Настройка фильтрации зеркалируемого трафика на MES14xx/24xx/3400-xx/37xx

Для настройки зеркалирования, в котором дополнительно необходимо применить фильтрацию данного трафика, можно воспользоваться следующей схемой:

Где gi1/0/5 — контролируемый порт;

gi1/0/2  — аплинк;

gi1/0/3, gi1/0/4 — физическая петля для QinQ.

Для анализа трафика, проходящего через контролируемый порт gi1/0/5, настроено его зеркалирование (SPAN) на порт gi1/0/3. Важно отметить, что зеркалированная копия трафика сохраняет оригинальные VLAN-метки.

Далее порт gi1/0/3 физически соединен с портом gi1/0/4. На этом порте ко всему входящему зеркалированному трафику добавляется внешняя VLAN-метка 100 (QinQ). Одновременно на порте gi1/0/2, который является конечным пунктом назначения, эта внешняя метка удаляется с помощью конфигурации general untagged.

Фильтрация трафика осуществляется на порте gi1/0/4 с помощью ACL. Поскольку ACL применяется только ко входящему трафику, для корректной фильтрации используется физическая петля, что позволяет всему трафику с порта gi1/0/5 попадать под действие правил ACL. 

Например, необходимо выполнить фильтрацию определенных IP-адресов. Тогда конфигурация ключевых интерфейсов и ACL будет выглядеть следующим образом:

monitor session 1 destination interface gigabitethernet 1/0/3
monitor session 1 source interface gigabitethernet 1/0/5 both

 !                 
ip access-list extended 1001 
  permit ip host 192.168.67.111 any 
!
ip access-list extended 1002 
  permit ip host 192.168.67.105 any 
!
ip access-list extended 1003 
  permit ip host 192.168.67.106 any 
!  


Последним правилом (65535) необходимо добавить MAC ACL, который будет запрещать прохождение любых кадров, не попадающих под действие IP ACL. Данная настройка необходима, поскольку IP ACL не применяется к кадрам, не имеющим IP-заголовка.

!

mac access-list extended 65535 
  deny any any 
! 


!
vlan 100
  set unicast-mac learning disable
! 
interface gigabitethernet 1/0/2
  switchport general allowed vlan add 100 untagged    
! 
interface gigabitethernet 1/0/3
  spanning-tree disable
  spanning-tree bpdu-receive disabled
  spanning-tree bpdu-transmit disabled    
! 
interface gigabitethernet 1/0/4
  ip access-group 1001 in
  ip access-group 1002 in
  ip access-group 1003 in
  mac access-group 65535 in
  spanning-tree disable
  switchport mode access
  switchport access vlan 100
  switchport dot1q tunnel    
! 
interface gigabitethernet 1/0/5
  switchport mode access
  switchport access vlan 10    
! 

Таким образом, комбинация SPAN, QinQ, ACL и физической петли позволяет построить гибкий механизм зеркалирования. В результате на порт gi1/0/2 поступает трафик, который был отфильтрован по заданным правилам (в примере — разрешив только адреса 192.168.67.105, 192.168.67.106 и 192.168.67.111), прошел VLAN-маркировку и был возвращен в исходное состояние, готовый для передачи на анализатор пакетов.