Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

MES, ESR
snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 31 май 2021 20:25

Добрый день.
Понадобилось снять трафик с входных линий в 2 устройства - IDS и ApplicationFirewall.

Как я понял, на MES-серии нельзя 1(или несколько) порт(ов) зеркалировать в 2 SPAN-а. Работает или one-to-one или many-to-one.

Можно ли использовать вариант с VLAN-ами таким образом:
Порты 1-2 - входные, 3 - выходной. Порты 1-2-3 - в access VLAN12. Далее настраиваем на порту 4 зеркалирование портов 1 и 2.

Далее физически соединяем порт 3 и порт 5. Оконечное оборудование - порт 6. Порты 5 и 6 - в access VLAN56. И соответственно порт 7 - на зеркалирование порта 5.

По поводу скоростей и потерь пакетов в курсе (по входным линиям в сумме скорость не будет превышать скорости порта мониторинга). Интересует сама возможность.

Евгений Т
Сообщения: 1441
Зарегистрирован: 18 мар 2013 10:48
Reputation: 7
Откуда: Элтекс

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение Евгений Т » 01 июн 2021 09:30

Здравствуйте.

Можно ли использовать вариант с VLAN-ами таким образом:
Порты 1-2 - входные, 3 - выходной. Порты 1-2-3 - в access VLAN12. Далее настраиваем на порту 4 зеркалирование портов 1 и 2.

Далее физически соединяем порт 3 и порт 5. Оконечное оборудование - порт 6. Порты 5 и 6 - в access VLAN56. И соответственно порт 7 - на зеркалирование порта 5.

Не очень понятна описанная схема. Такое ощущение, что с портами путаница возникла. Решение возможно. Через петлю. Выглядеть будет так:
- Порты 1 и 2 зеркалируем в 3 порт.
- 3 порт соединяем перемычкой с 4 портом
- трафик с 4 порта будет коммутироваться в 5 и 6 порты
Конфиг в общем виде будет выглядеть так:
no mac address-table lerning vlan z
!
int ra gi0/1-2
sw mo tr
sw tr al vl ad x-y
!
int gi0/3
port mo gi0/1
port mo gi0/2
!
int ra gi 0/4-6
sw mo cu
sw cu vlan z
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 01 июн 2021 14:11

Порты 1 и 2 зеркалируем в 3 порт.
- 3 порт соединяем перемычкой с 4 портом
- трафик с 4 порта будет коммутироваться в 5 и 6 порты


Не совсем понял - 5-6 порт - для дальнейшего оборудования, а мне нужен еще 1 порт зеркала.....

Конфиг в общем виде будет выглядеть так:
no mac address-table lerning vlan z - вот насчет этого как раз я не подумал, наверное нужно.

int ra gi0/1-2
sw mo tr
sw tr al vl ad x-y

на входных портах у меня нет VLAN-ов

int gi0/3
port mo gi0/1
port mo gi0/2

вижу только 1 порт мониторинга

int ra gi 0/4-6
sw mo cu
sw cu vlan z

а это просто объединение 4-5-6 портов в один VLAN, а не получение второго порта мониторинга. Хотя как я понимаю - отключение MAC-learning в этом VLAN-е приведет к тому, что трафик с любого из 4-5-6 портов будет сыпаться в соседние, что даст один порт "псевдозеркала", но при этом "засорит" остальные порты. "Коммутатор, легким движением руки, превращается в концентратор"

Я имел ввиду при своем описании - поделить коммутатор VLAN-ами на 2 "виртуальных" - А и Б, и с каждого снимать зеркало - только для "коммутатора А" - зеркалим входные порты - от провайдера, а для "коммутатора Б" - зеркалим физический линк от "коммутатора А", а к остальным портам "коммутатора Б" уже свое внутреннее оборудование.

Попробую и Ваш вариант и свой на стенде (завалялся MES2348-й в закромах :), в реальности надо будет настраивать на MES5316 )
Последний раз редактировалось snapoid33 02 июн 2021 20:39, всего редактировалось 1 раз.

Евгений Т
Сообщения: 1441
Зарегистрирован: 18 мар 2013 10:48
Reputation: 7
Откуда: Элтекс

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение Евгений Т » 01 июн 2021 15:01

Описание понятно в части, что нужно зеркалировать порт в 2 порта. А вот схему Вашу так и не понял. Посмотреть бы её схематично.

а это просто объединение 4-5-6 портов в один VLAN, а не получение второго порта мониторинга. Хотя как я понимаю - отключение MAC-learning в этом VLAN-е приведет к тому, что трафик с любого из 4-5-6 портов будет сыпаться в соседние, что даст один порт "псевдозеркала", но при этом "засорит" остальные порты. "Коммутатор, легким движением руки, превращается в концентратор"

В этом и суть. Мы зеркалим в 1 порт, потом перемычкой уводим трафик в отдельный влан (чтобы не заштормилось) и делаем в этом влане "хаб". Вот и получилось 2 порта для зеркалирования. А дальше уже всё зависит от нюансов. Если не нужно, чтобы порты 5-6 общались между собой, то повесьте на них изоляцию
sw protected-port
Если не нужно, чтобы вообще в порты 5-6 трафик попадал на вход, можно на них ACL повесить
mac access-list ect test
deny any any
!
int ra gi0/5-6
service-acl input test
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 01 июн 2021 16:43

Изображение

Как-то так. В общем - результат и так и так - одинаков.

P.S. - вот думаю - мониторинговые порты - наверное лучше включить в VLAN-ы ?

snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 01 июн 2021 18:58

Попробовал на стенде (MES2348B 4.0.16).
1. Порты мониторинга в VLAN-ы не включать....
2. При соединении VLAN100 (порты Gi1/0/1-Gi1/0/4 untagged) c VLAN200 (порты Gi1/0/6-Gi1/0/8 untagged) перемычкой между Gi1/0/4 и Gi1/0/6 у меня "вышибает" вышестоящий коммутатор (я к нему подключаюсь портом Gi1/0/1),
а в консоли MES-а идет ошибка: %BRG-MACNTFY-I-MAC-FLAPPING: Host aa:bb:cc:dd:ee:ff (MAC-адрес вышестоящего коммутатора) in vlan 100 is flapping between port Gi1/0/4 and Gi1/0/1
На портах Gi1/0/5-8 ничего не подключено. На порту Gi1/0/2 - тестовый ноут, без физической перемычки - видит вышестоящую сетку, с перемычкой - перестает.

P.S. - отключил на вышестоящем коммутаторе STP - заработало нормально
HP V1910-16G Switch Software Version Release 1513P62 - у него сыпались ошибки в логах
Jun 1 15:11:41:500 2021 MSTP Information MSTP_DETECTED_TC Instance 0's port GigabitEthernet1/0/16 detected a topology change.
Jun 1 15:11:41:499 2021 MSTP Information MSTP_FORWARDING Instance 0's port GigabitEthernet1/0/16 has been set to forwarding state.
Jun 1 15:10:26:467 2021 MSTP Information MSTP_DISCARDING Instance 0's port GigabitEthernet1/0/16 has been set to discarding state.

Евгений Т
Сообщения: 1441
Зарегистрирован: 18 мар 2013 10:48
Reputation: 7
Откуда: Элтекс

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение Евгений Т » 01 июн 2021 19:58

Да, действительно на портах с перемычкой нужно писать
spa disable
spa bpdu filtering
, чтобы не заштормилось stp bpdu
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 01 июн 2021 21:46

Понял. Спасибо.
Кстати, склоняюсь все-таки к Вашей схеме - т.к. в моей схеме узким местом между WAN-портами и остальным оборудованием становится физическая перемычка. А в Вашей - перемычка "сужает" только канал мониторинга, не влияя на основной трафик.

snapoid33
Сообщения: 6
Зарегистрирован: 31 май 2021 20:10
Reputation: 0

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение snapoid33 » 27 ноя 2021 17:58

Евгений, возвращаюсь к теме (пошла фаза настройки оборудования).
А, если я не буду "запариваться" с вышеобсужденными конфигурациями, а использую port monitor remote vlan - и подам этот VLAN на нужные порты моей "коммутаторной фабрики" ? Т.е. на входном коммутаторе (5316) настраиваю мониторинг для 2-3 WAN-портов и подаю снятые данные через VLAN по коммутаторам до IDS, AppFirewal и проч. ? И можно же этот VLAN вообще подать отдельным физическим линком на остальные коммутаторы ?

Евгений Т
Сообщения: 1441
Зарегистрирован: 18 мар 2013 10:48
Reputation: 7
Откуда: Элтекс

Re: Зеркалирование портов - many-to-many (2 SPAN-порта на одном коммутаторе)

Сообщение Евгений Т » 29 ноя 2021 08:57

Добрый день.
remote vlan - это не зеркалирование во vlan, а добавление дополнительного vlan зеркалируемому трафику и направление его в конкретный порт. Т.е порт-анализатор по-прежнему остаётся один.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость