Элтекс

Добрый день.
Понадобилось снять трафик с входных линий в 2 устройства - IDS и ApplicationFirewall.

Как я понял, на MES-серии нельзя 1(или несколько) порт(ов) зеркалировать в 2 SPAN-а. Работает или one-to-one или many-to-one.

Можно ли использовать вариант с VLAN-ами таким образом:
Порты 1-2 - входные, 3 - выходной. Порты 1-2-3 - в access VLAN12. Далее настраиваем на порту 4 зеркалирование портов 1 и 2.

Далее физически соединяем порт 3 и порт 5. Оконечное оборудование - порт 6. Порты 5 и 6 - в access VLAN56. И соответственно порт 7 - на зеркалирование порта 5.

По поводу скоростей и потерь пакетов в курсе (по входным линиям в сумме скорость не будет превышать скорости порта мониторинга). Интересует сама возможность.

Здравствуйте.

Можно ли использовать вариант с VLAN-ами таким образом:
Порты 1-2 - входные, 3 - выходной. Порты 1-2-3 - в access VLAN12. Далее настраиваем на порту 4 зеркалирование портов 1 и 2.

Далее физически соединяем порт 3 и порт 5. Оконечное оборудование - порт 6. Порты 5 и 6 - в access VLAN56. И соответственно порт 7 - на зеркалирование порта 5.

Не очень понятна описанная схема. Такое ощущение, что с портами путаница возникла. Решение возможно. Через петлю. Выглядеть будет так:
- Порты 1 и 2 зеркалируем в 3 порт.
- 3 порт соединяем перемычкой с 4 портом
- трафик с 4 порта будет коммутироваться в 5 и 6 порты
Конфиг в общем виде будет выглядеть так:
no mac address-table lerning vlan z
!
int ra gi0/1-2
sw mo tr
sw tr al vl ad x-y
!
int gi0/3
port mo gi0/1
port mo gi0/2
!
int ra gi 0/4-6
sw mo cu
sw cu vlan z

Порты 1 и 2 зеркалируем в 3 порт.
- 3 порт соединяем перемычкой с 4 портом
- трафик с 4 порта будет коммутироваться в 5 и 6 порты

Не совсем понял - 5-6 порт - для дальнейшего оборудования, а мне нужен еще 1 порт зеркала.....

Конфиг в общем виде будет выглядеть так:
no mac address-table lerning vlan z - вот насчет этого как раз я не подумал, наверное нужно.

int ra gi0/1-2
sw mo tr
sw tr al vl ad x-y
на входных портах у меня нет VLAN-ов

int gi0/3
port mo gi0/1
port mo gi0/2
вижу только 1 порт мониторинга

int ra gi 0/4-6
sw mo cu
sw cu vlan z
а это просто объединение 4-5-6 портов в один VLAN, а не получение второго порта мониторинга. Хотя как я понимаю - отключение MAC-learning в этом VLAN-е приведет к тому, что трафик с любого из 4-5-6 портов будет сыпаться в соседние, что даст один порт "псевдозеркала", но при этом "засорит" остальные порты. "Коммутатор, легким движением руки, превращается в концентратор"

Я имел ввиду при своем описании - поделить коммутатор VLAN-ами на 2 "виртуальных" - А и Б, и с каждого снимать зеркало - только для "коммутатора А" - зеркалим входные порты - от провайдера, а для "коммутатора Б" - зеркалим физический линк от "коммутатора А", а к остальным портам "коммутатора Б" уже свое внутреннее оборудование.

Попробую и Ваш вариант и свой на стенде (завалялся MES2348-й в закромах , в реальности надо будет настраивать на MES5316 )

Описание понятно в части, что нужно зеркалировать порт в 2 порта. А вот схему Вашу так и не понял. Посмотреть бы её схематично.

а это просто объединение 4-5-6 портов в один VLAN, а не получение второго порта мониторинга. Хотя как я понимаю - отключение MAC-learning в этом VLAN-е приведет к тому, что трафик с любого из 4-5-6 портов будет сыпаться в соседние, что даст один порт "псевдозеркала", но при этом "засорит" остальные порты. "Коммутатор, легким движением руки, превращается в концентратор"

В этом и суть. Мы зеркалим в 1 порт, потом перемычкой уводим трафик в отдельный влан (чтобы не заштормилось) и делаем в этом влане "хаб". Вот и получилось 2 порта для зеркалирования. А дальше уже всё зависит от нюансов. Если не нужно, чтобы порты 5-6 общались между собой, то повесьте на них изоляцию
sw protected-port
Если не нужно, чтобы вообще в порты 5-6 трафик попадал на вход, можно на них ACL повесить
mac access-list ect test
deny any any
!
int ra gi0/5-6
service-acl input test

Как-то так. В общем - результат и так и так - одинаков.

P.S. - вот думаю - мониторинговые порты - наверное лучше включить в VLAN-ы ?

Попробовал на стенде (MES2348B 4.0.16).
1. Порты мониторинга в VLAN-ы не включать....
2. При соединении VLAN100 (порты Gi1/0/1-Gi1/0/4 untagged) c VLAN200 (порты Gi1/0/6-Gi1/0/8 untagged) перемычкой между Gi1/0/4 и Gi1/0/6 у меня "вышибает" вышестоящий коммутатор (я к нему подключаюсь портом Gi1/0/1),
а в консоли MES-а идет ошибка: %BRG-MACNTFY-I-MAC-FLAPPING: Host aa:bb:cc:dd:ee:ff (MAC-адрес вышестоящего коммутатора) in vlan 100 is flapping between port Gi1/0/4 and Gi1/0/1
На портах Gi1/0/5-8 ничего не подключено. На порту Gi1/0/2 - тестовый ноут, без физической перемычки - видит вышестоящую сетку, с перемычкой - перестает.

P.S. - отключил на вышестоящем коммутаторе STP - заработало нормально
HP V1910-16G Switch Software Version Release 1513P62 - у него сыпались ошибки в логах

Jun 1 15:11:41:500 2021 MSTP Information MSTP_DETECTED_TC Instance 0's port GigabitEthernet1/0/16 detected a topology change.
Jun 1 15:11:41:499 2021 MSTP Information MSTP_FORWARDING Instance 0's port GigabitEthernet1/0/16 has been set to forwarding state.
Jun 1 15:10:26:467 2021 MSTP Information MSTP_DISCARDING Instance 0's port GigabitEthernet1/0/16 has been set to discarding state.

Да, действительно на портах с перемычкой нужно писать
spa disable
spa bpdu filtering
, чтобы не заштормилось stp bpdu

Понял. Спасибо.
Кстати, склоняюсь все-таки к Вашей схеме - т.к. в моей схеме узким местом между WAN-портами и остальным оборудованием становится физическая перемычка. А в Вашей - перемычка "сужает" только канал мониторинга, не влияя на основной трафик.

Евгений, возвращаюсь к теме (пошла фаза настройки оборудования).
А, если я не буду "запариваться" с вышеобсужденными конфигурациями, а использую port monitor remote vlan - и подам этот VLAN на нужные порты моей "коммутаторной фабрики" ? Т.е. на входном коммутаторе (5316) настраиваю мониторинг для 2-3 WAN-портов и подаю снятые данные через VLAN по коммутаторам до IDS, AppFirewal и проч. ? И можно же этот VLAN вообще подать отдельным физическим линком на остальные коммутаторы ?

Добрый день.
remote vlan - это не зеркалирование во vlan, а добавление дополнительного vlan зеркалируемому трафику и направление его в конкретный порт. Т.е порт-анализатор по-прежнему остаётся один.

Евгений, прошу прощения за паузу. НО - если я подам зеркалируемый трафик в remote vlan - тогда - зеркалируемые порты как были так и останутся, а вот трафик с них (зеркало) я смогу через remote vlan подать на те порты коммутаторов (у меня их много), к которым непосредственно подключены устройства съема ? (ids, app firewall и т.п.). И не городить костыли, чтобы со входного коммутатора, где 2-3 канала входных подать 2-3 зеркала на мои устройства ? Т.е. на входном коммутаторе заворачиваем трафик мониторинга в отдельный VLAN, и дальше воспринимаем его уже с портов коммутаторов "по месту" ?

Добрый день.

Не очень понял описание. Имеется в виду, что на первом коммутаторе отзеркалировать всё в какой-то порт и обернуть отзеркалированный трафик в remote vlan. А на встречной стороне порта уже на другом коммутаторе этот влан транслировать в несколько портов назначения? Если так, то это возможно. Только на втором коммутаторе нужно прописать
no mac address-table learning vlan <remote vlan id>
А если не так понял, то прошу описать подробнее, приложить схему, возможно настройки, если уже пробовали настраивать.

да, именно это имелось ввиду - передать зеркалированный трафик в влане на другой коммутатор.
Спасибо !