Проблемы с  зеркалированием клиентского трафика на съемник СОРМ, возникают  перед каждым оператором, с ростом объемов трафика. Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме. Думаем этот опыт будет интересен нашим читателям.

Описание решения, присланное нашим клиентом:

С планомерным увеличением объемов клиентского трафика остро встал вопрос об уходе от схемы сбора трафика для СОРМ с использованием активного оборудования ядра сети в сторону использования пассивных оптических съемников.

Предыдущая схема была достаточно типовая — оборудование СОРМ подключалось непосредственно к Cisco 6500 двумя 10G интерфейсами. На Cisco настраивалось необходимое число RSPAN сессий с целью загнать весь трафик в определенный RSPAN VLAN. На этом же узле к данному RSPAN Vlan применялась VLAN Access map с целью отфильтровать интересующий трафик. В завершении, с помощью еще одной RSPAN сессии, трафик из RSPAN VLAN отправлялся в SPAN порты (2х10G) — непосредственно в СОРМ.

Очевидные минусы схемы — нагрузка на Cisco «лишним» SPAN трафиком, необходимостью его фильтрации.

При переходе к схеме с использованием оптических съемников возникает необходимость в агрегации большого числа 10G линков с последующей фильтрацией интересующего трафика на OSI L3-L4, так как текущая конфигурация СОРМ включает лишь два 10G интерфейса. Исходя из этих выводов, мы сформировали требования к коммутатору:

  • хорошая 10G port density;
  • L3-L4 ACL для switched трафика;
  • наличие «базового» набора фич, таких как no mac address learning per port, QinQ Tunnel, Traffic Segmentation/Protected Port/Private VLAN;
  • бюджетная цена ввиду нулевой доходности «проекта».

Таким образом, с помощью SNR-S4550 решаются следующие задачи:

  • агрегация трафик с оптических съемников (6x10G портов на RX);
  • фильтрация трафика, поступающего со съемников, перед отправкой в СОРМ.
Читайте також -  Звичайний виноград викликав "революцію" квантових технологій

Схема подключения SNR-S4550-24XQ
Схема подключения SNR-S4550-24XQ

Основные моменты конфигурации коммутатора SNR-S4550-24XQ:

  1. Используем «mac-address-learning disable interface Ethernet » на всех RX портах, чтобы коммутатор не запоминал мак адреса в кадрах и производил широковещательную рассылку поступающих кадров.
  2. Используем два VLAN (по числу TX портов) для группировки RX и TX портов в две группы (3 RX + 1 TX per group), чтобы широковещательная рассылка не дублировалась в оба TX порта.
  3. Используем две «isolate-port group» с целью изолировать RX порты в каждом из VLAN друг от друга.
  4. Используем ACL для фильтрации поступающего трафика.
  5. Используем QinQ Tunnel что бы сохранить оригинальный VLAN id кадров, так же пропадает необходимость настраивать коммутатор под все возможные варианты VLANов в RX трафике.

Сам конфиг:

На вопрос «были ли какие-то сложности при внедрении решения?» получили ответ:

Сложностей в настройке самого SNR не было, все предельно просто и понятно. С момента запуска проблем не возникало.

В дополнение графики загрузки портов и CPU SNR-S4550.

Порты со стороны оптических делителей
Порты со стороны оптических делителей

Порты со стороны СОРМ
Порты со стороны СОРМ

Загрузка CPU
Загрузка CPU

http://nag.ru

2 Comments

  1. … [Trackback]

    […] Find More here on that Topic: portaltele.com.ua/news/technology/kommutator-snr-s4550-24xq-v-kachestve-filtra-i-agr.html […]

  2. … [Trackback]

    […] There you can find 73995 additional Information on that Topic: portaltele.com.ua/news/technology/kommutator-snr-s4550-24xq-v-kachestve-filtra-i-agr.html […]

Leave a reply