[Александр Иванов]

Здравствуйте!

Нет ли у кого идеи как можно из двух зеркал, на двух разных коммутаторов собрать одно зеркало на третьем коммутаторе?

Входные данные. Есть зеркало с 10Г трафиком и есть зеркало с 1Г трафиком.

Что нужно прописать в третьем коммутаторе, чтобы поставить снифер и видеть оба зеркала в одном. 

 

зеркала настроены на коммутаторах cisco like  как :

monitor session 1 source interface tengigabit1/X

monitor session 1 source destination tengigabit1/X

 

Может есть совет как такое сделать ещё каким  - либо образом?

Спасибо!

[alibek]

Обсуждать это без модели коммутатора бессмысленно.

[VolanD666]

Ну теоретически можно ведь распихать их по разным вланам и отдать их в один транк. Только мак-лернинг надо выключить :)

[fork]

задача ТС тривиальная, если я правильно понял суть

есть работающая схема, где с 4х сайтов собирается "подготовленный" SPAN отдельными 1GE линками на специально выделенный коммутатор на котором прописано что то такое

monitor session 1  source interface gigabitethernet 0/1 - 0/4

monitor session 1  destination interface gigabitethernet 0/5

в моей схеме, все source interface gigabit-ные и трафик не большой, т.е. переполнение буферов и dpop исключены.

 

 

 

 

Изменено 13 ноября, 2019 пользователем fork

[Александр Иванов]

Коммутатор, где планируется собрать зеркало из двух зеркал - cisco4900 (но может использоваться и какой-то другой, здесь важно понять принцип. и на каком коммутаторе это сработает - такой и будем использовать.)

Коммутатор с которого приходит первое зеркало - это eltex 53**,а коммутатор с которого приходит второе зеркало это cisco 4900.

 

пробовал подключить оба зеркала в циску-сборник (4900) и прописал на портах

switchport mode access

switchport access vlan 888

 

а на отдающем порту (в котором должен быть собраный трафик)

switchport mode trunk

switchport trunk allowed vlan 888

 

но на принимающем порту есть трафик... а на отдающий порт трафик не приходит.

может я что-то не учёл? 888 влан завожу как vlan 888 в конфигурации. коммутатор пишет что он его завел.

 

прилагаю простую схему как это вылядит.

Может есть другие способы. без коммутатора, например с оптическим сумматором такое пройдёт?

Сталкивался ли кто -то ещё с таким?

 

 

[azhur]

1 час назад, Александр Иванов сказал:

 

но на принимающем порту есть трафик... а на отдающий порт трафик не приходит.

Насколько я понимаю, и не удивительно что не приходит: на порту назначения нет мак-адресов, которым предназначается траффик.

Вариантов сходу видится два:

1. На сборщике тоже настраивать SPAN, как писал fork.
2. switchport protected + отключение изучения мак-адресов в этом влане.

[zhenya`]

Remote span? Но по факту это влан с отключённым лернингом.

[Александр Иванов]

Друзья, всем спасибо просто сделал зеркало на собирающем коммутаторе. В нём соурс портами прописал входящие. а  дестинейшн в исходящий. Увидел оба зеркала в третьем.

[fork]

14 часов назад, Александр Иванов сказал:

Друзья, всем спасибо просто сделал зеркало на собирающем коммутаторе. В нём соурс портами прописал входящие. а  дестинейшн в исходящий. Увидел оба зеркала в третьем.

эээ, ну собственно я  вам это и предлагал в предыдущем посте....

[Александр Иванов]

Да . Я просто в первый раз перепутал слоты и снимал траффик не с того порта. Делал зеркало как сказал fork . Но (естественно не работало) Но вчера собрался =)) и снял трафик с того порта при зеркалах ит всё получилось. Поэтому спасибо, помогли.

[crank]

В 14.11.2019 в 06:16, Александр Иванов сказал:

Друзья, всем спасибо просто сделал зеркало на собирающем коммутаторе. В нём соурс портами прописал входящие. а  дестинейшн в исходящий. Увидел оба зеркала в третьем.

Другой вариант делать как вы пробовали ранее. На входящих портах трафик заворачивать в dot1q-tunnel к примеру. На исходящем сделать trunk и добавить туда vlan'ы входящих портов. Плюс к этому всему выключить mac learning в этих вланах.

 

Из плюсов этой схемы то, что можно передавать трафик в port-channel. Из минусов - отсутствие маков на свиче, которые иногда нужно посмотреть при траблшутинге.

[Александр Иванов]

А вот заворачивать в транке не получилось. мак лёрнинг выключил. на выходном порту поставил транк. а на двух принимающих аксесс и влан. влан на обоих портах делал правда один и тот же. пакетов не было на выходном порту =(

 

[crank]

Режим access не некоторых коммутаторах не примет у вас тегированный трафик.