USG DPI с последующим коммутационным слоем 3 (L3 switch)

USG DPI с последующим коммутационным слоем 3 (L3 switch), UniFi Network

zunder1990

Guest

09.03.2018 13:48:00

Мои поиски не дают результатов, и я сейчас не могу это проверить. Я хочу настроить систему с маршрутизирующим коммутатором уровня 3, подключенным за USG Pro, и хочу узнать, будет ли DPI работать. USG по-прежнему будет выполнять NAT и маршрутизацию, а маршрутизация VLAN — через коммутатор уровня 3. Так будет ли DPI работать в такой конфигурации?

zunder1990 Guest	#2 28.03.2018 14:48:00 Ок, спасибо. Если ubnt понадобится админский доступ к этой системе, я могу его предоставить. Эта система пока находится на стадии тестирования и ещё не в продакшене.

UI-Team Guest	#3 28.03.2018 14:43:00 Да, по этому поводу ubnt-cmb открыл баг (использование исходного IP вместо исходного MAC для отчетности DPI).

zunder1990

Guest

28.03.2018 13:18:00

@UBNT-jaffe

Брэндон, не мог бы ты подтвердить, что я правильно понял? DPI НЕ будет работать с маршрутизаторами уровня 3. Любая подсеть, по которой ты хочешь получить статистику DPI, ДОЛЖНА находиться в той же доменной зоне уровня 2, что и USG. Если это действительно так, то это очень обидно, и мне придётся заменить только что купленный USG Pro на коробку с pfsense.

UI-Team

Guest

27.03.2018 19:53:00

Результаты mca-dump заставляют меня думать, что отчёты DPI формируются на основе MAC-адреса, а это значит, что ваши клиенты должны находиться в одной сети уровня 2 с USG, чтобы DPI работал как задумано. Мне пришлось перепроверить это с коллегой, но, похоже, именно так и есть.

zunder1990

Guest

27.03.2018 19:27:00

Да, есть клиенты DPI, но этот MAC-адрес — MAC-адрес моего коммутатора уровня 3. И вообще NAT выполняет только USG.

"dpi-clients": [
"d0:67:e5:8d:47:2d"
],
"dpi-stats": [
{
"initialized": "200837377718684",
"mac": "d0:67:e5:8d:47:2d",
"stats": [
{
"app": 5,
"cat": 3,
"rx_bytes": 191415284,
"rx_packets": 126432,
"tx_bytes": 4747954,
"tx_packets": 65335
},
{
"app": 185,
"cat": 20,
"rx_bytes": 19752,
"rx_packets": 41,
"tx_bytes": 10383,
"tx_packets": 46
},
{
"app": 65535,
"cat": 255,
"rx_bytes": 71282,
"rx_packets": 756,
"tx_bytes": 131790,
"tx_packets": 639
}
]
}
],

UI-Team

Guest

27.03.2018 19:20:00

Предполагаю, что DPI должен работать с этой топологией. Ты говорил, что добавил статические маршруты на USG и коммутатор, значит, клиентский трафик не проходит NAT до того, как попадает на USG. В контроллере вообще появляются какие-то данные DPI? Если подключиться по ssh к USG, можно ввести команду:
mca-dump
она покажет содержимое информера. Можно скопировать это в блокнот и через ctrl+f искать "dpi", посмотреть клиентов и статистику, чтобы понять, записываются ли вообще какие-то данные.

zunder1990 Guest	#8 27.03.2018 18:24:00 @UBNT-jaffe @UBNT-cmb Какие идеи? С чего начать отладку?

zunder1990 Guest	#9 26.03.2018 19:33:00 Итак, DPI не работает. Клиентская подсеть > коммутатор уровня 3 > подсеть точка-точка > USG pro > интернет. Я использовал статические маршруты на коммутаторе и USG, чтобы трафик шел. Забыл кое-какие детали. Это новая установка. версия 5.8.8 usg pro 4.4.18.5052172 контроллер — виртуальная машина на месте с USG.

Читают тему (гостей: 1)