При возникновении каких-либо проблем при передаче трафика через OLT может возникнуть необходимость в анализе трафика, проходящего через интерфейсы OLT. С этой целью может быть задействован инструмент зеркалирования трафика интерфейсов OLT. Зеркалирование портов позволяет дублировать трафик наблюдаемых портов, пересылая входящие и/или исходящие пакеты на контролирующий порт. У пользователя есть возможность задать контролирующий и контролируемые порты и выбрать тип трафика (входящий и/или исходящий), который будет передан на контролирующий порт.
В данной статье описан метод анализа трафика с непосредственным подключением сниффера в ethernet-интерфейс OLT. Если сниффер расположен за вышестоящим оборудованием, необходимо воспользоваться инструкцией по настройке RSPAN – Зеркалирование трафика в VLAN (RSPAN).
LTP-X
На LTP-X настройка осуществляется в следующем порядке. Рассмотрим настройку зеркалирования трафика интерфейса внутреннего коммутатора pon-port 0 на интерфейс front-port 7. В данном случае для анализа трафика к front-port 7 необходимо подключить ПК или ноутбук с запущенным сниффером (tcpdump, wireshark).
Перейдите в режим конфигурирования внутреннего коммутатора OLT.
LTP-8X# switch LTP-8X(switch)# configure terminal
Укажите в конфигурации анализируемый (контролируемый) порт, с которого будет сниматься копия проходящего трафика. В данном примере указываем что необходимо снимать копию как отправляемого с интерфейса трафика в сторону PON чипов (tx), так и принимаемого на интерфейс от PON-чипов трафика (rx).
LTP-8X(switch)(config)# mirror rx interface pon-port 0 LTP-8X(switch)(config)# mirror tx interface pon-port 0
При необходимости можно отзеркалировать весь трафик, поступающий на OLT в определенном VLAN вне зависимости от интерфейса в котором этот трафик пришел. В этом случае вместо указания анализируемых интерфейсов можно указать номер нужного VLAN (в данном примере VLAN ID 100), воспользовавшись командой:
LTP-8X(switch)(config)# mirror rx vlan 100Данная команда будет включать только параметр rx, поскольку будет обработан трафик поступающий на OLT с любых интерфейсов – и downlink (pon-port) и uplink (front-port).
Укажите в конфигурации интерфейс, на который будет передаваться копия трафика – интерфейс-анализатор или контролирующий интерфейс.
LTP-8X(switch)(config)# mirror rx analyzer front-port 7 LTP-8X(switch)(config)# mirror tx analyzer front-port 7
Примените и сохраните изменения.
LTP-8X(switch)(config)# commit LTP-8X(switch)(config)# exit LTP-8X(switch)# exit LTP-8X# save
MA4000
Для MA4000 возможны несколько вариантов настройки зеркалирования, где подход к настройке будет отличаться в зависимости от того на какой плате расположены контролируемый и контролирующий порты (PLC8 или PP4X). Ниже рассмотрим три случая.
Контролируемый и контролирующий порты расположены на PLC8.
В данном случае настройка будет выполняться только в пределах интерфейсов внутреннего коммутатора PLC8. Рассмотрим пример настройки зеркалируемого интерфейса plc-pon-port 2/0 (pon-port 0 второго слота PLC8) на интерфейс plc-front-port 2/0 (служебный ethernet интерфейс второй платы PLC8), к которому будет подключаться сниффер.
Перейдите в режим конфигурирования OLT.
ma4000# configure terminal
Укажите в конфигурации анализируемый (контролируемый) порт, с которого будет сниматься копия проходящего трафика. В данном примере указываем что необходимо снимать копию как отправляемого с интерфейса трафика в сторону PON чипов (tx), так и принимаемого на интерфейс от PON-чипов трафика (rx).
ma4000(config)# mirror rx interface plc-pon-port 2/0 ma4000(config)# mirror tx interface plc-pon-port 2/0
Укажите в конфигурации интерфейс, на который будет передаваться копия трафика – интерфейс-анализатор или контролирующий интерфейс.
ma4000(config)# mirror rx analyzer plc-front-port 2/0 ma4000(config)# mirror tx analyzer plc-front-port 2/0
Линейные платы PLC8 имеют только по одному служебному интерфейсу plc-front-port, поэтому при указании номера интерфейса первый индекс будет соответствовать номеру слота (в нашем примере это слот 2), второй индекс будет всегда иметь значение 0.
Примените и сохраните изменения.
ma4000(config)# do commit ma4000(config)# do confirm
Контролируемый и контролирующий порты расположены на PP4X.
Помимо зеркалирования front-port так же возможен вариант настройки зеркалирования front-port интерфейса управляющей платы PP4X (например uplink интерфейса) на соседний front-port в пределах одной платы PP4X. В данном случае настройка будет выполняться только в пределах интерфейсов внутреннего коммутатора PP4X. Рассмотрим пример настройки зеркалируемого интерфейса front-port 1/0 (front-port 0 первого юнита PP4X) на интерфейс front-port 1/1 (front-port 1 первого юнита PP4X), к которому будет подключаться сниффер.
Перейдите в режим конфигурирования OLT.
ma4000# configure terminal
Укажите в конфигурации анализируемый (контролируемый) порт, с которого будет сниматься копия проходящего трафика. В данном примере указываем что необходимо снимать копию как отправляемого с интерфейса трафика (tx), так и принимаемого на интерфейс трафика (rx).
ma4000(config)# mirror rx interface front-port 1/0 ma4000(config)# mirror tx interface front-port 1/0
Укажите в конфигурации интерфейс, на который будет передаваться копия трафика – интерфейс-анализатор или контролирующий интерфейс.
ma4000(config)# mirror rx analyzer front-port 1/1 ma4000(config)# mirror tx analyzer front-port 1/1
Примените и сохраните изменения.
ma4000(config)# do commit ma4000(config)# do confirm
Контролируемый порт расположен на PLC8, контролирующий – на PP4X.
В такой конфигурации с точки зрения функционала зеркалирования передача трафика между разными аппаратными модулями будет выглядеть как передача между разными устройствами, так как архитектурно каждый модуль имеет свой отдельный внутренний коммутатор. Поэтому в данном случае необходима настройка RSPAN для передачи трафика в пределах MA4000. Рассмотрим пример настройки зеркалируемого интерфейса plc-pon-port 2/0 (pon-port 0 второго слота PLC8) на интерфейс front-port 1/1 (front-port 1 первого юнита PP4X), к которому будет подключаться сниффер. В качестве RSPAN VLAN для передачи трафика между PLC8 и PP4X задействуем VLAN 4094.
Перейдите в режим конфигурирования OLT.
ma4000# configure terminal
Укажите в конфигурации анализируемый (контролируемый) порт, с которого будет сниматься копия проходящего трафика. В данном примере указываем что необходимо снимать копию как отправляемого с интерфейса трафика в сторону PON чипов (tx), так и принимаемого на интерфейс от PON-чипов трафика (rx).
ma4000(config)# mirror rx interface plc-pon-port 2/0 ma4000(config)# mirror tx interface plc-pon-port 2/0
Укажите в конфигурации интерфейс, на который будет передаваться копия трафика – интерфейс-анализатор или контролирующий интерфейс. В данном случае это должен быть uplink интерфейс внутреннего коммутатора PLC8 в направлении PP4X.
ma4000(config)# mirror rx analyzer plc-slot-channel 2/0 ma4000(config)# mirror tx analyzer plc-slot-channel 2/0
Далее необходимо указать VLAN ID и priority для заголовка 802.1Q, который будет добавлен к зеркалируемому трафику:
ma4000(config)# mirror rx added-tag-config slot 2 vlan 4094 user-prio 3 ma4000(config)# mirror tx added-tag-config slot 2 vlan 4094 user-prio 3
Включаем добавление метки 802.1Q к анализируемому трафику на слоту 2:
ma4000(config)# mirror add-tag slot 2
Настраиваем принадлежность интерфейсов на пути прохождения зеркалированного трафика к VLAN 4094:
ma4000(config)# vlan 4094 ma4000(vlan-4094)# tagged plc-slot-channel 1/0 ma4000(vlan-4094)# tagged slot-channel 2 ma4000(vlan-4094)# tagged front-port 1/1 ma4000(vlan-4094)# exit
Для того чтобы отзеркалированный трафик проходил с интерфейса slot-channel на front-port, нужно отключить изучение MAC-адресов на коммутаторе PP4X для VLAN, в который настроено зеркалирование:
ma4000(config)# no mac address-table learning vlan 4094
Примените и сохраните изменения.
ma4000(config)# do commit ma4000(config)# do confirm
В результате данной настройки на интерфейс front-port 1/1, к которому подключается сниффер, поступит дважды тегированный трафик. Внешняя метка будет соответствовать RSPAN VLAN ID 4094, внутренние метки будут соответствовать сервисным VLAN. Это необходимо учитывать при анализе трафика на сниффере.