Перейти к содержимому
Калькуляторы

cisco 4948 + Etherchannel + зеркало

Доброе утро всем!

 

наши пользователи прокачивают из интернета примерно 1,5 Гига

 

Задача:

отзеркалить этот поток на сервер с СОРМ

 

Сейчас это сделано так - с3750 соединена PortChannelом с граничным маршрутизатором - задействовано 2 порта в портченнеле

каждый интерфейс портченнела с3750 отзеркален на сетевые карты сервера СОРМ

 

Хотели сделать то же но на с4948 и не получается отзеркалить портченнел

 

Может есть другое решение нашей задачи?

 

 

с3750

*Altair*#sh ver

Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE4, RELEASE SOFTWARE (fc1)

 

cisco WS-C3750G-24TS (PowerPC405) processor (revision C0) with 118784K/12280K bytes of memory.

 

 

*Altair*#sh run

Building configuration...

 

interface Port-channel1

switchport access vlan 9

switchport mode access

speed nonegotiate

 

interface GigabitEthernet1/0/17

!

interface GigabitEthernet1/0/18

!

interface GigabitEthernet1/0/25

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

!

interface GigabitEthernet1/0/26

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

 

И зеркало, которое работает:

 

monitor session 1 source interface Gi1/0/25

monitor session 1 destination interface Gi1/0/17

monitor session 2 source interface Gi1/0/26

monitor session 2 destination interface Gi1/0/18

 

 

с4948

sh ver

Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASE-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1)

 

cisco WS-C4948 (MPC8245) processor (revision 0) with 262144K bytes of memory.

 

 

interface Port-channel1

switchport

switchport access vlan 9

switchport mode access

speed nonegotiate

 

interface GigabitEthernet1/17

!

interface GigabitEthernet1/18

!

interface GigabitEthernet1/45

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

!

interface GigabitEthernet1/46

switchport access vlan 9

switchport mode access

speed nonegotiate

channel-group 1 mode active

 

 

ТЕПЕРЬ ЗЕРКАЛО:

 

c4948(config)#monitor session 1 source interface Gi1/45

% Etherchannel member(s) Gi1/45 cannot be monitor source

 

 

 

Во вложении то что я писал словами)

Схемой может быть будет понятно.

post-72225-046671000 1442464916_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

укажите сурс сам интерфейс портченела

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

monitor session 1 source interface port-channel1

 

... пока набирал, zstas опередил ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но в портченнеле 2 физических интерфейса

значит мне нужно будет указать 2 дестинэйшна?

 

c4948(config)#monitor session 1 source interface po1

c4948(config)#monitor session 1 destination interface Gi1/17

c4948(config)#monitor session 1 destination interface Gi1/18

% This platform allows a maximum of 1 monitor destination(s)

 

может я чего то не понимаю, подскажите плиз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может я чего то не понимаю,

так и есть.

В 4500/4900 платформе сессия зеркалится только в одну сущность - будь то порт, влан или портченел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

соберите статический портченел в сторону СОРМа, и в качестве дестинейшн - этот портченел и пропишите

Делаю:

 

c4948(config)#no monitor session 1

c4948(config)#interface ra GigabitEthernet1/17-18

c4948(config-if-range)#channel-group 2 mo on

 

c4948#sh run

interface Port-channel1

switchport

switchport access vlan 9

switchport mode access

speed nonegotiate

!

interface Port-channel2

switchport

 

c4948#conf t

 

c4948(config)#monitor session 1 source interface po1

c4948(config)#monitor session 1 dest interface po2

^

% Invalid input detected at '^' marker.

 

c4948(config)#monitor session 1 dest interface ?

FastEthernet FastEthernet IEEE 802.3

GigabitEthernet GigabitEthernet IEEE 802.3z

 

 

Не дает перенаправить в Портченнел(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мб попробовать так?

conf t
vlan XX
remote-span
!
int port-channel2
switchport mode access
switchport access vlan XX
!
monitor session 1 destionation vlan XX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мб попробовать так?

conf t
vlan XX
remote-span
!
int port-channel2
switchport mode access
switchport access vlan XX
!
monitor session 1 destionation vlan XX

 

 

и так хотел, но:

c4948(config)#monitor session 1 de

c4948(config)#monitor session 1 destination ?

interface SPAN destination interface

remote SPAN destination Remote

 

c4948(config)#monitor session 1 destination int

c4948(config)#monitor session 1 destination interface ?

FastEthernet FastEthernet IEEE 802.3

GigabitEthernet GigabitEthernet IEEE 802.3z

 

 

 

Может я совсем не так решаю нужную задачу? как у вас сделано зеркалирование всего потока трафика?

Я ведь не первый, кто ставит СОРМ)

 

Спасибо за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пардон, перед vlan естественно remote,

т.е.

monitor session 1 destionation remote vlan XX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

c4948(config)#monitor session 1 source interface Po1

c4948(config)#monitor session 1 destination remote vlan 99

 

sh run

 

monitor session 1 source interface Po1

monitor session 1 destination remote vlan 99

monitor session 1 filter packet-type good rx

 

Не понимаю почему он включил фильтрацию

 

c4948#conf t

Enter configuration commands, one per line. End with CNTL/Z.

c4948(config)#no monitor session 1 filter

 

 

sh run

monitor session 1 source interface Po1

monitor session 1 destination remote vlan 99

 

 

Теперь ведь должен зеркалить оба направления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пардон, перед vlan естественно remote,

т.е.

monitor session 1 destionation remote vlan XX

 

Чего то я не понял.

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/53SG/configuration/config/span.html#wp1102093

"•The RSPAN VLAN is configured only on trunk ports and not on access ports. To avoid unwanted traffic in RSPAN VLANs, make sure that all participating switches support the VLAN remote-span feature. Access ports on the RSPAN VLAN are silently disabled."

 

Если правильно понимаю то влан XXX должен быть привязан к транковому порту и конструкция вида

"vlan XX

remote-span

!

int port-channel2

switchport mode access

switchport access vlan XX" работать не должна

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

По быстрому прочитал - получается что:

1. Снять траффик можно с порта портчаннела или влана.

2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана.

 

То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl.

Вроде так получается :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

действительно, тогда можно попробовать провернуть маневр с

switchport mode trunk
switchport trunk native vlan XX
switchport trunk allowed vlan XX

По быстрому прочитал - получается что:

1. Снять траффик можно с порта портчаннела или влана.

2. Отправить на съёмник можно только на физический порт в том числе и с rspan влана.

 

То бишь на одной железке разделить тарфик с po по разным дестинэйшинам похоже можно только фильтруя в сессии разные вланы или acl.

Вроде так получается :(

Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мда, действительно так нельзя. линки которые нужно отзеркалировать медные? если есть возможность - уйти на оптику и с помощью сплиттеров снимать сигнал.

Порты оптические

А что за сплиттера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и я недоумеваю, а можете подробнее или с командами, как вы это предлагаете?

Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan).

А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"?

Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника.

За одним исключить из мирроринга офисный/служебный трафик.

Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начать с внимательного изучения приведённого выше мануала(я его только бегло прочитал в части span/rspan).

А почему вы хотите миррорить трафик именно с интерфейсов идущих на "маршрутизатор"?

Я так понимаю что не коммутатор потребляет весь этот трафик а абоненты подключенные к этому коммутатору. Можно же снимать тарфик с интерфейсов идущих к абонентам(подозреваю что таких будет несколько) а тогда можно сгруппировать такие "абонентские" интерфейсы по разным сессиям и раскидать по разным портам съёмника.

За одним исключить из мирроринга офисный/служебный трафик.

Насколько помню в миррор нужно ещё отправлять запросы/ответы на авторизацию сессий между брасом и радиусом.

 

интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4

Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить....

но не хватит же портов на съемнике)

а как их можно сгруппировать для зеркалирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интерфейсов ведущих на абонентов около 10(каждый порт идет на свой удаленный аггрегирующий свич в разных концах города). Портов на съемнике 4

Я уже думал о том что порт, в который включена 1 агрегация отзеркалить, порт со 2 агрегацией отзеркалить....

но не хватит же портов на съемнике)

а как их можно сгруппировать для зеркалирования?

Почитать приведённую доку начиная с заголовка "SPAN Session".

В одной сессии может быть несколько source портов.

Пример оттуда же:

"This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1:

 

Switch(config)# monitor session 1 source interface fastethernet 5/1

This example shows how to configure sources with differing directions within a SPAN session:

 

Switch(config)# monitor session 1 source interface fa2/3 rx

Switch(config)# monitor session 1 source interface fa2/2 tx

Switch(config)# "

 

PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик.

Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было)

 

PS2: А максимальное количество спан сессий указано в доке на коммутатор.

У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь.

Изменено пользователем NikAlexAn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почитать приведённую доку начиная с заголовка "SPAN Session".

В одной сессии может быть несколько source портов.

Пример оттуда же:

"This example shows how to configure SPAN session 1 to monitor bidirectional traffic from source interface Fast Ethernet 5/1:

 

Switch(config)# monitor session 1 source interface fastethernet 5/1

This example shows how to configure sources with differing directions within a SPAN session:

 

Switch(config)# monitor session 1 source interface fa2/3 rx

Switch(config)# monitor session 1 source interface fa2/2 tx

Switch(config)# "

 

PS: А для группировки по сессиям(а значит и портам съёмника) критерием выбираем максимальный суммарный трафик.

Максимальный суммарный(in+out) трафик с группы портов не должен превышать пропускной способности порта съёмника(лучше меньше 900мбит чтоб было)

 

PS2: А максимальное количество спан сессий указано в доке на коммутатор.

У 4948E(не путать с 4948-E) больше чем у 4948 раза в два если не ошибаюсь.

 

Об этом я вчера и подумал, что соурсов может быть несколько, только уже был по дороге домой...

Просто видите в чем дело, если я зеркалю порты в сторону ISP то я на съемник отдаю только интернет трафик.

А в случае зеркалирования портов на агрегации отзеркалится еще и трафик, который ходит между пользователями (между агрегациями), трафик внутренних ресурсов (например то же самое локальное ТВ) и прочее.

И ходит это все в одном влане...

 

И как то не клеится в голове решение задачи

 

Отзеркалить отдельно rx и tx тоже не могу - у меня rx 1.3G tx 250М

 

А у вас как сделано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нас обязали и межабонентский трафик зеркалить.

Почитайте как там фильтровать по ACL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто подскажет на сабжевый коммутатор для 10G портов какие модули лучше взять для связи 2х между собой и сервера на Intel X520

Расстояния везде не больше 20 метров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.