911 Posted April 29, 2020 Posted April 29, 2020 Добрый день! Пытаюсь на коммутаторе Cisco 4500x-16 запустить зеркало для СОРМ по схеме 1 в 1 порт (10G). Трафика немного - до 4 Гбит вход / 1 Гбит исход. Однако даже при таком трафике СОРМ не видит трафик. У кого-то был позитивный опыт использования cisco 4500x для зеркала трафика? Вставить ник Quote
smart85 Posted April 29, 2020 Posted April 29, 2020 так вообще не видит или видит, но битый? sh int с киски на интерфейсе, как настроили зеркалирование? и что за сорм, какое соединение? Вставить ник Quote
911 Posted April 29, 2020 Author Posted April 29, 2020 настройки самые простые monitor session 1 source interface Te1/4 monitor session 1 destination interface Te1/5 monitor session 1 filter packet-type good rx show interfaces tenGigabitEthernet 1/5 TenGigabitEthernet1/5 is up, line protocol is down (monitoring) Hardware is Ten Gigabit Ethernet Port, address is 881d.fc66.5b44 (bia 881d.fc66.5b44) Description: SORM MTU 1546 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 96/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-SR-* input flow-control is on, output flow-control is on ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:28, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 3782197000 bits/sec, 499545 packets/sec 39129 packets input, 2504256 bytes, 0 no buffer Received 39129 broadcasts (39129 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 398797967955 packets output, 379069520250445 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out СОРМ спецтех говорят, что видит битый (но это со слов сотрудников органов) Вставить ник Quote
MrNv Posted April 29, 2020 Posted April 29, 2020 Можете сами проверить трафик, заверните к себе на сервер, если сможете из трафика целые архивы достать - то с трафиком у вас нормально. У нас WS-C4500X-32, RSPAN, нормально сдались. Вставить ник Quote
smart85 Posted April 29, 2020 Posted April 29, 2020 1 час назад, 911 сказал: настройки самые простые monitor session 1 source interface Te1/4 monitor session 1 destination interface Te1/5 monitor session 1 filter packet-type good rx show interfaces tenGigabitEthernet 1/5 TenGigabitEthernet1/5 is up, line protocol is down (monitoring) Hardware is Ten Gigabit Ethernet Port, address is 881d.fc66.5b44 (bia 881d.fc66.5b44) Description: SORM MTU 1546 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 96/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-SR-* input flow-control is on, output flow-control is on ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:28, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 3782197000 bits/sec, 499545 packets/sec 39129 packets input, 2504256 bytes, 0 no buffer Received 39129 broadcasts (39129 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 398797967955 packets output, 379069520250445 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out СОРМ спецтех говорят, что видит битый (но это со слов сотрудников органов) а если патч заменить? такая вот мысль пришла Вставить ник Quote
nemo_lynx Posted April 29, 2020 Posted April 29, 2020 ! interface TenGigabitEthernet1/52 description SORM-MIRROR no cdp enable ! monitor session 1 source vlan 119 - 129 , 135 - 142 monitor session 1 destination interface Te1/52 monitor session 1 filter packet-type good rx ! У нас 4948, такие вот настройки. S-Core#sh int Te1/52 TenGigabitEthernet1/52 is up, line protocol is down (monitoring) Hardware is Ten Gigabit Ethernet Port, address is e02f.6da4.8633 (bia e02f.6da4.8633) Description: SORM-MIRROR MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec, reliability 255/255, txload 159/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-LR input flow-control is on, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 19599049 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 6272693000 bits/sec, 845276 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 6007018248218 packets output, 5660988873668191 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out От вас отличается только этим - input flow-control is on, output flow-control is off И откуда у вас вдруг счётчик инпутов набежал на зеркальном-то порту? 39129 packets input, 2504256 bytes, 0 no buffer Received 39129 broadcasts (39129 multicasts) Вставить ник Quote
roysbike Posted February 10, 2022 Posted February 10, 2022 Теперь у меня проблема с битым зеркалом на nexus 3064. Где порт 41-42 съемник в CORM session 1 --------------- description : CORM_MIRROR1 type : local state : up acl-name : acl-name not specified source intf : rx : Po4 tx : Po4 both : Po4 source VLANs : rx : tx : both : filter VLANs : filter not specified source fwd drops : destination ports : Eth1/41 PFC On Interfaces : nexus02_net# show monitor session 2 session 2 --------------- description : CORM_MIRROR2 type : local state : up acl-name : acl-name not specified source intf : rx : Eth1/39 Eth1/50/2 tx : Eth1/39 Eth1/50/2 both : Eth1/39 Eth1/50/2 source VLANs : rx : tx : both : filter VLANs : filter not specified source fwd drops : destination ports : Eth1/42 PFC On Interfaces : Вставить ник Quote
sdy_moscow Posted February 10, 2022 Posted February 10, 2022 @roysbike 3064 теряет пакеты после примерно 4-5Гбит нагрузки на порт :-(. Вставить ник Quote
Sacrament Posted February 16, 2022 Posted February 16, 2022 Вообще в истории с СОРМ оптические сплиттеры незаменимы Вставить ник Quote
Andrei Posted February 16, 2022 Posted February 16, 2022 Это если СОРМ с оптическими портами. У нас, например, СОРМ с медными портами. Вставить ник Quote
Saab95 Posted February 16, 2022 Posted February 16, 2022 В 16.02.2022 в 19:49, Andrei сказал: Это если СОРМ с оптическими портами. У нас, например, СОРМ с медными портами. У вас что 10Г медный порт? Вставить ник Quote
roysbike Posted February 16, 2022 Posted February 16, 2022 В 16.02.2022 в 21:30, Saab95 сказал: У вас что 10Г медный порт? у нас CORM2 был по 4 медных порта Вставить ник Quote
Andrei Posted February 16, 2022 Posted February 16, 2022 У нас и СОРМ3 сейчас на медных портах Вставить ник Quote
Стич Posted February 17, 2022 Posted February 17, 2022 В 16.02.2022 в 16:13, Sacrament сказал: Вообще в истории с СОРМ оптические сплиттеры незаменимы Это да. Токо когда надо отсплитерить 8x10G точек снятия с суммарной скоростью всего 40Gpbs. Появляется очень очень очень большая разница в стоимости сорм на 8x10G портов и 4x10G. Поэтому людям приходится извращаться что бы барыгам за воздух не платить. Вставить ник Quote
Saab95 Posted February 17, 2022 Posted February 17, 2022 В 16.02.2022 в 21:36, Andrei сказал: У нас и СОРМ3 сейчас на медных портах У нас на 10Г портах. Разница в цене по сорму на 4Г при 4-х медных портах, и пусть самого младшего 2х10Г совсем маленькая, а в будущем менять не придется. В 17.02.2022 в 08:28, Стич сказал: Токо когда надо отсплитерить 8x10G точек снятия с суммарной скоростью всего 40Gpbs. Берете коммутатор с 16 портами 10Г. Оптическими сплиттерами сводите зеркала всех портов на коммутатор. К нему на 8 портов льется трафик. Далее объединяете по 2 или более портов вместе и уже через этот коммутатор подаете на 2 или там 4 порта 10Г. Разница между зеркалом простого типа и комбинированным в том, что на коммутаторе поток данных односторонний, более эффективно используется буферезация для целей зеркалирования, да и зеркалирование превращается в простую коммутацию. Вставить ник Quote
sdy_moscow Posted February 17, 2022 Posted February 17, 2022 В 17.02.2022 в 22:01, Saab95 сказал: . Далее объединяете по 2 или более портов вместе и уже через этот коммутатор подаете на 2 или там 4 порта 10Г. Многие так думают и сильно обламываются на микро бёрстах... В 17.02.2022 в 22:01, Saab95 сказал: Разница между зеркалом простого типа и комбинированным в том, что на коммутаторе поток данных односторонний, более эффективно используется буферезация для целей зеркалирования, да и зеркалирование превращается в простую коммутацию. 10Гб..... какие то фантазии. Про коммутацию при зеркалировании - тема не раскрыта :-). Вставить ник Quote
Saab95 Posted February 18, 2022 Posted February 18, 2022 В 17.02.2022 в 23:28, sdy_moscow сказал: Многие так думают и сильно обламываются на микро бёрстах... А те же микро берсты на обычных коммутаторах с включенным зеркалированием не появляются? В 17.02.2022 в 23:28, sdy_moscow сказал: Про коммутацию при зеркалировании - тема не раскрыта :-). А что там раскрывать? Просто отключаете изучение маков с портов в сторону СОРМ, и туда трафик сам польется. Вставить ник Quote
sdy_moscow Posted February 18, 2022 Posted February 18, 2022 В 19.02.2022 в 00:33, Saab95 сказал: А те же микро берсты на обычных коммутаторах с включенным зеркалированием не появляются? А что там раскрывать? Просто отключаете изучение маков с портов в сторону СОРМ, и туда трафик сам польется. 1. Видно что Вы СОРМ лично не сдавали. Коротко: с ЛЮБЫМИ берстами после зеркала ВЫ ЕГО НЕ СДАДИТЕ. ТОЧКА! 2. И изучили маки.... и дальше что.... куда они побегут в коммутаторе? Вставить ник Quote
Saab95 Posted February 19, 2022 Posted February 19, 2022 В 19.02.2022 в 02:46, sdy_moscow сказал: 1. Видно что Вы СОРМ лично не сдавали. Коротко: с ЛЮБЫМИ берстами после зеркала ВЫ ЕГО НЕ СДАДИТЕ. ТОЧКА! В моем варианте оптические зеркала со всех коммутаторов сливаются в другой коммутатор, где буферизуются и подаются на СОРМ через несколько портов. Т.к. поток данных в одном направлении, буфер коммутатора используется так же в одну сторону, никаких проблем не возникает. В 19.02.2022 в 02:46, sdy_moscow сказал: 2. И изучили маки.... и дальше что.... куда они побегут в коммутаторе? Я написал отключить изучение маков. Раз изучения нет, то они побегут туда, куда им можно побежать - на порты в сторону СОРМ. В другие порты, откуда оптическое зеркало приходит, данные не побегут, т.к. настройками задается что эти порты работают только на прием. Еще раз напишу - допустим на коммутаторе 8 портов приходит оптического зеркала, порты объединяются по 2, каждая группа портов из 4 штук идет в свой один порт на СОРМ, при учете что на СОРМ 2 порта 10Г. Вставить ник Quote
sdy_moscow Posted February 19, 2022 Posted February 19, 2022 В 19.02.2022 в 22:14, Saab95 сказал: В моем варианте оптические зеркала со всех коммутаторов сливаются в другой коммутатор В Вашем случае - какая конкретно стоит модель коммутатора и какие потоки в ЧНН переваривает? Вставить ник Quote
Saab95 Posted February 20, 2022 Posted February 20, 2022 У нас стоят микротики CRS с 16 портами 10Г. Сливают примерно по 5-6Г в каждый порт, на сорм идут 2 порта. Ни потерь, ни проблем, ничего. Управляются через ROS. Из настроек отключение изучения мак адресов с портов в сторону СОРМ, туда все и бежит. Вставить ник Quote
Weld Posted February 21, 2022 Posted February 21, 2022 (edited) У меня на Cisco Nexus 9k сделано, 10G SFP+ порт со всем трафиком, что идет на маршрутизатор, зеркалится на 2 других 10G порта, одно зеркало идет на СОРМы, другое на Carbon Reductor, все работает На Nexus возможно иначе настраивается, но принцип думаю должен быть тот же. interface Ethernet1/47 switchport monitor interface Ethernet1/48 switchport monitor monitor session 1 source interface Ethernet1/1 both destination interface Ethernet1/47 no shut monitor session 2 source interface Ethernet1/1 both destination interface Ethernet1/48 no shut Nexus# show monitor session 1 session 1 --------------- type : local state : up acl-name : acl-name not specified source intf : rx : Eth1/1 tx : Eth1/1 both : Eth1/1 source VLANs : rx : tx : both : filter VLANs : filter not specified source fwd drops : destination ports : Eth1/47 PFC On Interfaces : source VSANs : rx : Edited February 21, 2022 by Weld Вставить ник Quote
Xfactor3000 Posted January 26, 2024 Posted January 26, 2024 В 20.02.2022 в 21:18, Saab95 сказал: У нас стоят микротики CRS с 16 портами 10Г. Сливают примерно по 5-6Г в каждый порт, на сорм идут 2 порта. Ни потерь, ни проблем, ничего. Управляются через ROS. Из настроек отключение изучения мак адресов с портов в сторону СОРМ, туда все и бежит. Извините, не подскажите, вы имели ввиду модель CRS317-1G-16S+RM ? И всё отлично, дампы собираются и трафик не битый? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.