Проблемы с зеркалированием клиентского трафика на съемник СОРМ, возникают перед каждым оператором, с ростом объемов трафика. Мы узнали, что один их наших клиентов использует для зеркалирования коммутатор SNR-S4550-24XQ, и попросили поделиться информацией об используемой схеме. Думаем этот опыт будет интересен нашим читателям.
Описание решения, присланное нашим клиентом:
С планомерным увеличением объемов клиентского трафика остро встал вопрос об уходе от схемы сбора трафика для СОРМ с использованием активного оборудования ядра сети в сторону использования пассивных оптических съемников.
Предыдущая схема была достаточно типовая – оборудование СОРМ подключалось непосредственно к Cisco 6500 двумя 10G интерфейсами. На Cisco настраивалось необходимое число RSPAN сессий с целью загнать весь трафик в определенный RSPAN VLAN. На этом же узле к данному RSPAN Vlan применялась VLAN Access map с целью отфильтровать интересующий трафик. В завершении, с помощью еще одной RSPAN сессии, трафик из RSPAN VLAN отправлялся в SPAN порты (2х10G) – непосредственно в СОРМ.
Очевидные минусы схемы – нагрузка на Cisco “лишним” SPAN трафиком, необходимостью его фильтрации.
При переходе к схеме с использованием оптических съемников возникает необходимость в агрегации большого числа 10G линков с последующей фильтрацией интересующего трафика на OSI L3-L4, так как текущая конфигурация СОРМ включает лишь два 10G интерфейса. Исходя из этих выводов, мы сформировали требования к коммутатору:
- хорошая 10G port density;
- L3-L4 ACL для switched трафика;
- наличие “базового” набора фич, таких как no mac address learning per port, QinQ Tunnel, Traffic Segmentation/Protected Port/Private VLAN;
- бюджетная цена ввиду нулевой доходности “проекта”.
Таким образом, с помощью SNR-S4550 решаются следующие задачи:
- агрегация трафик с оптических съемников (6x10G портов на RX);
- фильтрация трафика, поступающего со съемников, перед отправкой в СОРМ.
Схема подключения SNR-S4550-24XQ
Основные моменты конфигурации коммутатора SNR-S4550-24XQ:
- Используем “mac-address-learning disable interface Ethernet ” на всех RX портах, чтобы коммутатор не запоминал мак адреса в кадрах и производил широковещательную рассылку поступающих кадров.
- Используем два VLAN (по числу TX портов) для группировки RX и TX портов в две группы (3 RX + 1 TX per group), чтобы широковещательная рассылка не дублировалась в оба TX порта.
- Используем две “isolate-port group” с целью изолировать RX порты в каждом из VLAN друг от друга.
- Используем ACL для фильтрации поступающего трафика.
- Используем QinQ Tunnel что бы сохранить оригинальный VLAN id кадров, так же пропадает необходимость настраивать коммутатор под все возможные варианты VLANов в RX трафике.
Сам конфиг:
На вопрос “были ли какие-то сложности при внедрении решения?” получили ответ:
Сложностей в настройке самого SNR не было, все предельно просто и понятно. С момента запуска проблем не возникало.
В дополнение графики загрузки портов и CPU SNR-S4550.
Порты со стороны оптических делителей
Порты со стороны СОРМ
Загрузка CPU