Switch a více NIC v promiskuitním módu
Moderátor: Moderátoři Živě.cz
Stránka 1 z 1
od ozana 10. 6. 2014 14:43
Mám na jedné straně switch, který komunikaci na všech ostatních portech (IP telefonie) posílá na jeden port (port mirroring) ten vede do síťovky v promiskuitním módu v serveru, který zapisuje probíhající hovory do databáze. Potřebuji, aby ta komunikace šla přes switch, který by to posílal na 3 síťové karty (3 ESX servery mezi kterými ten virtuál může migrovat). Bude to fungovat (bude se switch chovat jako HUB)?
- ozana
- Kolemjdoucí
od Bari007 10. 6. 2014 14:47
Proč na všechny tři? Vždyť principem failoveru (nebo loadbalancingu) je to, že ať je virtuál na kterémkoliv hostiteli, nemělo by se nic lišit. Tedy komunikaci budeš posílat přímo na ten virtuál a vůbec se nezabýváš tím, na kterém hostiteli právě je.
Nebo jsem to špatně pochopil?
Nebo jsem to špatně pochopil?
- Bari007
- VIP uživatel
od ozana 11. 6. 2014 09:38
Bari007 píše:Proč na všechny tři? Vždyť principem failoveru (nebo loadbalancingu) je to, že ať je virtuál na kterémkoliv hostiteli, nemělo by se nic lišit. Tedy komunikaci budeš posílat přímo na ten virtuál a vůbec se nezabýváš tím, na kterém hostiteli právě je.
Nebo jsem to špatně pochopil?
Ten kabel vedoucí z portu mirorujícího ostatní porty switche musím zapíchnout (přímo nebo přes switch) do LAN portu konkrétního fyzického serveru (nebo přes switch více serverů) a ten (ESX) to nepřepošle do virtuálu, který běží na jiném fyzickém serveru (ESX hostiteli).
-- 11. 6. 2014 10:42 --
Omal píše:A co ti brání zrcadlit na všechny tři porty?
Také by se hodilo, kdybys uvedl typ switche. Bez toho ti nikdo radit nebude.
Dole je nějaký menežovatelný 1Gb 48port. Zyxel, u serverů bych dal nějaký 1Gb menežovatelný Netgear.
Jak zrcadlit na 3 porty? Nastavit Zyxel aby veškerou komunikaci zrcadlil na 3 porty odkud by to vedlo do těch 3 ESX serverů?
-- 11. 6. 2014 10:43 --
gotzinger píše:Jsou ty ESX servery v HA režimu?
ESX servery jsou v rámci vSphere EVC clusteru, virtuál není v HA ani FT režimu.
- ozana
- Kolemjdoucí
od Bari007 11. 6. 2014 09:47
To je přece úplný nesmyl. Tři fyzické servery budou mít nějakou vlastní IP a virtuály na něm budou mít nějaké jiné IP. Princip failover nebo loadbalancing je v tom, že ať ten virtuál běží na kterémkoliv fyzickém serveru, má vždy stejnou IP konfiguraci. Tomu virtuálu je úplně jedno, kde zrovna je, ty si ho můžeš přesouvat kam chceš, ale on nic nepozná a nic se pro něj nemění.
Pokud se mu mění IP, pak to máte blbě nastavené a je potřeba řešit problém špatné konfigurace.
Pokud se mu mění IP, pak to máte blbě nastavené a je potřeba řešit problém špatné konfigurace.
- Bari007
- VIP uživatel
od ozana 11. 6. 2014 11:13
IP se mu nezmění, ale jeho virtuální NIC bude, po přemigrování, mapována na Ethernet port (NIC) jiného fyzického serveru (ESXi serveru).
Ty 3 ESXi servery mají každý připojen jene NIC do jednoho switche pro LAN, druhý NIC do druhého pro DMZ a pro ten mirroring musí být další switch (pro třetí NIC). Ale nevím jak se to bude chovat, když jsou ty NIC v promiskuitním módu (jinak to nefunguje) a připojeny přes switch. Ideální by bylo, kdyby se to chovalo jako HUB - všechno co příjme by posílal na všechny porty (kde by byly připojeny NIC, pro příjem dat z toho portmirroringu, těch 3 ESXi serverů).
Ty 3 ESXi servery mají každý připojen jene NIC do jednoho switche pro LAN, druhý NIC do druhého pro DMZ a pro ten mirroring musí být další switch (pro třetí NIC). Ale nevím jak se to bude chovat, když jsou ty NIC v promiskuitním módu (jinak to nefunguje) a připojeny přes switch. Ideální by bylo, kdyby se to chovalo jako HUB - všechno co příjme by posílal na všechny porty (kde by byly připojeny NIC, pro příjem dat z toho portmirroringu, těch 3 ESXi serverů).
- ozana
- Kolemjdoucí
od Bari007 11. 6. 2014 11:43
Ale proč takové strašné obstrukce? Na jakém fyzickém rozhraní to bude je přece úplně jedno, pokud je tam stejná síť. On to ten virtuál ve skutečnosti vůbec neřeší, kde je a co má pod sebou.
Nebo zkus být konkrétnější, jaké sítě jsou na jednotlivých NIC fyzického serveru (rozsahy a konfigurace), jak jsou nakonfigurované virtuální switche na tom hypervizoru a jaké sítě jsou v těch virtuálech.
Nebo zkus být konkrétnější, jaké sítě jsou na jednotlivých NIC fyzického serveru (rozsahy a konfigurace), jak jsou nakonfigurované virtuální switche na tom hypervizoru a jaké sítě jsou v těch virtuálech.
- Bari007
- VIP uživatel
od Omal 11. 6. 2014 11:44
U Cisca něco takového jde, v IOSu se tím zabývá příkaz mac address-table learning, třeba má něco takového i Zyxel.
Alternativně tam můžeš dát nějaký levný switch a neustále mu přeplňovat CAM tabulku (MAC flooding), ale to je dost kostrbaté řešení.
Mělo by to jít i tím port mirroringem. Sice asi nepůjde zrcadlit jeden port hned na tři, ale to zrcadlení by snad šlo zřetězit.
Mě ale pořád to řešení připadá koncepčně zcela špatně. Teď nebudu řešit to, že máš tři stroje na logování. Osobně mi to přijde zbytečné, ale budiž, asi máš pro to důvod. Nelíbí se mi, že NIC přímo na serverech je v promiskuitním módu. To je potencionální riziko.
Radši si rozjeď dalšího virtuála a udělej z něj reverzní proxy, zrcadli na jeho adresu a z druhého rozhraní rozesílej na ty tvoje tři VM. Nebo posílej na jednu VM a na firewallu nastav traffic mirroring na ostatní dva virtuály.
A samozřejmě, dobře si to zabezpeč. Promiskuitní mód je riziko.
EDIT: Jakou ústřednu VoIP používáte? Třeba má možnosti logování přímo ona.
Alternativně tam můžeš dát nějaký levný switch a neustále mu přeplňovat CAM tabulku (MAC flooding), ale to je dost kostrbaté řešení.
Mělo by to jít i tím port mirroringem. Sice asi nepůjde zrcadlit jeden port hned na tři, ale to zrcadlení by snad šlo zřetězit.
Mě ale pořád to řešení připadá koncepčně zcela špatně. Teď nebudu řešit to, že máš tři stroje na logování. Osobně mi to přijde zbytečné, ale budiž, asi máš pro to důvod. Nelíbí se mi, že NIC přímo na serverech je v promiskuitním módu. To je potencionální riziko.
Radši si rozjeď dalšího virtuála a udělej z něj reverzní proxy, zrcadli na jeho adresu a z druhého rozhraní rozesílej na ty tvoje tři VM. Nebo posílej na jednu VM a na firewallu nastav traffic mirroring na ostatní dva virtuály.
A samozřejmě, dobře si to zabezpeč. Promiskuitní mód je riziko.
EDIT: Jakou ústřednu VoIP používáte? Třeba má možnosti logování přímo ona.
Naposledy upravil Omal dne 11. 6. 2014 11:59, celkově upraveno 1
- Omal
- Junior
Příspěvků: 9 • Stránka 1 z 1
Kdo je online
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků