Реализация Port-Mirror на RB3011 (замедление до 150 Мбит/с)

Недавно я снова вернулся к реализации зеркала. Эта проблема всё ещё возникает с роутером. Она происходит с обеими группами коммутаторов. Потери пакетов не наблюдается, равно как и полного использования CPU или ядра. К сожалению, это ограничивает реальный «живой» интернет-трафик, поэтому использовать это решение пока нельзя, пока проблема не будет решена. Что может быть причиной? Кто-то может воспроизвести такое поведение?

Ну вот, ты сам заметил, что есть физическое ограничение. У порта для зеркалирования пропускная способность всего 1 Гбит/с, а функция зеркалирования в самом чипе коммутатора (то есть без участия процессора и без нагрузки на CPU) может отражать трафик только в обеих направлениях с одного зеркалируемого порта (источника зеркалирования). Так что, если суммарный трафик в обе стороны на этом источнике превышает пропускную способность порта назначения зеркалирования, “что-то” должно произойти. Возможные варианты:

- отбросить только зеркалируемый кадр, тогда исходный кадр пройдет до назначения, но копию увидеть на устройстве, подключенном к зеркалируемому порту, не удастся;
- отбросить исходный кадр (но это сильно повлияет на трафик, и на самом деле ни один коммутатор так не делает);
- задержать отправку исходного кадра, пока его копия не отправится через порт назначения зеркалирования.

Поскольку очередь для задержки не может быть бесконечной, вы можете отсрочить только ограниченное количество кадров. Если кадры продолжают поступать, их всё равно придется начинать отбрасывать. Но “счастливые” кадры не отбрасываются, и если большая часть трафика — это TCP, который автоматически подстраивается под задержки, такая стратегия может привести к замедлению без потерь. Задержка одного кадра в потоке вызывает задержку соответствующего подтверждения (ACK), и источник перестает отправлять данные, пока не получит этот ACK. На самом деле всё сложнее, так как не каждый пакет требует подтверждения, но суть именно в этом.

Что именно делает конкретно модель 8337 — сказать сложно, но по твоему наблюдению кажется, что она использует стратегию “задержи и надейся”. Более продвинутые (читай: более дорогие) коммутаторы могут зеркалировать каждое направление отдельно, полностью избегая этой проблемы.

Плохие новости, конечно. Fasttrack — это fastpath вместе с отслеживанием соединений, и его суть в минимизации нагрузки процессора при обработке пакетов. Сниффинг находится выше по стеку, чем fastpath, и неважно, сохраняются ли прослушанные пакеты локально или к ним добавляется заголовок TZSP и они отправляются дальше (ну, с той лишь разницей, что локально сохранённые пакеты не занимают пропускную способность CPU-порта коммутатора дважды). Даже если бы это и не ломало fast-что-то, прослушивание на CPU всё равно ограничивало бы пропускную способность сильнее, чем зеркалирование порта, потому что кадры с коммутатора должны были бы идти в процессор (а при tzsp-сниффинге ещё и обратно), вместо того чтобы просто дублироваться локально на чипе коммутатора.

Как ты делаешь зеркалирование? Может, лучше использовать чип коммутатора для аппаратного зеркалирования.