3560G, port mirror to etherchannel

[nuclearcat]

Столкнулся, что надо миррорить несколько портов в один, прочитал, что логично - будут дропы. И даже кто-то жаловался, ну неудивительно, буфера у 3560G относительно небольшие, он ведь младшенький :)

А я не хочу дропов :) Но и тратить килобаксы на другие свитчи не хочу тоже.

Также прочитал, что с 12.2(33) есть возможность миррорить в etherchannel, и думаю это решит проблему.

Кто-то пробовал?

[Картуччо]

Не совсем понятно. Если зеркалировать несколько гигабитных портов в один, то естественно, что ограничение будет в 1Gbps физических, без учёта каких-либо проблем с буферами. Если не тянет даже 1Gbps, в связи, допустим, с проблемами буферов, то тогда не ясно как эту проблему решит зеркалирование в езерченел. Или имеется в виду какая-то модель 3560 с портами 10G ?

[nuclearcat]

Если зеркалировать в etherchannel с хешем по dst+src ip, и большим количеством оных пар для равномерной дистрибуции траффика - получаем два гигабита.

[Картуччо]

Именно в езерченел не приходилось делать. Вопрос решался проще при трафике свыше гигабита - сервер принимал по двум отдельным не агрегированным портам, ну а на свиче две сессии, либо два свича. Или In и Out по двум разным портам.

[nuclearcat]

К сожалению свитч умеет только две сессии, я вторую использую для анализа бекбона (атаки, аномалии, динамический шейпер). Первая будет для анализа траффика (netflow) до NAT. Причем 4948, который мне попал по дешевке, который буду использовать позже когда обзаведусь бекапным - тоже помоему умеет только две сессии.

[Frau]

3560 ни G ни E не умеет в port-channel мониторить.

Но можно сделать схему с помощью switchport protected & no mac-address learning, тогда можно сливать сколько угодно и в любые etherchannel'ы и вообще без использования сессий мониторинга на этом свитче.

[Картуччо]

тоже помоему умеет только две сессии

Насколько знаю, каталисты вообще только 2 SPAN сессии умеют.

Для решения некоторых вопросов можно использовать ещё вдобавок гранулярный захват.

Тема очень злободневная, а вот решения что-то так и не нашлось чтобы можно было зеркалировать во много потоков. Либо костыльные схемы приходится городить с каскадами свичей. Либо специфическое оборудование.

[nuclearcat]

3560 ни G ни E не умеет в port-channel мониторить.

Но можно сделать схему с помощью switchport protected & no mac-address learning, тогда можно сливать сколько угодно и в любые etherchannel'ы и вообще без использования сессий мониторинга на этом свитче.

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml

 

Note: From Cisco IOS Software Release 12.2(33)SXH and later, PortChannel interface can be a destination port. Destination EtherChannels do not support the Port Aggregation Control Protocol (PAgP) or Link Aggregation Control Protocol (LACP) EtherChannel protocols; only the on mode is supported, with all EtherChannel protocol support disabled.

[nuclearcat]

Н-да, похоже это в других моделях (которые с line cards), заапил IOS, все равно в вариантах выбора только Ge.

[Картуччо]

Потыкался на несколько 3560 и 3750, нет такого. А вот на 7606 с (c7600rsp72043_rp-ADVIPSERVICESK9-M), Version 12.2(33)SRD5 присутствует.

[nuclearcat]

Вроде 6500 тоже может, но меня это не радует, у меня его нет :)

С другой стороны извернулся, у меня пока централизованный NAT для кастомеров с серыми адресами, но если я спаню его порт, получается я теряю возможность масштабироваться на 2 NAT.

Видимо если вырасту из гигабитного порта, то прийдется полинять на 7600-ю

[Frau]

76 и 65 могут спанить в портченел. Но, тут свои приколы с репликацией и перегрузкой шины.

 

2nuclearcat - когда вы вырастете из гигабита, то нат на таких скоростях предоставлять дороже, чем реальные ip где-нибудь терминировать. :)

[nuclearcat]

Frau - учитывая тенденции RIPE, то как раз вариантов скорее всего не будет. Если будет где-то затык - заоптимизирую. Да и думаю если уткнусь в гигабит, скорее всего еще на гигабит че-нить придумаю. А скорее всего ядро на 10G переведу.