MES3124F и Port Mirroring

[sandrew]

Помогите разобраться. Вроде бы настроил, но трафика не видно. Вернее что-то есть, но совсем не то что должно быть.
Задача такова: в MES3124F приходит uplink на gi1/0/24 двумя vlan: 723 и 798 (723-я собственно сам uplink, 798- для контроля). В gi1/0/11 и gi1/0/12 подключен маршрутизатор выполняющий функцию NAT (в gi1/0/11 подключен внешний интерфейс, в gi1/0/12 локальный). Необходимо трафик с интерфейса gi1/0/12 (до NAT) зеркалировать в vlan 798.

Настроил так:
!
port monitor mode network
port monitor remote vlan 798 rx
port monitor remote vlan 798 tx
!
!
interface gigabitethernet 1/0/11
switchport mode trunk
switchport trunk allowed vlan add 723
description UpLink-NAT
storm-control broadcast enable
storm-control include-multicast
exit
!
interface gigabitethernet 1/0/12
switchport mode trunk
switchport trunk allowed vlan add 114,2000
description NAT-LAN
storm-control broadcast enable
storm-control include-multicast
exit
!
!
interface gigabitethernet 1/0/24
switchport mode trunk
switchport trunk allowed vlan add 723,798
description UpLink
storm-control broadcast enable
storm-control include-multicast
port monitor GigabitEthernet 1/0/12
port monitor remote
exit

------------------------------------------------
#show ports monitor

Port monitor mode: network

RSPAN configuration
RX: VLAN 798, user priority 0
TX: VLAN 798, user priority 0

Source Port Destination Port Type Status RSPAN
----------- ---------------- ------- ---------- -----
gi1/0/12 gi1/0/24 RX,TX active true

-------------------------------------------------------------
#show version
SW version 2.5.30 ( date 03-Oct-2014 time 10:37:34 )
Boot version 0.0.1.2 ( date 12-Dec-2012 time 19:10:41 )
HW version 02.06
CPLD version 03
-------------------------------------------------------------

Смотрю трафик во vlan 798, 723 и как говорится, две большие разницы.

[Евгений Т]

Смотрю трафик во vlan 798, 723 и как говорится, две большие разницы.

Чем смотрите? В дампе виден трафик с метками 114 или 2000 и добавленной меткой 798?

[sandrew]

Смотрю в микротике (он выполняет роль вышестоящего) Torch по vlan 798. Виден небольшой трафик с метками vlan 114 и 2000.
И смотрю аналогично по vlan 723. Там весь трафик без меток. Как я понимаю, трафик по 723 и 798 должен быть одинаков, только за исключением Scr. и Dst. адресов из-за работы NAT.

[Евгений Т]

Не понял суть проблемы. Вы настроили на порт gi 0/24 удаленное зеркало. В настройках сказано сливать на данный порт трафик с порта gi 0/12 (там трафик ходит в влан 114,2000) и добавлять к этому трафику метку 798.
>Смотрю в микротике (он выполняет роль вышестоящего) Torch по vlan 798. Виден небольшой трафик с метками vlan 114 и 2000.
Все верно. Это подтверждает работу функционала.
>И смотрю аналогично по vlan 723. Там весь трафик без меток.
А причем тут 723 влан? Вы настраивали отправку зеркалированного трафика в 798 влан
port monitor mode network
port monitor remote vlan 798 rx
port monitor remote vlan 798 tx

[sandrew]

Все правильно. Vlan 723 не причем. Трафик во vlan 723 я рассматриваю для сравнения, т.к. в ней весь трафик до NAT, а в 798-й должен быть тот же трафик за NAT. Т.е. в них должен быть идентичный трафик, различающийся лишь ip адресами источника и приемника из-за работы NAT. vlan 114 и 2000 - это локальные сети за NAT, а 723 - это внешняя перед NAT. 798-я тоже внешняя и по ней должен транслироваться локальный трафик без учета работы NAT, что бы были видны внутренние адреса. Вот в чем стоит задача. Вот я и смотрю эти две внешние vlan. В 723-й все отлично (т.е. все что ходит снаружи во внутрь и обратно видно, но с подменой внутреннего ip на ip шлюза соответственно), а вот в 798-й вместо того же трафика, но с локальными ip, видны лишь редкие всполохи широковещательных запросов от внутренних клиентов с метками подсетей 114 и 2000. Теперь я понятно объяснил? Может причина в другом и надо как-то иначе реализовать поставленную задачу? Или я не так смотрю трафик?

[alexmasz]

Здравствуйте!

Есть ли возможность с транкового порта зеркалировать трафик только с определенных vlan, а не весь трафик без разбора?

Спасибо!

[Александр Селезнев]

Добрый день!
Нет. Такой возможности нет. Можно отзеркалить весь порт rx/tx, а также отзеркалить vlan cо всего устройства port monitor vlan

[hoax]

ПК (анализатор)<----sw2<-----sw1<-----ПК2(запросы генерятся в 505 влан)
Конфигурация sw1
port monitor mode network
port monitor remote vlan 500 rx
port monitor remote vlan 500 tx
!
interface gigabitethernet 1/0/6
switchport mode trunk
switchport trunk allowed vlan add 500
port monitor GigabitEthernet 1/0/7
port monitor remote
switchport forbidden default-vlan
exit
!
interface gigabitethernet 1/0/7
switchport mode trunk
switchport trunk allowed vlan add 2-8,235,445,501,505,513,664,697,788-789
spanning-tree bpdu filtering
spanning-tree bpduguard enable
exit
7 port - downlink
6 port - uplink

Конфигурация sw2
interface gigabitethernet 1/0/6
switchport mode trunk
switchport trunk allowed vlan add 500
spanning-tree disable
exit
!
interface gigabitethernet 1/0/7
switchport mode trunk
switchport trunk allowed vlan add 500
spanning-tree disable
exit
7 port - downlink
6 port - uplink

В результате вижу на ПК анализаторе в вайршарке запросы от ПК 2, обернутые в 500 влан.
Если убрать из схемы sw2, то также вижу на ПК анализаторе запросы от ПК2, обернутые в 500 влан.
Посмотрите вайршарком. Если не заработает, то отправьте ваш почтовый адрес личным сообщением.

Прошу прощения за некропост. Встала похожая задача.
Вопрос. Каким образом данная схема может работать? sw2 должен отбрасывать пакеты поскольку в mac таблице у него нет dst mac этих пакетов.

[Александр Селезнев]

На sw2 нужно отключить изучение маков в vlan для rspan и очистить мак таблицу

[Fulcrum]

Добрый день!
Нет. Такой возможности нет. Можно отзеркалить весь порт rx/tx, а также отзеркалить vlan cо всего устройства port monitor vlan

Добрый день. Какое кол-во vlan-ов можно зеркалировать с коммутатора?

[Александр Селезнев]

8 в одной сессии.

[Routerman]

Имеется аппарат MES2124M, 1 порт запрограммирован под интернет, с него уходит на роутер. Как запрограммировать остальные порты под switch, то есть, чтобы была локальная сеть отдельно от интернета на 1 порту, была инфа, что коммутатор по дефолту работает как свич, но увы локалка не работает

[Евгений Т]

Зачем вы копипаситите ваше сообщение в разные темы? Есть же тема, где вы уже озвучили данный вопрос.
viewtopic.php?p=28766&sid=6add7c21da232031000f623aacef438b#p28766
Там я задал вопросы. Прошу на них ответить и предоставить необходимые конфигурации.
Пока задача непонятна.

[zvaol]

Вопрос такой появился - можно ли отзеркалить порт элтекса в циску? Настраиваю вроде по инструкции, но не работает.

[Евгений Т]

Добрый день.
int gi 0/xxx (порт, на который будет зеркалироваться трафик)
port monitor gi 0/yyy (порт, с которого будет зеркалироваться трафик)

Настраиваю вроде по инструкции, но не работает.

Приложите конфиг с настройками и опишите что конкретно не работает.