Перейти к содержимому
Калькуляторы

Зеркало RADIUS в RSPAN (для СОРМ) не работает

Подскажите, что не так?

Есть каталист 3750E.

Зеркало настроено так:

vlan 190
 name RSPAN-RADIUS
!
interface GigabitEthernet1/0/1
 description RADIUS
 switchport access vlan 20
 switchport mode access
 load-interval 60
 spanning-tree portfast
!
interface TenGigabitEthernet1/0/1
 description CORE
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan ...190...
 switchport mode trunk
!
ip access-list extended ACL_RADIUS
 permit udp any range 1645 1646 any
 permit udp any range 1812 1813 any
!
monitor session 1 source interface Gi1/0/1
monitor session 1 destination remote vlan 190
monitor session 1 filter ip access-group ACL_RADIUS
no mac address-table learning vlan 190

На стыке (te1/0/1) находится Extreme X670, на нем настроено зеркало с VLAN 190, но трафика в нем нет.

Спойлер

create vlan RSPAN-RADIUS
configure vlan RSPAN-RADIUS tag 190
configure vlan RSPAN-RADIUS add ports 31 tagged
configure port 31 vlan RSPAN-RADIUS limit-learning 0
create mirror SORM
configure mirror SORM to port-list 41 loopback-port 2
enable mirror SORM
configure mirror SORM add vlan RSPAN-RADIUS port 31 ingress

 

Я пробовал менять местами src и dst в ACL, пробовал вообще убирать filter, однако трафика все равно не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 минут назад, alibek сказал:

no mac address-table learning vlan 190

Дело было в этом.

Надо было не колхозить, а использовать штатный механизм:

vlan 190
 name RSPAN-RADIUS
 remote-span

 

А вот по поводу src/dst на ACL вопрос остается — никак не соображу, где указывать порты.

ACL задается относительно зеркала-источника или зеркала-приемника?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

no mac address-table learning vlan 190 

естественно обходной вариант для железок, которые не умеют remote-span. и стоят где-то по пути трафика.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на экстриме лёрнинг в этой влан тоже выключен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТП Нага говорит, что это значения не имеет, можно выключить или оставить включенным.

Но я выключил, чтобы FDB не занимать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на экстриме 100% надо выключать ибо иначе экстрим будет дропать некоторые пакеты (с dst mac address, который был изучен).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ясно. Ну хорошо, что выключил.

Сейчас конфигурация такая:

create vlan RSPAN-RADIUS
configure vlan RSPAN-RADIUS tag 190
configure vlan RSPAN-RADIUS add ports 31 tagged  
disable learning vlan RSPAN-RADIUS
create mirror SORM
configure mirror SORM to port-list 41 loopback-port 2 
configure mirror SORM add port 1 ingress-and-egress
configure mirror SORM add vlan RSPAN-RADIUS port 31 ingress
enable mirror SORM 

А на порту 1 видимо придется отказываться от транка.

ТП Нага говорит, что политики позволяют манипулировать только с ingress-трафиком, с исходящим ничего не сделать.

 

Что касается ACL, я порты прописал два раза (для dst и src).

Сейчас по RSPAN льется около 100 Кбит/с трафика. Маловато, но видимо это правильное значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.