Прозрачный мост + потоки трафика (netflow)

Серьезно, никто не может мне помочь? Неужели никто никогда не использовал RouterBoard в качестве TAP в сети, чтобы получить NetFlow?

Спасибо за ответ! Я включил FW, и да, работает. У меня еще один сценарий для тебя: а что, если вместо того, чтобы ставить RB между роутером и свитчем, я смогу разместить его на спан-порту свитча (мониторном порту)? Я только что сделал это и не вижу трафика, кроме трафика, генерируемого самим RB (прокачиваю поток трафика на мой коллектор). Может, я что-то упустил, что нужно изменить в конфигурации?

Что касается вопроса, почему не использовать RB вместо Cisco роутера, который стоял раньше, я “думаю / разрабатываю” разные решения на случай, если мне понадобится разместить RB в сети для сбора сетевой информации о трафике, а не на «всегда». То есть я не хочу, чтобы это был постоянный кусок оборудования в сети.

В связи с этим, я также не совсем уверен, какие нагрузки он может выдержать (характеристики на сайте очень неиндустриальные и не содержат достаточно подробностей, по крайней мере, того, что я могу найти). Поэтому я не очень охотно использую его в качестве внешней FW и / или роутера. Что думаешь о размещении на спан-порте?

У этих Cisco роутеров тоже есть NetFlow. Выгружайте данные прямо оттуда! Забудьте о прослушивании порта на коммутаторе! ЭТО ОЗНАЧАЕТ потерю пакетов и снижение производительности! Если только это не гигабитный коммутатор, который общается с роутером со скоростью менее 100 Мбит/с, и вы прослушиваете этот порт с небольшой нагрузкой... Некоторые коммутаторы сами могут отправлять данные NetFlow в ваш анализатор/базу данных... RB в режиме моста — это хорошо, но отправка NetFlow даст вам информацию о том, сможете ли вы использовать ее с вашим объемом трафика – просто следите за загрузкой CPU RB в часы пик! Это будет хорошо, на мой взгляд. RouterOS довольно надежен. Я видел, как Cisco падали в хлам. И всевозможный бардак от каждого вендора, ха-ха.

Я немного торопился и не успел поправить свой пост. Я имею в виду, что когда вы используете RB в режиме моста с use-ip-firewall=yes - нагрузка на него равна той, что была бы у основного роутера, который в противном случае обрабатывал бы этот трафик. Или почти равна. Поэтому, наблюдая за загрузкой CPU RB, вы сможете получить представление о том, сколько трафика вы можете пропустить через него в режиме маршрутизации. (потому что use-ip-firewall=yes установлен). Если ваш WAN зашифрован, то, кажется, есть более крупная модель RB для таких нагрузок… http://www.routerboard.com и поищите в Google другие RouterOS роутеры… (powerrouter что-то ещё)

Этот список интересный, но не особо полезный, кажется, всё относится к беспроводным технологиям, а у меня уже собрана 450г (и соответствующий корпус). Просто ищу более точные данные о том, какую нагрузку может выдержать эта машина (такая красивая столбчатая диаграмма на сайте – немного расплывчата). Есть какие-нибудь мысли / ссылки на спецификации?

Открываю эту тему, так как столкнулся с проблемами с RB (450G). Развертывание: ISP → Роутер (Cisco) → RB450G → Свитч (Cisco). Цель: настроить RB как прозрачный мост между роутером и свитчем, чтобы видеть весь трафик (создавать NetFlow).

Пока что: eth1 на RB подключен к Cisco Роутеру, eth2 на RB подключен к Cisco Свитчу, eth1 и eth2 входят в ‘myBridge’, трафик проходит, все хорошо (почти, смотрите "проблемы"). Добавил VLAN в ‘myBridge’, чтобы они совпадали с VLAN, определенными на роутере, NetFlow генерирует трафик для всего трафика VLAN.

Проблема: добавление всех VLAN в ‘myBridge’ дает возможность генерировать NetFlow для всего трафика VLAN, но не нарушает ли это логическое разделение всех VLAN? Может быть, есть другой способ сделать это?

Самая большая проблема: падение пропускной способности. Обычно получаю (используя простые онлайн-тесты скорости) 20 Мбит/с вниз / 72 Мбит/с вверх, а с RB – 2 Мбит/с вниз / 5 Мбит/с вверх!!! Что может быть причиной? Все физические соединения до и с RB – 100 Мбит/с, так что дело не в этом. У меня включен брандмауэр, но без правил (вообще без них), может быть, это проблема? Пришлось убрать RB из-за этой потери пропускной способности, и не смогу использовать его снова, пока не смогу разобраться в причинах потери, так что надеюсь, кто-нибудь может дать какие-нибудь подсказки или идеи, где искать.

Заранее спасибо – Patrick

Ого, спасибо за информацию. Я заметил ОЧЕНЬ сильное падение пропускной способности, как только поставил RB между двумя устройствами. Сомневаюсь, что чувствую себя комфортно, заменяя им коммутатор/маршрутизатор! Так что, какие мысли насчет того, почему я вижу такое падение пропускной способности? Возможно, из-за VLAN? У кого-нибудь был опыт работы RB с Cisco VLAN в безопасной манере (т.е. не все в одном бридже?)

Какой у тебя Cisco switch? Spanning ports (мониторинговая сессия) по-разному влияет на разные платформы. На коммутаторах 4500/6500 серии абсолютно никакого влияния на производительность нет. На 2500xl/3500xl вся копия пакетов все еще выполняется в аппаратном ускоренном переключении (очень небольшое влияние), но все копии должны быть удержаны до тех пор, пока все пакеты не будут перенаправлены. Поэтому, если порт мониторинга подписан на более чем 50% в течение длительного периода, производительность всех портов, получающих копию пакета, может быть затронута — но если ты не выдаешь устойчивые 500 Мбит/с на гигабитном порту, то даже на этих старых коммутаторах все в порядке. Не могу быстро найти какую-либо информацию о более новых платформах, таких как 3560s или серия 3700, но, скорее всего, они работают лучше.

Edit: Добавил ссылку http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186­a008015c612.shtml#topic8-3

У него RB450** G **. Он сделал какую-то дикая конфигурация, связал свои VLAN'ы. Кто знает, что там вообще произошло? Мой прогноз - всё катится в тартарары.