Jump to content
Калькуляторы

cisco 4948 + Etherchannel + зеркало

Доброе утро всем!

 

наши пользователи прокачивают из интернета примерно 1,5 Гига

 

Задача:

отзеркалить этот поток на сервер с СОРМ

 

Сейчас это сделано так - с3750 соединена PortChannelом с граничным маршрутизатором - задействовано 2 порта в портченнеле

каждый интерфейс портченнела с3750 отзеркален на сетевые карты сервера СОРМ

 

Хотели сделать то же но на с4948 и не получается отзеркалить портченнел

 

Может есть другое решение нашей задачи?

 

 

с3750

*Altair*#sh ver

Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE4, RELEASE SOFTWARE (fc1)

 

cisco WS-C3750G-24TS (PowerPC405) processor (revision C0) with 118784K/12280K bytes of memory.

 

 

*Altair*#sh run

Building configuration...

 

interface Port-channel1

switchport access vlan 9

switchport mode access

speed nonegotiate

 

interface GigabitEthernet1/0/17

!

interface GigabitEthernet1/0/18

!

interface GigabitEthernet1/0/25

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

!

interface GigabitEthernet1/0/26

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

 

И зеркало, которое работает:

 

monitor session 1 source interface Gi1/0/25

monitor session 1 destination interface Gi1/0/17

monitor session 2 source interface Gi1/0/26

monitor session 2 destination interface Gi1/0/18

 

 

с4948

sh ver

Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASE-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1)

 

cisco WS-C4948 (MPC8245) processor (revision 0) with 262144K bytes of memory.

 

 

interface Port-channel1

switchport

switchport access vlan 9

switchport mode access

speed nonegotiate

 

interface GigabitEthernet1/17

!

interface GigabitEthernet1/18

!

interface GigabitEthernet1/45

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

!

interface GigabitEthernet1/46

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

 

 

ТЕПЕРЬ ЗЕРКАЛО:

 

c4948(config)#monitor session 1 source interface Gi1/45

% Etherchannel member(s) Gi1/45 cannot be monitor source

 

 

 

Во вложении то что я писал словами)

Схемой может быть будет понятно.

post-72225-046671000 1442464916_thumb.png

Share this post


Link to post
Share on other sites

но в портченнеле 2 физических интерфейса

значит мне нужно будет указать 2 дестинэйшна?

 

c4948(config)#monitor session 1 source interface po1

c4948(config)#monitor session 1 destination interface Gi1/17

c4948(config)#monitor session 1 destination interface Gi1/18

% This platform allows a maximum of 1 monitor destination(s)

 

может я чего то не понимаю, подскажите плиз?

Share this post


Link to post
Share on other sites

соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите

Share this post


Link to post
Share on other sites

может я чего то не понимаю,

так и есть.

В 4500/4900 платформе сессия зеркалится только в одну сущность - будь то порт, влан или портченел.

Share this post


Link to post
Share on other sites

соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите

Делаю:

 

c4948(config)#no monitor session 1

c4948(config)#interface ra GigabitEthernet1/17-18

c4948(config-if-range)#channel-group 2 mo on

 

c4948#sh run

interface Port-channel1

switchport

switchport access vlan 9

switchport mode access

speed nonegotiate

!

interface Port-channel2

switchport

 

c4948#conf t

 

c4948(config)#monitor session 1 source interface po1

c4948(config)#monitor session 1 dest interface po2

^

% Invalid input detected at '^' marker.

 

c4948(config)#monitor session 1 dest interface ?

FastEthernet FastEthernet IEEE 802.3

GigabitEthernet GigabitEthernet IEEE 802.3z

 

 

Не дает перенаправить в Портченнел(

Share this post


Link to post
Share on other sites

мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал.

Share this post


Link to post
Share on other sites

мб попробовать так?

conf t
vlan XX
remote-span
!
int port-channel2
switchport mode access
switchport access vlan XX
!
monitor session 1 destionation vlan XX

Share this post


Link to post
Share on other sites

мб попробовать так?

conf t
vlan XX
remote-span
!
int port-channel2
switchport mode access
switchport access vlan XX
!
monitor session 1 destionation vlan XX

 

 

и так хотел, но:

c4948(config)#monitor session 1 de

c4948(config)#monitor session 1 destination ?

interface SPAN destination interface

remote SPAN destination Remote

 

c4948(config)#monitor session 1 destination int

c4948(config)#monitor session 1 destination interface ?

FastEthernet FastEthernet IEEE 802.3

GigabitEthernet GigabitEthernet IEEE 802.3z

 

 

 

Может я совсем не так решаю нужную задачу? как у вас сделано зеркалирование всего потока трафика?

Я ведь не первый, кто ставит СОРМ)

 

Спасибо за помощь!

Share this post


Link to post
Share on other sites

c4948(config)#monitor session 1 source interface Po1

c4948(config)#monitor session 1 destination remote vlan 99

 

sh run

 

monitor session 1 source interface Po1

monitor session 1 destination remote vlan 99

monitor session 1 filter packet-type good rx

 

Не понимаю почему он включил фильтрацию

 

c4948#conf t

Enter configuration commands, one per line. End with CNTL/Z.

c4948(config)#no monitor session 1 filter

 

 

sh run

monitor session 1 source interface Po1

monitor session 1 destination remote vlan 99

 

 

Теперь ведь должен зеркалить оба направления?

Share this post


Link to post
Share on other sites

пардон, перед vlan естественно remote,

т.е.

monitor session 1 destionation remote vlan XX

 

Чего то я не понял.

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/53SG/configuration/config/span.html#wp1102093

"•The RSPAN VLAN is configured only on trunk ports and not on access ports. To avoid unwanted traffic in RSPAN VLANs, make sure that all participating switches support the VLAN remote-span feature. Access ports on the RSPAN VLAN are silently disabled."

 

Если правильно понимаю то влан XXX должен быть привязан к транковому порту и конструкция вида

"vlan XX

remote-span

!

int port-channel2

switchport mode access

switchport access vlan XX" работать не должна

Share this post


Link to post
Share on other sites

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

Share this post


Link to post
Share on other sites

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

По быстрому прочитал - получается что:

1. Снять траффик можно с порта портчаннела или влана.

2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана.

 

То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl.

Вроде так получается :(

Share this post


Link to post
Share on other sites

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

По быстрому прочитал - получается что:

1. Снять траффик можно с порта портчаннела или влана.

2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана.

 

То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl.

Вроде так получается :(

Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете?

Share this post


Link to post
Share on other sites

мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал.

Порты оптические

А что за сплиттера?

Share this post


Link to post
Share on other sites

Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете?

Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan).

А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"?

Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника.

За одним исключить из мирроринга офисный/служебный трафик.

Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом.

Share this post


Link to post
Share on other sites

Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan).

А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"?

Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника.

За одним исключить из мирроринга офисный/служебный трафик.

Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом.

 

интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4

Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить....

но не хватит же портов на съемнике)

а как их можно сгруппировать для зеркалирования?

Share this post


Link to post
Share on other sites

интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4

Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить....

но не хватит же портов на съемнике)

а как их можно сгруппировать для зеркалирования?

Почитать приведённую доку начиная с заголовка "SPAN Session".

В одной сессии может быть несколько source портов.

Пример оттуда же:

"This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1:

 

Switch(config)# monitor session 1 source interface fastethernet 5/1

This example shows how to configure sources with differing directions within a SPAN session:

 

Switch(config)# monitor session 1 source interface fa2/3 rx

Switch(config)# monitor session 1 source interface fa2/2 tx

Switch(config)# "

 

PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик.

Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было)

 

PS2: А максимальное количество спан сессий указано в доке на коммутатор.

У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь.

Edited by NikAlexAn

Share this post


Link to post
Share on other sites

Почитать приведённую доку начиная с заголовка "SPAN Session".

В одной сессии может быть несколько source портов.

Пример оттуда же:

"This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1:

 

Switch(config)# monitor session 1 source interface fastethernet 5/1

This example shows how to configure sources with differing directions within a SPAN session:

 

Switch(config)# monitor session 1 source interface fa2/3 rx

Switch(config)# monitor session 1 source interface fa2/2 tx

Switch(config)# "

 

PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик.

Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было)

 

PS2: А максимальное количество спан сессий указано в доке на коммутатор.

У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь.

 

Об этом я вчера и подумал, что соурсов может быть несколько, только уже был по дороге домой...

Просто видите в чем дело, если я зеркалю порты в сторону ISP то я на съемник отдаю только интернет трафик.

А в случае зеркалирования портов на агрегации отзеркалится еще и трафик, который ходит между пользователями (между агрегациями), трафик внутренних ресурсов (например то же самое локальное ТВ) и прочее.

И ходит это все в одном влане...

 

И как то не клеится в голове решение задачи

 

Отзеркалить отдельно rx и tx тоже не могу - у меня rx 1.3G tx 250М

 

А у вас как сделано?

Share this post


Link to post
Share on other sites

Нас обязали и межабонентский трафик зеркалить.

Почитайте как там фильтровать по ACL.

Share this post


Link to post
Share on other sites

Кто подскажет на сабжевый коммутатор для 10G портов какие модули лучше взять для связи 2х между собой и сервера на Intel X520

Расстояния везде не больше 20 метров.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this