоколы в зеркале (без разворачивания):
802.1Q
IPv4
# Тэги vlan:
vlan 101
vlan 102
vlan 103
vlan 104
vlan 105
vlan 106
vlan 110
vlan 111
vlan 120
vlan 555
vlan 789
vlan 99
# Версии IP-протокола
IPv4
# Пакеты VPN:
ethertype PPPoE
# Пакетов с tcp src port 80 (всего 100)
6
# Пакетов с tcp dst port 80 (всего 100)
0
# Наличие IP с которым уходим в default route в зеркале (10.0.0.4):
Присутствует
{code}
Следующим шагом согласитесь на запуск мастера настройки сети.
!s6QXhH.png|border=1!
Затем выберите тип зеркала (коммутатор или маршрутизатор).
!OieujY.png|border=1!
h3. L2 mirror без vlan (с порта коммутатора)
Выбираем пункт меню *l2_eth_only*.
Затем выбираем интерфейсы необходимые для зеркалирования трафика.
!eZmg6Q.png|border=1!
Получаем сообщение об успешной настройке.
!JTCix2.png|border=1!
h3. L2 mirror + vlan (с порта коммутатора)
Выбираем пункт меню *l2_vlan_only*
Затем выбираем интерфейсы, на которые необходимо добавить vlan
!x4Dqph.png|border=1!
И вводим номер тега vlan.
!zOvLMZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L2 mirror + vlan + без (с порта коммутатора)
Данное опция предназначена для универсальной настройки с vlan, так и без него.
Выбираем пункт меню *l2_vlan_mixed*.
A. Первым шагом настраиваем l2 без vlan
!eZmg6Q.png|border=1!
Б. Нажав кнопку *<Далее>* попадаем в меню с настройкой vlan
!x4Dqph.png|border=1!
И вводим номер тега vlan.
!zOvLMZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L3 mirror (на IP адрес)
Выбираем пункт меню *l3*.
Выбираем нужный интерфейс из списка.
!eZmg6Q.png|border=1!
Вводим IP/маску в правильном формате, в противном случае мастер не даст возможность продолжить настройку
!jMZFBZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L3 mirror + vlan (на IP адрес)
Выбираем пункт меню *l3_vlan*.
Затем выбираем интерфейсы, на которые необходимо добавить vlan.
!x4Dqph.png|border=1!
Вводим номер тега vlan
!zOvLMZ.png|border=1!
И IP/маску для интерфейса
!jMZFBZ.png|border=1!
Нажимаем кнопку *<Далее>* и применяем настройки.
h1. Для версий ниже 7.4.4
h2. 1. Настройка для выхода в интернет
См. статью [reductor5:Настройка сети для выхода в интернет]
после этого у вас будет возможность скачать и [установить|reductor5:Установка] на сервер Carbon Reductor.
h2. 2. Настройка сканирования трафика
Перед настройкой сканирования трафика изучите, что приходит в зеркало трафика выполнив команду:
{code}
/usr/local/Reductor/bin/mirror_info.sh eth1 10000
{code}
* eth1 - сетевая карта на которую приходит зеркало трафика;
* 10000 - число пакетов для анализа.
Пример вывода:
{code}
# Протоколы в зеркале (без разворачивания):
802.1Q
IPv4
# Тэги vlan:
vlan 101
vlan 102
vlan 103
vlan 104
vlan 105
vlan 106
vlan 110
vlan 111
vlan 120
vlan 555
vlan 789
vlan 99
# Версии IP-протокола
IPv4
# Пакеты VPN:
ethertype PPPoE
# Пакетов с tcp src port 80 (всего 100)
6
# Пакетов с tcp dst port 80 (всего 100)
0
# Наличие IP с которым уходим в default route в зеркале (10.0.0.4):
Присутствует
{code}
Определить наличие VLAN можно запустив команду и взглянув на данные о принятых пакетах:
{code}
tcpdump -nneei <интерфейс, куда приходит зеркало, например eth1> -c 100
{code}
h3. L2 mirror без vlan (с порта коммутатора)
Запускаем мастер настройки сканирования через menu.
Пропускаем пункт с VLAN.
Применяем настройки.
h3. L2 mirror + vlan (с порта коммутатора)
Запускаем мастер настройки сканирования через menu.
После выбора интерфейсов добавляем VLAN тэги.
*Не применяем настройки.*
Рекомендуется исключить обычный интерфейс из созданного bridge, так как это может привести к петле в сети.
Для этого после применения настроек открываем любым удобным текстовым редактором конфиг интерфейса, лежащий в
{code}
/etc/sysconfig/network-scripts/ifcfg-<имя_интерфейса, например eth1>
{code}
убрать строчку
{code}
BRIDGE=br0
{code}
(или любой другой bridge) и выполнить
{code}
service network restart
{code}
Проверить его отсутствие/наличие в bridge можно выполнив команду
{code}
brctl show
{code}
при правильной настройке внутри bridge будут только vlan-интерфейсы.
h3. L3 mirror (на IP адрес)
В случае, если используется L3 mirror с маршрутизатора, то пользоваться мастером настройки сети не нужно.
Достаточно средствами CentOS или вручную по аналогии с [настройкой сети для выхода в интернет|reductor5:Настройка сети для выхода в интернет] настроить второй интерфейс, который не имеет параметра GATEWAY, а
{code}
DEFROUTE=no
{code}
а IPADDR/NETMASK - то, куда отправляется зеркало трафика
Мы не рекомендуем использовать одну сетевую карту для выхода в интернет и приёма зеркала трафика, хотя имеются установки, в которых было решено обойтись одной картой.
h3. Добавление ещё одного интерфейса для сканирования (L2, опционально)
Если у вас увеличился объём снимаемого трафика и вы добавили ещё один интерфейс в сервер с Carbon Reductor, лучше не запускать мастер настройки заново, т.к. он затирает все настройки сетевых интерфейсов кроме того, через который Carbon Reductor выходит в интернет. То же самое касается изменения настроек - лучше сделать их вручную.
Скопируйте шаблон настроек интерфейса, для обычного ethernet:
{code}
cp /usr/local/Reductor/contrib/tmplts/ifcfg-eth /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса>
{code}
для vlan:
{code}
cp /usr/local/Reductor/contrib/tmplts/ifcfg-vlan /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса>.<номер тэга vlan>
{code}
и замените на реальные значения:
* $eth
* $bridge
* $ip (лучше незанятый на этом сервере из сети 169.255.255.0/24)
* $tag (для vlan)
Пример конфига:
{code}
DEVICE=eth2
BOOTPROTO=static
BRIDGE=br0
IPADDR=169.255.255.197
NETMASK=255.255.255.0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
{code}
h2. 3. Настройка оборудования для отправки зеркала трафика
Настройки оборудования находятся в этом [разделе документации|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260].
h2. 4. Увеличение производительности сервера
Если в зеркало трафика попадает более 1 гбит/c, скорее всего производительность фильтрации из коробки будет не очень высока и появятся потери и пропуски фильтрации. Не спешите отчаиваться, [по советам данной статье|Потери на сетевых картах, задержки в обработке и как с ними бороться] можно снизить нагрузку на процессор более чем в 15 раз.
h2. 5. Проверка ребутом сервера
Чтобы убедиться, что все настройки корректны и сохраняются - необходим рестарт сервера. service network restart может не выявить некоторые нюансы применения/сохранения настроек.
h2. Полезные команды
Показать бриджи и интерфейсы в них
{code}
brctl show
{code}
Удаление интерфейса из bridge:
{code}
brctl delif br0 eth1
{code}
Удаление бриджа (если в нём нет интерфейсов)
{code}
brctl delbr br0
{code}
Удаление интерфейса
{code}
ip link del dev eth1.123
{code}
{toc}
h1. Для версий 7.4.4 и выше
h2. Настройка сканирования трафика
Запустите мастер настройки сети выбрав пункт в menu *Настройка сканирования трафика*
!JUasAR.png|border=1!
При первом запуске необходимо выполнить сканирования трафика, чтобы понять что приходит в зеркало трафика, в диалоговом окне выберите кнопку *<ДА>*.
!YRnZ0o.png|border=1!
При этом будет выведена информация о всех сетевых интерфейсах.
Пример вывода:
{code}
# Протоколы в зеркале (без разворачивания):
802.1Q
IPv4
# Тэги vlan:
vlan 101
vlan 102
vlan 103
vlan 104
vlan 105
vlan 106
vlan 110
vlan 111
vlan 120
vlan 555
vlan 789
vlan 99
# Версии IP-протокола
IPv4
# Пакеты VPN:
ethertype PPPoE
# Пакетов с tcp src port 80 (всего 100)
6
# Пакетов с tcp dst port 80 (всего 100)
0
# Наличие IP с которым уходим в default route в зеркале (10.0.0.4):
Присутствует
{code}
Следующим шагом согласитесь на запуск мастера настройки сети.
!s6QXhH.png|border=1!
Затем выберите тип зеркала (коммутатор или маршрутизатор).
!OieujY.png|border=1!
h3. L2 mirror без vlan (с порта коммутатора)
Выбираем пункт меню *l2_eth_only*.
Затем выбираем интерфейсы необходимые для зеркалирования трафика.
!eZmg6Q.png|border=1!
Получаем сообщение об успешной настройке.
!JTCix2.png|border=1!
h3. L2 mirror + vlan (с порта коммутатора)
Выбираем пункт меню *l2_vlan_only*
Затем выбираем интерфейсы, на которые необходимо добавить vlan
!x4Dqph.png|border=1!
И вводим номер тега vlan.
!zOvLMZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L2 mirror + vlan + без (с порта коммутатора)
Данное опция предназначена для универсальной настройки с vlan, так и без него.
Выбираем пункт меню *l2_vlan_mixed*.
A. Первым шагом настраиваем l2 без vlan
!eZmg6Q.png|border=1!
Б. Нажав кнопку *<Далее>* попадаем в меню с настройкой vlan
!x4Dqph.png|border=1!
И вводим номер тега vlan.
!zOvLMZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L3 mirror (на IP адрес)
Выбираем пункт меню *l3*.
Выбираем нужный интерфейс из списка.
!eZmg6Q.png|border=1!
Вводим IP/маску в правильном формате, в противном случае мастер не даст возможность продолжить настройку
!jMZFBZ.png|border=1!
Для завершения настройки нажимаем кнопку *<Завершить>* и применяем настройки.
h3. L3 mirror + vlan (на IP адрес)
Выбираем пункт меню *l3_vlan*.
Затем выбираем интерфейсы, на которые необходимо добавить vlan.
!x4Dqph.png|border=1!
Вводим номер тега vlan
!zOvLMZ.png|border=1!
И IP/маску для интерфейса
!jMZFBZ.png|border=1!
Нажимаем кнопку *<Далее>* и применяем настройки.
h1. Для версий ниже 7.4.4
h2. 1. Настройка для выхода в интернет
См. статью [reductor5:Настройка сети для выхода в интернет]
после этого у вас будет возможность скачать и [установить|reductor5:Установка] на сервер Carbon Reductor.
h2. 2. Настройка сканирования трафика
Перед настройкой сканирования трафика изучите, что приходит в зеркало трафика выполнив команду:
{code}
/usr/local/Reductor/bin/mirror_info.sh eth1 10000
{code}
* eth1 - сетевая карта на которую приходит зеркало трафика;
* 10000 - число пакетов для анализа.
Пример вывода:
{code}
# Протоколы в зеркале (без разворачивания):
802.1Q
IPv4
# Тэги vlan:
vlan 101
vlan 102
vlan 103
vlan 104
vlan 105
vlan 106
vlan 110
vlan 111
vlan 120
vlan 555
vlan 789
vlan 99
# Версии IP-протокола
IPv4
# Пакеты VPN:
ethertype PPPoE
# Пакетов с tcp src port 80 (всего 100)
6
# Пакетов с tcp dst port 80 (всего 100)
0
# Наличие IP с которым уходим в default route в зеркале (10.0.0.4):
Присутствует
{code}
Определить наличие VLAN можно запустив команду и взглянув на данные о принятых пакетах:
{code}
tcpdump -nneei <интерфейс, куда приходит зеркало, например eth1> -c 100
{code}
h3. L2 mirror без vlan (с порта коммутатора)
Запускаем мастер настройки сканирования через menu.
Пропускаем пункт с VLAN.
Применяем настройки.
h3. L2 mirror + vlan (с порта коммутатора)
Запускаем мастер настройки сканирования через menu.
После выбора интерфейсов добавляем VLAN тэги.
*Не применяем настройки.*
Рекомендуется исключить обычный интерфейс из созданного bridge, так как это может привести к петле в сети.
Для этого после применения настроек открываем любым удобным текстовым редактором конфиг интерфейса, лежащий в
{code}
/etc/sysconfig/network-scripts/ifcfg-<имя_интерфейса, например eth1>
{code}
убрать строчку
{code}
BRIDGE=br0
{code}
(или любой другой bridge) и выполнить
{code}
service network restart
{code}
Проверить его отсутствие/наличие в bridge можно выполнив команду
{code}
brctl show
{code}
при правильной настройке внутри bridge будут только vlan-интерфейсы.
h3. L3 mirror (на IP адрес)
В случае, если используется L3 mirror с маршрутизатора, то пользоваться мастером настройки сети не нужно.
Достаточно средствами CentOS или вручную по аналогии с [настройкой сети для выхода в интернет|reductor5:Настройка сети для выхода в интернет] настроить второй интерфейс, который не имеет параметра GATEWAY, а
{code}
DEFROUTE=no
{code}
а IPADDR/NETMASK - то, куда отправляется зеркало трафика
Мы не рекомендуем использовать одну сетевую карту для выхода в интернет и приёма зеркала трафика, хотя имеются установки, в которых было решено обойтись одной картой.
h3. Добавление ещё одного интерфейса для сканирования (L2, опционально)
Если у вас увеличился объём снимаемого трафика и вы добавили ещё один интерфейс в сервер с Carbon Reductor, лучше не запускать мастер настройки заново, т.к. он затирает все настройки сетевых интерфейсов кроме того, через который Carbon Reductor выходит в интернет. То же самое касается изменения настроек - лучше сделать их вручную.
Скопируйте шаблон настроек интерфейса, для обычного ethernet:
{code}
cp /usr/local/Reductor/contrib/tmplts/ifcfg-eth /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса>
{code}
для vlan:
{code}
cp /usr/local/Reductor/contrib/tmplts/ifcfg-vlan /etc/sysconfig/network-scripts/ifcfg-<имя нового интерфейса>.<номер тэга vlan>
{code}
и замените на реальные значения:
* $eth
* $bridge
* $ip (лучше незанятый на этом сервере из сети 169.255.255.0/24)
* $tag (для vlan)
Пример конфига:
{code}
DEVICE=eth2
BOOTPROTO=static
BRIDGE=br0
IPADDR=169.255.255.197
NETMASK=255.255.255.0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
{code}
h2. 3. Настройка оборудования для отправки зеркала трафика
Настройки оборудования находятся в этом [разделе документации|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260].
h2. 4. Увеличение производительности сервера
Если в зеркало трафика попадает более 1 гбит/c, скорее всего производительность фильтрации из коробки будет не очень высока и появятся потери и пропуски фильтрации. Не спешите отчаиваться, [по советам данной статье|Потери на сетевых картах, задержки в обработке и как с ними бороться] можно снизить нагрузку на процессор более чем в 15 раз.
h2. 5. Проверка ребутом сервера
Чтобы убедиться, что все настройки корректны и сохраняются - необходим рестарт сервера. service network restart может не выявить некоторые нюансы применения/сохранения настроек.
h2. Полезные команды
Показать бриджи и интерфейсы в них
{code}
brctl show
{code}
Удаление интерфейса из bridge:
{code}
brctl delif br0 eth1
{code}
Удаление бриджа (если в нём нет интерфейсов)
{code}
brctl delbr br0
{code}
Удаление интерфейса
{code}
ip link del dev eth1.123
{code}