[alibek]

Подскажите, как лучше сделать.

 

Есть бордер Extreme X670, он же коммутатор ядра. К нему подключены BRASы, раздающие интернет клиентам. Также к нему подключена Cisco 3750E, в которую подключены сервера, биллинг, RADIUS и прочее сервисное оборудование.

Есть СОРМ, на который зеркалируется трафик: на один порт идёт зеркало RADIUS с C3750E (небольшой трафик), на остальные порты идет зеркало аплинков с X670 (зеркалируются два 10G на несколько 1G).

Некоторое время назад клиентский трафик в часы пик перестал умещаться в порты. Апгрейд СОРМ возможен только на 10G, что довольно накладно. Хочу на некоторое время отложить апгрейд и добавить в зеркало порт, в который сейчас льется RADIUS, тогда ёмкости на какое-то время хватит.

Но RADIUS хоть и не занимает много места, но его тоже нужно отдавать.

Посоветуйте как лучше это сделать?

 

Самый очевидный вариант - это зеркалировать все с X670. Но RADIUS (и прочий сервисный трафик) у меня терминируется на C3750E и через ядро практически не ходит. И у меня большие сомнения, что заработает RSPAN между двумя железками разных вендоров.

 

Другой вариант - зеркало с C3750E скоммутировать на порт X670 и включить его в источник зеркала. Такое работать будет точно, но мне очень жалко тратить под это порт X670.

 

А ещё мне в голову пришел третий вариант. На C3750E есть два 10G-интерфейса и одним из них коммутатор сейчас подключен к ядру, второй свободен.

Я думаю зеркальный порт 10G с X670 подключить в свободный порт 10G на C3750E и СОРМ переключить на C3750E, настроив зеркало 1x10G+1x1G в Nx1G. Заодно и порты на X670 освободятся.

Вот только я не знаю, сможет ли так C3750E?

[C@T]

По первому варианту - RSPAN между железками разных вендоров работает, проверено (там главное чтобы был отключен MAC-learning).  Вот только за X670 не скажу.

[alibek]

Ну тут получается не просто RSPAN, а SPAN с одного порта + RSPAN с одного VLAN.

Наиболее предпочтительным мне кажется третий вариант — я освобождаю зеркалируемые порты на X670, освобождаю loopback-порт (который нужен для зеркала в LAG) и переношу все на C3750E, на котором куча свободных портов 1G (у меня 48-портовая версия).

Вот только сможет ли так C3750E?

[YuryD]

Удалил прежнее. Найдите для миррора просто порт биллинга. Ну и у сорма как правило не один порт, согласуете и всё. И пересмотрите схемы зеркала, может что лишнее двоится-троится. Требует согласования с производителем сорма.

[zhenya`]

На 3750е вроде всего 2 спан сессии и портченел не может быть destination портом.

 

если вланов много, то можно попробовать без лернинга прогнать все через 3750е.. а радиус rspanом запихать в сторону сорма.

[alibek]

38 минут назад, zhenya` сказал:

портченел не может быть destination портом.

Вот это вот плохо.

Да, судя по документации port-channel может быть приемником только на старших моделях.

Жаль.

[zhenya`]

rspan надо пробовать сделать. по факту ремоутспан отличается от обычного влана отключенным лернингом, поэтому в первом приближении косякой в интеропе между разными вендорами не должно быть... правда тут может быть проблема если вланы толстые, то может быть хреново с балансировкой. у вас же в сорм портченелы ?

т.е. идея в том, чтобы загнать ремонт спан влан с экстрима в сорм прям без распаковки. ну и примерно такое же сделать с радиусом. 

 

[alibek]

На RADIUS трафика в среднем меньше 5 Мбит/с, поэтому проблем с балансировкой быть не должно.

То есть мне нужно сделать транзитный VLAN между 3750E и X670 и загнать в него RADIUS через RSPAN, а обычное зеркало оставить как есть?

[alibek]

Резюмирую.

 

На Cisco 3750E настраиваю вывод в RSPAN:

monitor session 1 destination remote vlan 1009

На Extreme X670 группу расширяю до 3 портов и добавляю указанный VLAN:

create mirror "SORM"
enable sharing 41 grouping 41-43 algorithm address-based custom
configure mirror SORM to port-list 41 loopback-port 2
enable mirror SORM
configure mirror SORM add port 1 ingress-and-egress
configure mirror SORM add vlan VLAN1009 port 31 ingress

Все верно?

Нужно ли как-то этот VLAN1009 настраивать специально (отключить mac-learning, например)?

[zhenya`]

попробуйте. на циске точно миксовать нельзя порты и вланы в качестве src внутри одной monitor session. возможно на и экстриме подобные ограничения есть.

 

Настройка ваша вообще выглядит как будто вы хотите снять с влан 1009 трафик.

Поидее должно взлететь и так..

лернинг выключать не надо если только одно направление на циске спаните (т.е. rx или tx only), в случае both надо.

 

но правильно вроде вот так:

https://community.extremenetworks.com/extreme/topics/remote_mirroring_and_rspan-saax5 тут выглядит иначе настройка на экстриме..

 

 

[kapydan]

В 07.11.2017 в 20:00, alibek сказал:

удя по документации port-channel может быть приемником только на старших моделях.

насколько помню, езерченел дестнинейшеном для span/rspan быть не может. только сорсом.

[alibek]

Именно etherchannel (без LACP, в режиме mode on) может, но не на 3750E.