Azamat Posted September 28, 2015 · Report post Коллеги, поделитесь знанием, если кто в курсе. Вопрос таков: имеем два порта, на один прилетает порядка 6Гб/с, на другой - 7Гб/с (как бы сумма 13 гб). надо это дело утоптать в 10гб порт для SPAN. Причем есть вполне себе 5-6 гбит/с, которые можно безболезненно вырезатью. В платформе есть acl, можно поставить в виде: monitor session 2 filter ip access-group SRM. Собственно, когда именно применяется acl ? Если после того как шасси пытается упихать 13гб/с в порт и дропает 3гб/с и после этого еще и выпиливает с помощью acl остатки трафика - это ппц. Или acl выпиливает сначала из каждого из потоков с src портов не нужный трафик и остатки вливает в dst ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted September 28, 2015 · Report post коммутаторы так не работают. трафик сначала попадает во входной буфер, потом коммутируется/маршрутизируется с помощью asic/dfc/pfc/np/fp/etc и отправляется в выходной буфер. все, что дошло до выходного буфера, будет отправлено в интерфейс, фильтрация по acl идет в промежутке между буферами, а перегрузка возникает когда трафик в интерфейс уходит медленней чем заполняется буфер, в который очевидно попадет только отфильтрованный трафик Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Azamat Posted September 28, 2015 · Report post Как тогда интерпретировать следующие буквы: If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface The ACLs associated with a SPAN session are applied on the destination interface on output Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 28, 2015 · Report post что за железяка? vlan access map имеется? можно через схему вход -> rspan vlan -> vlan access map -> выход Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted September 28, 2015 · Report post Как тогда интерпретировать следующие буквы: If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface The ACLs associated with a SPAN session are applied on the destination interface on output Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ? это значит что сначала весь зеркалированный трафик будет с входных интерфейсов через внутреннюю фабрику переданы на асик выходного и он все отфильтрует, в выходной буфер попадут только нужные данные. это надо учитывать при рассчете нагрузки на внутреннюю фабрику, например у 3550 - "24 Gbps switching fabric", то есть если мы захотим зазеркалить 100500 Гбит трафика с тысячи интерфейсов зафильтрованного до 1Мбит в соточный порт, то до выходного асика дойдет только 24гбита и только они пройдут через ацл, и можно не увидеть этого мбита, будет вообще ничего не доходить или обрывками, потому что теряться будет на фабрике, скорость интерфейса тут ничего не ограничивает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Azamat Posted September 29, 2015 · Report post коммутатор 4900м, local span порты использованы на основном шасси - wire speed да и фабрика там бездонная. А имеем на выходе как раз таки обрывками, как говорят потребители. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 29, 2015 · Report post ну так сделайте remote span ) ACL configuration applies normally to the RSPAN VLAN and to trunk ports carrying the RSPAN VLAN. This configuration enables you to apply VACLs on RSPAN VLANs. If a user attempts to configure an ACL on a SPAN session with the destination port as an RSPAN VLAN, the configuration is rejected. monitor session 1 source <ports> monitor session 1 destination remote vlan 123 Step 1 Define the IP ACL to match and permit the correct packets. Switch(config)# ip access-list extended SERVER1_ACL Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100 Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100 Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100 Switch(config-ext-nacl))# exit Step 2 Define a VLAN map using the ACL to drop IP packets that match SERVER1_ACL and forward IP packets that do not match the ACL. Switch(config)# vlan access-map SERVER1_MAP Switch(config-access-map)# match ip address SERVER1_ACL Switch(config-access-map)# action drop Switch(config)# vlan access-map SERVER1_MAP 20 Switch(config-access-map)# action forward Switch(config-access-map)# exit Step 3 Apply the VLAN map to VLAN 123. Switch(config)# vlan filter SERVER1_MAP vlan-list 123 monitor session 2 source remote vlan 123 monitor session 2 destination interface <ports> Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted September 29, 2015 · Report post ну так сделайте remote span если там дропы на порту из-за перегрузки не из-за трафика, а из-за микроберстов, то rspan не поможет, надо qos настраивать. и не понятно сколько же реально трафика сейчас видно, вырезал ли ацл эти 5-6G или только 2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 29, 2015 · Report post по вводным там на вход 13, а выход на 9.5, кажется вполне очевидным решением Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 29, 2015 · Report post а зачем рспан ? можно action capture. вроде на 4900М так умеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Azamat Posted September 29, 2015 (edited) · Report post Даже если делать RSPAN, то во вторую сессию трафик будет скопирован до применения acl к самому влану. Исходя из аналогии с портами, если некий порт имеет входящий трафик и к нему применен любой ip access-group AAA in, то если его рассматривать как source порт для какой-нибудь сессии мониторинга, траф в монитор будет скопирован до применения этой ААА на порту. Edited September 29, 2015 by Azamat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted September 29, 2015 · Report post а зачем рспан ? можно action capture. вроде на 4900М так умеет. согласен, забыл про эту фичу. но ТС похоже сам уже во всем разобрался Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Azamat Posted September 29, 2015 · Report post на 4900 нету в настройках порта опции switchport capture, может ли быть иной синтаксис ? в документации пока не нашел вариантов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...