Элтекс

Добрый день.
Интересует вопрос может ли данное оборудование MES5324(4.0.6) и MES2324(4.0.16), производить фильтрацию на основе ACL правил в PPPoE трафике, еще и при условии что ACL правило навешено на SPAN-порт?

Добрый день. Прошу подробнее описать ваш вопрос. Вам необходимо создать ACL для пропуска всего pppoe трафика, входящего на порт коммутатора? Тогда можно сделать так :


Или нужно пропускать определенные пакеты из pppoe трафика? Тогда прошу подробнее описать.
Также не совсем ясно второе условие. Вы хотите отзеркалировать с порта только тот трафик,который попадает под ACL?

Я хочу трафик, с порта куда подключен BRAS (PPPoE), зеркалить в порт SPAN, и на этот порт SPAN навесить правила ACL, чтобы пропускал весь трафик PPPoE, но при этом не пропускал трафик к примеру на 8.8.8.8 (это просто для примера).
P.S. вешать ACL на порт с BRAS, нельзя, т.к. абонам зарежется доступ к 8.8.8.8

Добрый день. Насколько я понял вашу схему, то могу предложить решение с использованием физической петли на коммутаторе. В конфигурации ниже трафик с BRAS приходит в порт коммутатора gi 0/6 c pvid 10, далее зеркалируется на порт gi0/7, с gi0/7 уходит на порт gi0/8 c pvid 100:10(физически соединяем порты gi 0/7 и gi 0/8), на входе в gi0/8 попадает под ACL, который фильтрует весь трафик кроме pppoe, далее переходит в gi0/9 с pvid 100:10, на выходе gi0/9 снимается верхняя метка pvid 100, отзеркалированный трафик pppoe с BRAS уходит в анализатор.

Согласно вашей рекомендации сделал такие настройки:

20 порт подключен BRAS
24 порт зеркалим трафик с 20 порт
24 порт и 22 порт физический подключены патчкордом
23 порт анализатор (ноут с wireshark)
При такой конфигурации на 23 порту ожидаемого трафика нет, т.е. его нет практический.
На момент ответа, на порту 22 200 Мбит/с трафик, а на 23 только 35 Кбит\с

Добрый день. Написанный ACL фильтрует пакеты по полю Ethertype (0x8863 - PPPoE Discovery Stage
0x8864 - PPPoE Session Stage). Соответственно, на анализатор попадают исключительно пакеты с указанными Ethertype, а не весь абонентский трафик.
Прошу вас написать подробные требования для трафика, который вы хотите видеть на анализаторе.

По поводу трафика.
На анализатор должен попадать все трафик PPPoE, кроме (например) трафик от клиента к 8.8.8.8 и наоборот от 8.8.8.8 к клиенту.

В эту конфигурацию (которая выше) добавил следующие настройки:

и трафик на 23 порту появился как надо, весь и PPPoE и остальной.
Вот с такой ACL:

Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Делал еще одно правило ACL, с другим условием для фильтрации другого ip адрес, но второе правило ACL не дает навесить на порт.
Как то можно ли это сделать по другому?
Или подскажите какое оборудование сможет обработать несколько условий для смещения или больше правил ACL на порт.

Добрый день.

Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.

Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.

Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.

prokopov писал(а):Добрый день.

Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.

Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.

Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.

Отправил вам личным сообщением

Добрый день. В ходе разбора задачи пришли к выводу, что оптимальным решением является предложенная схема зеркалирования трафика, написанный вами ACL и увеличение возможности фильтрации по оффсетам с 5 до 13.