hoochie Posted September 17, 2015 · Report post Доброе утро всем! наши пользователи прокачивают из интернета примерно 1,5 Гига Задача: отзеркалить этот поток на сервер с СОРМ Сейчас это сделано так - с3750 соединена PortChannelом с граничным маршрутизатором - задействовано 2 порта в портченнеле каждый интерфейс портченнела с3750 отзеркален на сетевые карты сервера СОРМ Хотели сделать то же но на с4948 и не получается отзеркалить портченнел Может есть другое решение нашей задачи? с3750 *Altair*#sh ver Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE4, RELEASE SOFTWARE (fc1) cisco WS-C3750G-24TS (PowerPC405) processor (revision C0) with 118784K/12280K bytes of memory. *Altair*#sh run Building configuration... interface Port-channel1 switchport access vlan 9 switchport mode access speed nonegotiate interface GigabitEthernet1/0/17 ! interface GigabitEthernet1/0/18 ! interface GigabitEthernet1/0/25 switchport access vlan 9 switchport mode access speed nonegotiate channel-group 1 mode active ! interface GigabitEthernet1/0/26 switchport access vlan 9 switchport mode access speed nonegotiate channel-group 1 mode active И зеркало, которое работает: monitor session 1 source interface Gi1/0/25 monitor session 1 destination interface Gi1/0/17 monitor session 2 source interface Gi1/0/26 monitor session 2 destination interface Gi1/0/18 с4948 sh ver Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASE-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1) cisco WS-C4948 (MPC8245) processor (revision 0) with 262144K bytes of memory. interface Port-channel1 switchport switchport access vlan 9 switchport mode access speed nonegotiate interface GigabitEthernet1/17 ! interface GigabitEthernet1/18 ! interface GigabitEthernet1/45 switchport access vlan 9 switchport mode access speed nonegotiate channel-group 1 mode active ! interface GigabitEthernet1/46 switchport access vlan 9 switchport mode access speed nonegotiate channel-group 1 mode active ТЕПЕРЬ ЗЕРКАЛО: c4948(config)#monitor session 1 source interface Gi1/45 % Etherchannel member(s) Gi1/45 cannot be monitor source Во вложении то что я писал словами) Схемой может быть будет понятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 17, 2015 · Report post укажите сурс сам интерфейс портченела Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 17, 2015 · Report post monitor session 1 source interface port-channel1 ... пока набирал, zstas опередил )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post но в портченнеле 2 физических интерфейса значит мне нужно будет указать 2 дестинэйшна? c4948(config)#monitor session 1 source interface po1 c4948(config)#monitor session 1 destination interface Gi1/17 c4948(config)#monitor session 1 destination interface Gi1/18 % This platform allows a maximum of 1 monitor destination(s) может я чего то не понимаю, подскажите плиз? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 17, 2015 · Report post соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 17, 2015 · Report post может я чего то не понимаю, так и есть. В 4500/4900 платформе сессия зеркалится только в одну сущность - будь то порт, влан или портченел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите Делаю: c4948(config)#no monitor session 1 c4948(config)#interface ra GigabitEthernet1/17-18 c4948(config-if-range)#channel-group 2 mo on c4948#sh run interface Port-channel1 switchport switchport access vlan 9 switchport mode access speed nonegotiate ! interface Port-channel2 switchport c4948#conf t c4948(config)#monitor session 1 source interface po1 c4948(config)#monitor session 1 dest interface po2 ^ % Invalid input detected at '^' marker. c4948(config)#monitor session 1 dest interface ? FastEthernet FastEthernet IEEE 802.3 GigabitEthernet GigabitEthernet IEEE 802.3z Не дает перенаправить в Портченнел( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 17, 2015 · Report post мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 17, 2015 · Report post мб попробовать так? conf t vlan XX remote-span ! int port-channel2 switchport mode access switchport access vlan XX ! monitor session 1 destionation vlan XX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post мб попробовать так? conf t vlan XX remote-span ! int port-channel2 switchport mode access switchport access vlan XX ! monitor session 1 destionation vlan XX и так хотел, но: c4948(config)#monitor session 1 de c4948(config)#monitor session 1 destination ? interface SPAN destination interface remote SPAN destination Remote c4948(config)#monitor session 1 destination int c4948(config)#monitor session 1 destination interface ? FastEthernet FastEthernet IEEE 802.3 GigabitEthernet GigabitEthernet IEEE 802.3z Может я совсем не так решаю нужную задачу? как у вас сделано зеркалирование всего потока трафика? Я ведь не первый, кто ставит СОРМ) Спасибо за помощь! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 17, 2015 · Report post пардон, перед vlan естественно remote, т.е. monitor session 1 destionation remote vlan XX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post c4948(config)#monitor session 1 source interface Po1 c4948(config)#monitor session 1 destination remote vlan 99 sh run monitor session 1 source interface Po1 monitor session 1 destination remote vlan 99 monitor session 1 filter packet-type good rx Не понимаю почему он включил фильтрацию c4948#conf t Enter configuration commands, one per line. End with CNTL/Z. c4948(config)#no monitor session 1 filter sh run monitor session 1 source interface Po1 monitor session 1 destination remote vlan 99 Теперь ведь должен зеркалить оба направления? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 17, 2015 · Report post пардон, перед vlan естественно remote, т.е. monitor session 1 destionation remote vlan XX Чего то я не понял. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/53SG/configuration/config/span.html#wp1102093 "•The RSPAN VLAN is configured only on trunk ports and not on access ports. To avoid unwanted traffic in RSPAN VLANs, make sure that all participating switches support the VLAN remote-span feature. Access ports on the RSPAN VLAN are silently disabled." Если правильно понимаю то влан XXX должен быть привязан к транковому порту и конструкция вида "vlan XX remote-span ! int port-channel2 switchport mode access switchport access vlan XX" работать не должна Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 17, 2015 · Report post действительно, тогда можно попробовать провернуть маневр с switchport mode trunk switchport trunk native vlan XX switchport trunk allowed vlan XX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 17, 2015 · Report post действительно, тогда можно попробовать провернуть маневр с switchport mode trunk switchport trunk native vlan XX switchport trunk allowed vlan XX По быстрому прочитал - получается что: 1. Снять траффик можно с порта портчаннела или влана. 2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана. То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl. Вроде так получается :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post действительно, тогда можно попробовать провернуть маневр с switchport mode trunk switchport trunk native vlan XX switchport trunk allowed vlan XX По быстрому прочитал - получается что: 1. Снять траффик можно с порта портчаннела или влана. 2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана. То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl. Вроде так получается :( Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал. Порты оптические А что за сплиттера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 17, 2015 · Report post Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете? Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan). А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"? Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника. За одним исключить из мирроринга офисный/служебный трафик. Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 17, 2015 · Report post Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan). А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"? Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника. За одним исключить из мирроринга офисный/служебный трафик. Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом. интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4 Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить.... но не хватит же портов на съемнике) а как их можно сгруппировать для зеркалирования? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 17, 2015 (edited) · Report post интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4 Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить.... но не хватит же портов на съемнике) а как их можно сгруппировать для зеркалирования? Почитать приведённую доку начиная с заголовка "SPAN Session". В одной сессии может быть несколько source портов. Пример оттуда же: "This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1: Switch(config)# monitor session 1 source interface fastethernet 5/1 This example shows how to configure sources with differing directions within a SPAN session: Switch(config)# monitor session 1 source interface fa2/3 rx Switch(config)# monitor session 1 source interface fa2/2 tx Switch(config)# " PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик. Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было) PS2: А максимальное количество спан сессий указано в доке на коммутатор. У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь. Edited September 17, 2015 by NikAlexAn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hoochie Posted September 18, 2015 · Report post Почитать приведённую доку начиная с заголовка "SPAN Session". В одной сессии может быть несколько source портов. Пример оттуда же: "This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1: Switch(config)# monitor session 1 source interface fastethernet 5/1 This example shows how to configure sources with differing directions within a SPAN session: Switch(config)# monitor session 1 source interface fa2/3 rx Switch(config)# monitor session 1 source interface fa2/2 tx Switch(config)# " PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик. Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было) PS2: А максимальное количество спан сессий указано в доке на коммутатор. У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь. Об этом я вчера и подумал, что соурсов может быть несколько, только уже был по дороге домой... Просто видите в чем дело, если я зеркалю порты в сторону ISP то я на съемник отдаю только интернет трафик. А в случае зеркалирования портов на агрегации отзеркалится еще и трафик, который ходит между пользователями (между агрегациями), трафик внутренних ресурсов (например то же самое локальное ТВ) и прочее. И ходит это все в одном влане... И как то не клеится в голове решение задачи Отзеркалить отдельно rx и tx тоже не могу - у меня rx 1.3G tx 250М А у вас как сделано? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 18, 2015 · Report post Нас обязали и межабонентский трафик зеркалить. Почитайте как там фильтровать по ACL. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sacrament Posted December 16, 2015 · Report post Кто подскажет на сабжевый коммутатор для 10G портов какие модули лучше взять для связи 2х между собой и сервера на Intel X520 Расстояния везде не больше 20 метров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...