оррригинально, добавил в ACL правило для ещё одного вилана - и чудесным образом заработало зеркалирование первого... к сожалению ли, к счастью ли. считаем за маленький несущественный глюк.

теперь следующий вопрос: вилану 999 я сказал, что он remote-span, что должно отключить изучение мак-адресов в нём ("When a VLAN is specified as an RSPAN VLAN, the MAC address learning option on the RSPAN VLAN is disabled."). по факту же имеем:



это надо исправлять, или так должно быть? есть ли возможность выключить learning в вилане?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день. Приведите, пожалуйста, ещё выводы по VLAN-ам 999 и 3434. А также уточните типы служебного трафика. И я проверю на тестовом стенде.

_________________
С уважением,
Бигаров Руслан.

Руслан, простите, что дёргаю постоянно, но вы не поверите - опять ложная тревога! сейчас проверил - записей в fdb нет. погонял трафик с большим числом маков - оказалось, что при включении remote-span они удаляются из таблицы очень постепенно даже после clear mac-address-table... этот вопрос тоже закрыт, ждём ответа по нескольким Mirror ACL и возможности убрать небольшую часть трафика из зеркалирования (служебные подсети)

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день. Пока ждём ответа от разработчиков, хочу уточнить по:



У младших моделей вместо permit & deny для зеркалирования в ACL правилах задаётся mirror. Пожалуйста, объясните более подробно что Вы имели ввиду. Желательно с примером. Заранее спасибо.

_________________
С уважением,
Бигаров Руслан.

пример: исключить из зеркалирования трафик подсети 192.168.0.0/24:

permit any 192.168.0.0/24
permit 192.168.0.0/24 any
mirror any any

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Синтаксис Cisco like, а не наших коммутаторов. Это пример с какого коммутатора?

_________________
С уважением,
Бигаров Руслан.

это псевдокод. так можно сделать на 3426

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

вопрос в ту же степь: можно ли с пакетов из вилана 999 перед зеркалированием снять тег 802.1q?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день. Начинаю отвечать по порядку.

1. Вопрос: "Multiple access lists can be monitored on a session at a time".
Ответ: В manual ошибка, на самом деле так должно быть написано для текущей реализации: "Multiple flows can be monitored on a session at a time."

2. Для исключения какого-то трафика из зеркалирования разработчики предложили такой workaround:

eth1/0/1 - Снифер
eth1/0/3,1/0/5 - Два ПК генерируют IP трафик из подсетей 192.168.0.0/24 и 192.168.1.0/24

Задача: Исключить трафик из подсети 192.168.0.0/24 из зеркалируемого трафика.

Пример конфигурации коммутатора:


3. Вопрос: Можно ли с пакетов из вилана 999 перед зеркалированием снять тег 802.1q?
Ответ: Нет.

_________________
С уважением,
Бигаров Руслан.

спасибо. а можно хотя бы немного пояснить второй пункт? неужели трафик, попадающий под действие service-policy, не обрабатывается ACL?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Доброе утро. Он обрабатывается, но при этом не попадает под ACL Flow Mirror.

_________________
С уважением,
Бигаров Руслан.

Руслан, подтвердите, пожалуйста, что при помощи monitor session source acl можно зеркалировать Egress-трафик порта, а то у меня что-то не получается: вешаю ACL как expert access-group XXX in - входящий зеркалируется. вешаю как out (без разницы, убирать с in или нет) - исходящий не зеркалируется. при этом счётчики на соответствующих записях ACL исправно растут

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день.

Да, Egress(TX) ACL не поддерживаются в Flow Mirror в текущей реализации:

Mirror:
1. Per port mirror
- Support mirror for TX/ RX/ Both
- Support 4 mirroring groups
- Support different mirror group can set the same source port
- One to one mode
- Many to one mode
2. Per flow mirror
- Support mirror for RX
- Support 4 mirroring groups
- One to one mode
- Many to one mode

_________________
С уважением,
Бигаров Руслан.

прелестно, просто прелестно... а когда планируется реализацию дополнить? уж больно она ограниченная пока получается... непонятно, например, как отзеркалировать трафик одного сервера в одном порту. на 3426 я делаю что-то вроде
а как это повторить здесь с учётом того, что на некоторые из портов, генерирующих трафик в сторону сервера, уже работают с другими ACL?

занятно, в документации опять нестыковочка:



будет ли реализован monitor session destination remote vlan нескольких сессий в один интерфейс (в один либо разные виланы)?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Если мне по почте подробный запрос напишете, то я перенаправлю его разработчикам на согласование и внедрение.

_________________
С уважением,
Бигаров Руслан.