Страница 4 из 4
Re: Подберем коммутатор?
Добавлено: 18 дек 2017, 08:48
gmx
Там еще рекомендуется отключать STP/RSTP в сторону провайдера, чтобы параноидальные алгоритмы на вышестоящем оборудовании не шатили порт.
Я не спец по циске, что-то вроде
no spanning tree
или
stp enable/disable
Re: Подберем коммутатор?
Добавлено: 19 дек 2017, 16:58
vqd
Что то разобраться не могу
как мне сделать миррор трафика с VLAN и только например ingres. А то у меня сейчас весь трафик задвоился ибо похоже циска взяла весь трафик из VLAN который со стороны оператора и со стороны линка с роутером
В каком направлении копать?
Re: Подберем коммутатор?
Добавлено: 19 дек 2017, 21:10
kt72ru
конфигурацию коммутатора покажите.
входящий трафик на влан
monitor session 1 source vlan 333 rx
исходящий
monitor session 1 source vlan 333 tx
весь трафик влана
monitor session 1 source vlan 333
Re: Подберем коммутатор?
Добавлено: 20 дек 2017, 06:19
vqd
Тут фишка в чем.
На коммутатор приходят транки от выше стоящих операторов, далее они транзитом валятся с Gi0/1 на роутер.
Для примера берем влан 450, он есть на порту gi0/21 (оператор) и на Gi0/1 (роутер)
Это абонентский Влан и там есть запросы в мир и ответы на эти самые запросы. По идее мне для DPI надо только запросы для анализа
Я коммутатору говорю мол monitor session 2 source vlan 450 tx и начинает литься tx из vlan 450 который на порту Gi0/21 (запросы пользователей) + tx трафик с Vlan 450 который на Gi0/1 (а вот тут уже в tx попадают ответы на запросы)
В результате а DPI имею тупо весь трафик который бегает в VLAN450 По идее бы указать коммутатору что мол интерфейс Gi0/21 Vlan450 tx и вот тогда было бы счастье
По идее надо DPI нужны запросы пользователей даже на отграничение перечень портом, такие как 80, 443, 53 и т.п. но это уже явно тяжелая задача
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service unsupported-transceiver
!
hostname SW-COD
!
boot-start-marker
boot-end-marker
!
!
username admin privilege 15 secret 5 ****
no aaa new-model
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-1562846976
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1562846976
revocation-check none
rsakeypair TP-self-signed-1562846976
!
!
crypto pki certificate chain TP-self-signed-1562846976
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
F6A03712 B85D0BA7 2ACF0466
7576A733 29F8093D F7E78300 5473E4
quit
!
!
!
!
!
no errdisable detect cause gbic-invalid
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface GigabitEthernet0/1
description Router
switchport trunk native vlan 4
switchport trunk allowed vlan 50,450-453,550,551,929
switchport mode trunk
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
description Cam
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/4
description Cam
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/5
description Reductor
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/6
description NEM_user
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/7
description NEM_User
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/8
description NEM_User
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/9
description NEM_User
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/10
description NEM_User
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
description SORM_Mirror
history BPS all
!
interface GigabitEthernet0/20
description DPI_Mirror
history BPS all
!
interface GigabitEthernet0/21
description Megafon
switchport trunk native vlan 2
switchport trunk allowed vlan 450-453,929
switchport mode trunk
media-type sfp
speed nonegotiate
!
interface GigabitEthernet0/22
description MTS
switchport trunk native vlan 3
switchport trunk allowed vlan 550,551
switchport mode trunk
media-type sfp
speed nonegotiate
!
interface GigabitEthernet0/23
media-type sfp
speed nonegotiate
!
interface GigabitEthernet0/24
media-type sfp
speed nonegotiate
neighbor device type 1000
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan450
ip address 10.8.0.2 255.255.255.240
no ip route-cache
!
ip default-gateway 10.8.0.14
ip http server
ip http authentication local
ip http secure-server
access-list 10 permit 192.168.200.100
snmp-server view Dude system included
snmp-server view noifread interfaces excluded
snmp-server community Dude RO
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps transceiver all
snmp-server enable traps call-home message-send-fail server-fail
snmp-server enable traps tty
snmp-server enable traps cluster
snmp-server enable traps entity
snmp-server enable traps cpu threshold
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps flash insertion removal
snmp-server enable traps port-security
snmp-server enable traps auth-framework sec-violation
snmp-server enable traps dot1x auth-fail-vlan guest-vlan no-auth-fail-vlan no-guest-vlan
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps power-ethernet police
snmp-server enable traps fru-ctrl
snmp-server enable traps event-manager
snmp-server enable traps config-copy
snmp-server enable traps config
snmp-server enable traps config-ctid
snmp-server enable traps energywise
snmp-server enable traps vstack
snmp-server enable traps bridge newroot topologychange
snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency
snmp-server enable traps syslog
snmp-server enable traps mac-notification change move threshold
snmp-server enable traps vlan-membership
snmp-server enable traps errdisable
!
vstack
!
line con 0
line vty 0 4
login local
transport input ssh
line vty 5 15
login
!
!
monitor session 1 source interface Gi0/1
monitor session 1 destination interface Gi0/19
monitor session 2 source interface Gi0/21 - 22 rx
monitor session 2 destination interface Gi0/20
ntp peer 10.8.0.1
end
Re: Подберем коммутатор?
Добавлено: 20 дек 2017, 06:40
vqd
Еще раз вник в документацию но уже на свежую голову. Вобщем победил ))
monitor session 2 source interface Gi0/1 tx
monitor session 2 filter vlan 50 , 450 , 453 , 550 - 551
monitor session 2 destination interface Gi0/20
На Gi0/20 только запросы пользователей сыпятся ))
Re: Подберем коммутатор?
Добавлено: 24 янв 2018, 16:27
vqd
Цисководы подскажите а циски потдерживают 100Мб/с SFP модули в частности SG300 ?
Re: Подберем коммутатор?
Добавлено: 24 янв 2018, 20:01
kt72ru
Поддерживаемые SFP модуля
https://www.cisco.com/c/en/us/products/collateral/switches/small-business-smart-switches/data_sheet_c78-610061.htmlКод: Выделить всё
Supported SFP modules
SKU Media Speed Maximum Distance
MFEFX1 Multimode fiber 100 Mbps 2 km
MFELX1 Single-mode fiber 100 Mbps 10 km
MFEBX1 Single-mode fiber 100 Mbps 20 km
MGBBX1 Single-mode fiber 1000 Mbps 40 km
MGBSX1 Multimode fiber 1000 Mbps 300 m
MGBLH1 Single-mode fiber 1000 Mbps 40 km
MGBLX1 Single-mode fiber 1000 Mbps 10 km
MGBT1 UTP cat 5 1000 Mbps 100 m
Таблица соответствий Small Business с традиционной Cisco
Код: Выделить всё
Cisco Small Business SFP Cisco traditional SFP
GE Transceiver
MGBSX1 GLC-SX-MM
SFP-GE-S
MGBLX1
MGBLH1 GLC-LH-SM
MGBBX1 GLC-BX-D
MGBT1 GLC-T
SFP-GE-T
FE Transceiver
MFEFX1 GLC-FE-100FX
GLC-GE-100FX
MFELX1 GLC-FE-100LX
MFEBX1 GLC-FE-100BX-D