Здравствуйте.
Задача: Сделать mirror port и отправить эти данные на удаленный IDS (Snort)
Тестирую на DES 3028-28.
выполняю команду: config mirror port 19 add source ports 20 both (зеркалю на 19й порт данные с 20го ).
Физически соединяю 19й порт с 10м портом на котором создан untag vlan vlan1020.
Пробрасываю vlan1020 (tag) через другие коммутаторы до 6го порта (untag) на DES 3200-28 машины со снортом.
Выполняю команду на DES 3200-28: show packet ports 6.
И не вижу никакого трафика. Правильно ли я делаю или нужно организовывать как-то по другому ?

я думаю когда описываешь тут не обязательно использовать для вланов cli длинка))))

а не проще ли счетчики на порту смотреть, дропается или нет, и вообще есть ли траффик, и в каком влане находится дестинашн порт?

Когда зеркалируете трафик,то значение destination mac и ip не меняется, поэтому когда отзеркалированный трафик приходит на следующий коммутатор он пытается снова искать host с MAC-адресом, содержащимся в пакете.

_________________
Решил проблему - выложи ответ !

DES-3028 не поддерживает RSPAN.

Я уже понял, что для такого метода нужен коммутатор с RSPAN. Такие коммутаторы должны быть на всем пути следования: начальный - промежуточный - конечный или можно только начальный и конечный ?

На всем пути

Речь была про DES-3028? (а то я что-то не припомню DES-3028-28)

Причин неработы тут две:

1) пакеты в зеркале на DES-3028 - тегированные.
Даже если зеркалируется untagged порт - всё равно приедут с тегом соответствующего влана.
Разумеется, при выключенном QinQ свич такие пакеты отбросит.
А включение QinQ осложнено тем, что на нём нельзя выставить tpid 0x8100.

2) если зеркалируется трафик в обе стороны - обмен пакетами между хостами, то свич сразу поймает mac'и обоих сторон и будет в непонятках, куда же слать эти пакеты, если он только что выучил получателя на этом же порту.

Эта схема заработает только при условии:
1) свич, где выполняется зеркалирование, умеет QinQ, и на 10 порту включено role uni
2) зеркалируется только одно направление трафика.
В случае одного направления свич не выучит mac назначения (его нет в трафике) и будет широковещательно гнать трафик по влану до точки назначения, что и требовалось.