Перейти к содержимому
Калькуляторы

Плз подскажите по SPAN на коммутаторе Cisco

Коллеги, поделитесь знанием, если кто в курсе.

 

Вопрос таков:

имеем два порта, на один прилетает порядка 6Гб/с, на другой - 7Гб/с (как бы сумма 13 гб).

 

надо это дело утоптать в 10гб порт для SPAN. Причем есть вполне себе 5-6 гбит/с, которые можно безболезненно вырезатью. В платформе есть acl, можно поставить в виде: monitor session 2 filter ip access-group SRM.

 

Собственно, когда именно применяется acl ? Если после того как шасси пытается упихать 13гб/с в порт и дропает 3гб/с и после этого еще и выпиливает с помощью acl остатки трафика - это ппц.

 

Или acl выпиливает сначала из каждого из потоков с src портов не нужный трафик и остатки вливает в dst ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коммутаторы так не работают.

 

трафик сначала попадает во входной буфер, потом коммутируется/маршрутизируется с помощью asic/dfc/pfc/np/fp/etc и отправляется в выходной буфер. все, что дошло до выходного буфера, будет отправлено в интерфейс, фильтрация по acl идет в промежутке между буферами, а перегрузка возникает когда трафик в интерфейс уходит медленней чем заполняется буфер, в который очевидно попадет только отфильтрованный трафик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что за железяка? vlan access map имеется? можно через схему вход -> rspan vlan -> vlan access map -> выход

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как тогда интерпретировать следующие буквы:

 

If an ACL is associated with a SPAN session, the rules associated with that ACL are applied against all packets exiting the SPAN destination interface

The ACLs associated with a SPAN session are applied on the destination interface on output

 

Похоже на то, что acl работает на выходе в сторону принимающего внешнего интерфейса, спасая не себя от перегрузки, а входящий интерфейс какого-то сенсора ?

это значит что сначала весь зеркалированный трафик будет с входных интерфейсов через внутреннюю фабрику переданы на асик выходного и он все отфильтрует, в выходной буфер попадут только нужные данные. это надо учитывать при рассчете нагрузки на внутреннюю фабрику, например у 3550 - "24 Gbps switching fabric", то есть если мы захотим зазеркалить 100500 Гбит трафика с тысячи интерфейсов зафильтрованного до 1Мбит в соточный порт, то до выходного асика дойдет только 24гбита и только они пройдут через ацл, и можно не увидеть этого мбита, будет вообще ничего не доходить или обрывками, потому что теряться будет на фабрике, скорость интерфейса тут ничего не ограничивает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коммутатор 4900м, local span

порты использованы на основном шасси - wire speed

да и фабрика там бездонная. А имеем на выходе как раз таки обрывками, как говорят потребители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так сделайте remote span )

 

ACL configuration applies normally to the RSPAN VLAN and to trunk ports carrying the RSPAN VLAN. This configuration enables you to apply VACLs on RSPAN VLANs. If a user attempts to configure an ACL on a SPAN session with the destination port as an RSPAN VLAN, the configuration is rejected.

 

monitor session 1 source <ports>

monitor session 1 destination remote vlan 123

 

Step 1 Define the IP ACL to match and permit the correct packets.

Switch(config)# ip access-list extended SERVER1_ACL
Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100
Switch(config-ext-nacl))# exit

Step 2 Define a VLAN map using the ACL to drop IP packets that match SERVER1_ACL and forward IP packets that do not match the ACL.

Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address SERVER1_ACL
Switch(config-access-map)# action drop
Switch(config)# vlan access-map SERVER1_MAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit

Step 3 Apply the VLAN map to VLAN 123.

Switch(config)# vlan filter SERVER1_MAP vlan-list 123

 

monitor session 2 source remote vlan 123

monitor session 2 destination interface <ports>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так сделайте remote span

если там дропы на порту из-за перегрузки не из-за трафика, а из-за микроберстов, то rspan не поможет, надо qos настраивать. и не понятно сколько же реально трафика сейчас видно, вырезал ли ацл эти 5-6G или только 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по вводным там на вход 13, а выход на 9.5, кажется вполне очевидным решением

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а зачем рспан ? можно action capture. вроде на 4900М так умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже если делать RSPAN, то во вторую сессию трафик будет скопирован до применения acl к самому влану.

Исходя из аналогии с портами, если некий порт имеет входящий трафик и к нему применен любой ip access-group AAA in, то если его рассматривать как source порт для какой-нибудь сессии мониторинга, траф в монитор будет скопирован до применения этой ААА на порту.

Изменено пользователем Azamat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а зачем рспан ? можно action capture. вроде на 4900М так умеет.

 

согласен, забыл про эту фичу.

но ТС похоже сам уже во всем разобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на 4900 нету в настройках порта опции switchport capture, может ли быть иной синтаксис ? в документации пока не нашел вариантов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.