Всем привет! Мне очень нравится возможность использовать L3HW offloading на новых устройствах высокого класса! Но при этом я люблю следить за сетевым трафиком с помощью Traffic Flow. И, к сожалению, эти два не работают вместе «из коробки» (то есть Traffic Flow просто не видит и, соответственно, не показывает потоки, которые выгружаются на аппаратную часть). Я пытался играть с правилами ACL на коммутаторе, чтобы копировать пакеты на CPU (на CRS326-24S+2Q+):
/interface ethernet switch set 0 l3-hw-offloading=yes mirror-target=cpu
/interface ethernet switch rule add mirror=yes ports=sfp-sfpplus2 rate=1M switch=switch1
Так потоки снова становятся видимы, но есть два минуса:
- Пакеты дублируются, и CPU их тоже пересылает.
- Все пакеты копируются на CPU (параметр rate просто игнорируется).
Идеально было бы реализовать Flow Sampling в правиле ACL — копировать на CPU лишь 1% пакетов и при этом не допускать их дальнейшей пересылки CPU. К сожалению, так как Traffic Flow обрабатывается после цепочки forward, использовать IP firewall, чтобы предотвратить дублирование, нельзя. А правила switch ACL для порта CPU, похоже, вообще не применяются (что совпадает с тем, что Port Isolation на порту CPU не поддерживается).
Так что... у кого-то есть подобная конфигурация? Или мне просто надо зеркалить трафик на другое устройство и использовать, например, сервер для мониторинга потоков? (Хотя тогда всё равно остаётся вопрос, можно ли как-то через правила switch ACL сделать выборочную выборку.)
/interface ethernet switch set 0 l3-hw-offloading=yes mirror-target=cpu
/interface ethernet switch rule add mirror=yes ports=sfp-sfpplus2 rate=1M switch=switch1
Так потоки снова становятся видимы, но есть два минуса:
- Пакеты дублируются, и CPU их тоже пересылает.
- Все пакеты копируются на CPU (параметр rate просто игнорируется).
Идеально было бы реализовать Flow Sampling в правиле ACL — копировать на CPU лишь 1% пакетов и при этом не допускать их дальнейшей пересылки CPU. К сожалению, так как Traffic Flow обрабатывается после цепочки forward, использовать IP firewall, чтобы предотвратить дублирование, нельзя. А правила switch ACL для порта CPU, похоже, вообще не применяются (что совпадает с тем, что Port Isolation на порту CPU не поддерживается).
Так что... у кого-то есть подобная конфигурация? Или мне просто надо зеркалить трафик на другое устройство и использовать, например, сервер для мониторинга потоков? (Хотя тогда всё равно остаётся вопрос, можно ли как-то через правила switch ACL сделать выборочную выборку.)
