[KsaFad]

Добрый день, зеркалируем трафик в комплекс СОРМ2 следующим образом

 

----------------------------------------------------------------------------

> monitor session 1 source interface Ethernet1/0/1;1/0/4;1/0/23-24 tx
> monitor session 2 source interface Ethernet1/0/2-3 tx
> monitor session 1 destination interface Ethernet1/0/7
> monitor session 2 destination interface Ethernet1/0/8

----------------------------------------------------------------------------

 

Необходимо с этого же коммутатора зеркалировать трафик в СОРМ3

 

> SNR-S2985G-24T(config)monitor session 3 source interface Ethernet1/0/1;1/0/4;1/0/23-24 tx

                                                                   \/

----------------------------------------------------------------------------
Error:Port(s) have been set as mirror source in session 1!
Error:Port(s) have been set as mirror source in session 1!
Error:Port(s) have been set as mirror source in session 1!
Error:Port(s) have been set as mirror source in session 1!

----------------------------------------------------------------------------

Какой Есть выход из ситуации?

Могу ли я снять зеркало третьей и четвертой сессиями копирования из портов 7 и 8 соответственно ?

 

 

[Aleksey Sonkin]

@KsaFad Добрый день!
Один и тот же порт может выступать в роли source/destination только в одном зеркале.
Опишите задачу полностью, с этих же портов нужно дублировать трафик в два destination порта? Или набор source-портов разный?

[gard]

Здравствуйте!

А есть ли возможность как-то продублировать трафик в два destination-порта?

[Aleksey Sonkin]

@gard добрый день, да
rspan-vlan + reflector порт. Подробнее здесь.

[gard]

Я немного недопонимаю про порт-рефлектор..

С RSPAN вланом понятно - передаем дальше по сети, а рефлектор - это что-то типа простого порта назначения SPAN в купе с уходящим RSPAN-вланом?

Ну то есть в порт-рефлектор зеркалируемый трафик идет без влан-тега?

[Aleksey Sonkin]

@gard reflector-порт это по сути программная петля, туда уходит и возвращается зеркалируемый трафик со всеми тегами.

[gard]

То есть непосредственно в него никакое устройство воткнуто быть не должно?

[Aleksey Sonkin]

@gard все верно, порт должен быть пуст.

[gard]

Спасибо!

[yKpon]

добрый день

S2995G

 

нужно зеркалировать весь трафик в 27 порт на СОРМ-3, если правильно понимаю он должен быть untagged, как правильно сделать?

[Vladimir Efimtsev]

@yKpon, добрый день.

1. Для СОРМ мы рекомендуем использовать коммутаторы, построенные на чипсетах Broadcom - это серии SNR-S300, SNR-S2990, SNR-S4550. Чипсет Marvell, на котором построен SNR-S2995G, из-за особенностей аппаратной архитектуры может допускать некоторое число потерь при зеркалировании трафика, и, если для траблшутинга это, в принципе, не так страшно, то для СОРМ это может быть очень критично.

2. А как вы хотите зеркалировать трафик: с помощью SPAN, RSPAN, ERSPAN (т.е. в пределах одного коммутатора или как-то по-другому)?

Вообще, для зеркалирования трафика без разницы какой будет трафик: тегированный или нет.

Вот пример стандартной настройки SPAN:

monitor session 1 source interface Ethernet1/0/x {rx | tx | both}

monitor session 1 destination interface Ethernet1/0/27

(т.е. создаем мониторинговую сессию, в качестве источника указываем порт, откуда хотим зеркалировать трафик, а также направление трафика: tx, rx или в оба направления, далее указываем куда зерклировать трафик, в вашем случае 27 порт).

Также более подробно про зеркалирование трафика вы можете ознакомиться из статьи в нашей базе знаний: https://nag.wiki/x/GB1-AQ