Jump to content
Калькуляторы

Плз подскажите по SPAN на коммутаторе Cisco

Коллеги, поделитесь знанием, если кто в курсе.

 

Вопрос таков:

имеем два порта, на один прилетает порядка 6Гб/с, на другой - 7Гб/с (как бы сумма 13 гб).

 

надо это дело утоптать в 10гб порт для SPAN. Причем есть вполне себе 5-6 гбит/с, которые можно безболезненно вырезатью. В платформе есть acl, можно поставить в виде: monitor session 2 filter ip access-group SRM.

 

Собственно, когда именно применяется acl ? Если после того как шасси пытается упихать 13гб/с в порт и дропает 3гб/с и после этого еще и выпиливает с помощью acl остатки трафика - это ппц.

 

Или acl выпиливает сначала из каждого из потоков с src портов не нужный трафик и остатки вливает в dst ?

Share this post


Link to post
Share on other sites

коммутаторы так не работают.

 

трафик сначала попадает во входной буфер, потом коммутируется/маршрутизируется с помощью asic/dfc/pfc/np/fp/etc и отправляется в выходной буфер. все, что дошло до выходного буфера, будет отправлено в интерфейс, фильтрация по acl идет в промежутке между буферами, а перегрузка возникает когда трафик в интерфейс уходит медленней чем заполняется буфер, в который очевидно попадет только отфильтрованный трафик

Share this post


Link to post
Share on other sites

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

Share this post


Link to post
Share on other sites

что за железяка? vlan access map имеется? можно через схему вход -> rspan vlan -> vlan access map -> выход

Share this post


Link to post
Share on other sites

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

это значит что сначала весь зеркалированный трафик будет с входных интерфейсов через внутреннюю фабрику переданы на асик выходного и он все отфильтрует, в выходной буфер попадут только нужные данные. это надо учитывать при рассчете нагрузки на внутреннюю фабрику, например у 3550 - "24 Gbps switching fabric", то есть если мы захотим зазеркалить 100500 Гбит трафика с тысячи интерфейсов зафильтрованного до 1Мбит в соточный порт, то до выходного асика дойдет только 24гбита и только они пройдут через ацл, и можно не увидеть этого мбита, будет вообще ничего не доходить или обрывками, потому что теряться будет на фабрике, скорость интерфейса тут ничего не ограничивает

Share this post


Link to post
Share on other sites

коммутатор 4900м, local span

порты использованы на основном шасси - wire speed

да и фабрика там бездонная. А имеем на выходе как раз таки обрывками, как говорят потребители.

Share this post


Link to post
Share on other sites

ну так сделайте remote span )

 

ACL configuration applies normally to the RSPAN VLAN and to trunk ports carrying the RSPAN VLAN. This configuration enables you to apply VACLs on RSPAN VLANs. If a user attempts to configure an ACL on a SPAN session with the destination port as an RSPAN VLAN, the configuration is rejected.

 

monitor session 1 source <ports>

monitor session 1 destination remote vlan 123

 

Step 1 Define the IP ACL to match and permit the correct packets.

Switch(config)# ip access-list extended SERVER1_ACL
Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100
Switch(config-ext-nacl))# exit

Step 2 Define a VLAN map using the ACL to drop IP packets that match SERVER1_ACL and forward IP packets that do not match the ACL.

Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address SERVER1_ACL
Switch(config-access-map)# action drop
Switch(config)# vlan access-map SERVER1_MAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit

Step 3 Apply the VLAN map to VLAN 123.

Switch(config)# vlan filter SERVER1_MAP vlan-list 123

 

monitor session 2 source remote vlan 123

monitor session 2 destination interface <ports>

Share this post


Link to post
Share on other sites

ну так сделайте remote span

если там дропы на порту из-за перегрузки не из-за трафика, а из-за микроберстов, то rspan не поможет, надо qos настраивать. и не понятно сколько же реально трафика сейчас видно, вырезал ли ацл эти 5-6G или только 2

Share this post


Link to post
Share on other sites

по вводным там на вход 13, а выход на 9.5, кажется вполне очевидным решением

Share this post


Link to post
Share on other sites

Даже если делать RSPAN, то во вторую сессию трафик будет скопирован до применения acl к самому влану.

Исходя из аналогии с портами, если некий порт имеет входящий трафик и к нему применен любой ip access-group AAA in, то если его рассматривать как source порт для какой-нибудь сессии мониторинга, траф в монитор будет скопирован до применения этой ААА на порту.

Edited by Azamat

Share this post


Link to post
Share on other sites

а зачем рспан ? можно action capture. вроде на 4900М так умеет.

 

согласен, забыл про эту фичу.

но ТС похоже сам уже во всем разобрался

Share this post


Link to post
Share on other sites

на 4900 нету в настройках порта опции switchport capture, может ли быть иной синтаксис ? в документации пока не нашел вариантов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this