[911]

Добрый день!

Пытаюсь на коммутаторе Cisco 4500x-16 запустить зеркало для СОРМ по схеме 1 в 1 порт (10G). Трафика немного - до 4 Гбит вход / 1 Гбит исход. Однако даже при таком трафике СОРМ не видит трафик. 

У кого-то был позитивный опыт использования cisco 4500x для зеркала трафика?

[smart85]

так вообще не видит или видит, но битый? sh int с киски на интерфейсе, как настроили зеркалирование? и что за сорм, какое соединение?

[911]

настройки самые простые

monitor session 1 source interface Te1/4
monitor session 1 destination interface Te1/5
monitor session 1 filter packet-type good rx

show interfaces tenGigabitEthernet 1/5
TenGigabitEthernet1/5 is up, line protocol is down (monitoring)
  Hardware is Ten Gigabit Ethernet Port, address is 881d.fc66.5b44 (bia 881d.fc66.5b44)
  Description: SORM
  MTU 1546 bytes, BW 10000000 Kbit/sec, DLY 10 usec, 
     reliability 255/255, txload 96/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-SR-*
  input flow-control is on, output flow-control is on 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:28, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 3782197000 bits/sec, 499545 packets/sec
     39129 packets input, 2504256 bytes, 0 no buffer
     Received 39129 broadcasts (39129 multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     398797967955 packets output, 379069520250445 bytes, 0 underruns
     0 output errors, 0 collisions, 3 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

СОРМ спецтех

говорят, что видит битый (но это со слов сотрудников органов)

[MrNv]

Можете сами проверить трафик, заверните к себе на сервер, если сможете из трафика целые архивы достать - то с трафиком у вас нормально.

У нас WS-C4500X-32, RSPAN, нормально сдались.

[smart85]

1 час назад, 911 сказал:

настройки самые простые

monitor session 1 source interface Te1/4
monitor session 1 destination interface Te1/5
monitor session 1 filter packet-type good rx

show interfaces tenGigabitEthernet 1/5
TenGigabitEthernet1/5 is up, line protocol is down (monitoring)
  Hardware is Ten Gigabit Ethernet Port, address is 881d.fc66.5b44 (bia 881d.fc66.5b44)
  Description: SORM
  MTU 1546 bytes, BW 10000000 Kbit/sec, DLY 10 usec, 
     reliability 255/255, txload 96/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-SR-*
  input flow-control is on, output flow-control is on 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:28, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 3782197000 bits/sec, 499545 packets/sec
     39129 packets input, 2504256 bytes, 0 no buffer
     Received 39129 broadcasts (39129 multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     398797967955 packets output, 379069520250445 bytes, 0 underruns
     0 output errors, 0 collisions, 3 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

СОРМ спецтех

говорят, что видит битый (но это со слов сотрудников органов)

а если патч заменить? такая вот мысль пришла

[nemo_lynx]

!
interface TenGigabitEthernet1/52
 description SORM-MIRROR
 no cdp enable
!
monitor session 1 source vlan 119 - 129 , 135 - 142
monitor session 1 destination interface Te1/52
monitor session 1 filter packet-type good rx
!

У нас 4948, такие вот настройки.

S-Core#sh int Te1/52
TenGigabitEthernet1/52 is up, line protocol is down (monitoring)
  Hardware is Ten Gigabit Ethernet Port, address is e02f.6da4.8633 (bia e02f.6da4.8633)
  Description: SORM-MIRROR
  MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 159/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 10Gb/s, link type is auto, media type is 10GBase-LR
  input flow-control is on, output flow-control is off
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 19599049
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 6272693000 bits/sec, 845276 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     6007018248218 packets output, 5660988873668191 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

От вас отличается только этим - input flow-control is on, output flow-control is off

И откуда у вас вдруг счётчик инпутов набежал на зеркальном-то порту?

39129 packets input, 2504256 bytes, 0 no buffer
     Received 39129 broadcasts (39129 multicasts)

[roysbike]

Теперь у меня проблема с битым зеркалом на nexus 3064.  Где порт 41-42 съемник в CORM

 

   session 1
---------------
description       : CORM_MIRROR1
type              : local
state             : up
acl-name          : acl-name not specified
source intf       :
    rx            : Po4
    tx            : Po4
    both          : Po4
source VLANs      :
    rx            :
    tx            :
    both          :
filter VLANs      : filter not specified
source fwd drops  :
destination ports : Eth1/41
PFC On Interfaces :

nexus02_net# show monitor session 2
   session 2
---------------
description       : CORM_MIRROR2
type              : local
state             : up
acl-name          : acl-name not specified
source intf       :
    rx            : Eth1/39       Eth1/50/2
    tx            : Eth1/39       Eth1/50/2
    both          : Eth1/39       Eth1/50/2
source VLANs      :
    rx            :
    tx            :
    both          :
filter VLANs      : filter not specified
source fwd drops  :
destination ports : Eth1/42
PFC On Interfaces :

 

[sdy_moscow]

@roysbike 3064 теряет пакеты после примерно 4-5Гбит нагрузки на порт :-(.

[Sacrament]

Вообще в истории с СОРМ оптические сплиттеры незаменимы

[Andrei]

Это если СОРМ с оптическими портами. У нас, например, СОРМ с медными портами.

[Saab95]

В 16.02.2022 в 19:49, Andrei сказал:

Это если СОРМ с оптическими портами. У нас, например, СОРМ с медными портами.

У вас что 10Г медный порт?

[roysbike]

В 16.02.2022 в 21:30, Saab95 сказал:

У вас что 10Г медный порт?

у нас CORM2 был по 4 медных порта

[Andrei]

У нас и СОРМ3 сейчас на медных портах

[Стич]

В 16.02.2022 в 16:13, Sacrament сказал:

Вообще в истории с СОРМ оптические сплиттеры незаменимы

Это да.

Токо когда надо отсплитерить 8x10G точек снятия с суммарной скоростью всего 40Gpbs.

Появляется очень очень очень большая разница в стоимости сорм на 8x10G портов и 4x10G.

Поэтому людям приходится извращаться что бы барыгам за воздух не платить.

[Saab95]

В 16.02.2022 в 21:36, Andrei сказал:

У нас и СОРМ3 сейчас на медных портах

У нас на 10Г портах. Разница в цене по сорму на 4Г при 4-х медных портах, и пусть самого младшего 2х10Г совсем маленькая, а в будущем менять не придется.

 

В 17.02.2022 в 08:28, Стич сказал:

Токо когда надо отсплитерить 8x10G точек снятия с суммарной скоростью всего 40Gpbs.

Берете коммутатор с 16 портами 10Г. Оптическими сплиттерами сводите зеркала всех портов на коммутатор. К нему на 8 портов льется трафик. Далее объединяете по 2 или более портов вместе и уже через этот коммутатор подаете на 2 или там 4 порта 10Г.

 

Разница между зеркалом простого типа и комбинированным в том, что на коммутаторе поток данных односторонний, более эффективно используется буферезация для целей зеркалирования, да и зеркалирование превращается в простую коммутацию.

[sdy_moscow]

В 17.02.2022 в 22:01, Saab95 сказал:

. Далее объединяете по 2 или более портов вместе и уже через этот коммутатор подаете на 2 или там 4 порта 10Г.

Многие так думают и сильно обламываются на микро бёрстах...

 

В 17.02.2022 в 22:01, Saab95 сказал:

Разница между зеркалом простого типа и комбинированным в том, что на коммутаторе поток данных односторонний, более эффективно используется буферезация для целей зеркалирования, да и зеркалирование превращается в простую коммутацию.

10Гб..... какие то фантазии. Про коммутацию при зеркалировании - тема не раскрыта :-).

[Saab95]

В 17.02.2022 в 23:28, sdy_moscow сказал:

Многие так думают и сильно обламываются на микро бёрстах...

А те же микро берсты на обычных коммутаторах с включенным зеркалированием не появляются?

 

В 17.02.2022 в 23:28, sdy_moscow сказал:

Про коммутацию при зеркалировании - тема не раскрыта :-).

А что там раскрывать? Просто отключаете изучение маков с портов в сторону СОРМ, и туда трафик сам польется.

[sdy_moscow]

В 19.02.2022 в 00:33, Saab95 сказал:

А те же микро берсты на обычных коммутаторах с включенным зеркалированием не появляются?

 

А что там раскрывать? Просто отключаете изучение маков с портов в сторону СОРМ, и туда трафик сам польется.

1. Видно что Вы СОРМ лично не сдавали. Коротко: с ЛЮБЫМИ берстами после зеркала ВЫ ЕГО НЕ СДАДИТЕ. ТОЧКА!

2. И изучили маки.... и дальше что.... куда они побегут в коммутаторе?

[Saab95]

В 19.02.2022 в 02:46, sdy_moscow сказал:

1. Видно что Вы СОРМ лично не сдавали. Коротко: с ЛЮБЫМИ берстами после зеркала ВЫ ЕГО НЕ СДАДИТЕ. ТОЧКА!

В моем варианте оптические зеркала со всех коммутаторов сливаются в другой коммутатор, где буферизуются и подаются на СОРМ через несколько портов. Т.к. поток данных в одном направлении, буфер коммутатора используется так же в одну сторону, никаких проблем не возникает.

 

В 19.02.2022 в 02:46, sdy_moscow сказал:

2. И изучили маки.... и дальше что.... куда они побегут в коммутаторе?

Я написал отключить изучение маков. Раз изучения нет, то они побегут туда, куда им можно побежать - на порты в сторону СОРМ. В другие порты, откуда оптическое зеркало приходит, данные не побегут, т.к. настройками задается что эти порты работают только на прием. Еще раз напишу - допустим на коммутаторе 8 портов приходит оптического зеркала, порты объединяются по 2, каждая группа портов из 4 штук идет в свой один порт на СОРМ, при учете что на СОРМ 2 порта 10Г.

[sdy_moscow]

В 19.02.2022 в 22:14, Saab95 сказал:

В моем варианте оптические зеркала со всех коммутаторов сливаются в другой коммутатор

В Вашем случае - какая конкретно стоит модель коммутатора и какие потоки в ЧНН переваривает?

[Saab95]

У нас стоят микротики CRS с 16 портами 10Г. Сливают примерно по 5-6Г в каждый порт, на сорм идут 2 порта. Ни потерь, ни проблем, ничего. Управляются через ROS. Из настроек отключение изучения мак адресов с портов в сторону СОРМ, туда все и бежит.

[Weld]

У меня на Cisco Nexus 9k сделано, 10G SFP+ порт со всем трафиком, что идет на маршрутизатор, зеркалится на 2 других 10G порта,

одно зеркало идет на СОРМы, другое на Carbon Reductor, все работает

На Nexus возможно иначе настраивается, но принцип думаю должен быть тот же.

 

interface Ethernet1/47
  switchport monitor

interface Ethernet1/48
  switchport monitor
 

monitor session 1
  source interface Ethernet1/1 both
  destination interface Ethernet1/47
  no shut
monitor session 2
  source interface Ethernet1/1 both
  destination interface Ethernet1/48
  no shut

 

Nexus# show monitor session 1
   session 1
---------------
type              : local
state             : up
acl-name          : acl-name not specified
source intf       :
    rx            : Eth1/1
    tx            : Eth1/1
    both          : Eth1/1
source VLANs      :
    rx            :
    tx            :
    both          :
filter VLANs      : filter not specified
source fwd drops  :
destination ports : Eth1/47
PFC On Interfaces :
source VSANs      :
    rx            :
 

 

 

 

Изменено 21 февраля, 2022 пользователем Weld

[Xfactor3000]

В 20.02.2022 в 21:18, Saab95 сказал:

У нас стоят микротики CRS с 16 портами 10Г. Сливают примерно по 5-6Г в каждый порт, на сорм идут 2 порта. Ни потерь, ни проблем, ничего. Управляются через ROS. Из настроек отключение изучения мак адресов с портов в сторону СОРМ, туда все и бежит.

Извините, не подскажите, вы имели ввиду модель CRS317-1G-16S+RM ? И всё отлично, дампы собираются и трафик не битый?