[Azamat]

Коллеги, поделитесь знанием, если кто в курсе.

 

Вопрос таков:

имеем два порта, на один прилетает порядка 6Гб/с, на другой - 7Гб/с (как бы сумма 13 гб).

 

надо это дело утоптать в 10гб порт для SPAN. Причем есть вполне себе 5-6 гбит/с, которые можно безболезненно вырезатью. В платформе есть acl, можно поставить в виде: monitor session 2 filter ip access-group SRM.

 

Собственно, когда именно применяется acl ? Если после того как шасси пытается упихать 13гб/с в порт и дропает 3гб/с и после этого еще и выпиливает с помощью acl остатки трафика - это ппц.

 

Или acl выпиливает сначала из каждого из потоков с src портов не нужный трафик и остатки вливает в dst ?

[zi_rus]

коммутаторы так не работают.

 

трафик сначала попадает во входной буфер, потом коммутируется/маршрутизируется с помощью asic/dfc/pfc/np/fp/etc и отправляется в выходной буфер. все, что дошло до выходного буфера, будет отправлено в интерфейс, фильтрация по acl идет в промежутке между буферами, а перегрузка возникает когда трафик в интерфейс уходит медленней чем заполняется буфер, в который очевидно попадет только отфильтрованный трафик

[Azamat]

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

[mikezzzz]

что за железяка? vlan access map имеется? можно через схему вход -> rspan vlan -> vlan access map -> выход

[zi_rus]

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

это значит что сначала весь зеркалированный трафик будет с входных интерфейсов через внутреннюю фабрику переданы на асик выходного и он все отфильтрует, в выходной буфер попадут только нужные данные. это надо учитывать при рассчете нагрузки на внутреннюю фабрику, например у 3550 - "24 Gbps switching fabric", то есть если мы захотим зазеркалить 100500 Гбит трафика с тысячи интерфейсов зафильтрованного до 1Мбит в соточный порт, то до выходного асика дойдет только 24гбита и только они пройдут через ацл, и можно не увидеть этого мбита, будет вообще ничего не доходить или обрывками, потому что теряться будет на фабрике, скорость интерфейса тут ничего не ограничивает

[Azamat]

коммутатор 4900м, local span

порты использованы на основном шасси - wire speed

да и фабрика там бездонная. А имеем на выходе как раз таки обрывками, как говорят потребители.

[mikezzzz]

ну так сделайте remote span )

 

ACL configuration applies normally to the RSPAN VLAN and to trunk ports carrying the RSPAN VLAN. This configuration enables you to apply VACLs on RSPAN VLANs. If a user attempts to configure an ACL on a SPAN session with the destination port as an RSPAN VLAN, the configuration is rejected.

 

monitor session 1 source <ports>

monitor session 1 destination remote vlan 123

 

Step 1 Define the IP ACL to match and permit the correct packets.

Switch(config)# ip access-list extended SERVER1_ACL
Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100
Switch(config-ext-nacl))# exit

Step 2 Define a VLAN map using the ACL to drop IP packets that match SERVER1_ACL and forward IP packets that do not match the ACL.

Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address SERVER1_ACL
Switch(config-access-map)# action drop
Switch(config)# vlan access-map SERVER1_MAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit

Step 3 Apply the VLAN map to VLAN 123.

Switch(config)# vlan filter SERVER1_MAP vlan-list 123

 

monitor session 2 source remote vlan 123

monitor session 2 destination interface <ports>

[zi_rus]

ну так сделайте remote span

если там дропы на порту из-за перегрузки не из-за трафика, а из-за микроберстов, то rspan не поможет, надо qos настраивать. и не понятно сколько же реально трафика сейчас видно, вырезал ли ацл эти 5-6G или только 2

[mikezzzz]

по вводным там на вход 13, а выход на 9.5, кажется вполне очевидным решением

[zhenya`]

а зачем рспан ? можно action capture. вроде на 4900М так умеет.

[Azamat]

Даже если делать RSPAN, то во вторую сессию трафик будет скопирован до применения acl к самому влану.

Исходя из аналогии с портами, если некий порт имеет входящий трафик и к нему применен любой ip access-group AAA in, то если его рассматривать как source порт для какой-нибудь сессии мониторинга, траф в монитор будет скопирован до применения этой ААА на порту.

Edited September 29, 2015 by Azamat

[mikezzzz]

а зачем рспан ? можно action capture. вроде на 4900М так умеет.

 

согласен, забыл про эту фичу.

но ТС похоже сам уже во всем разобрался

[Azamat]

на 4900 нету в настройках порта опции switchport capture, может ли быть иной синтаксис ? в документации пока не нашел вариантов.