Узнать цены Академия
Москва
Новосибирск
Санкт-Петербург
Казань
Самара
Нижний Новгород
Челябинск
Екатеринбург
Ростов-на-Дону
Симферополь
Другой город
+7 (495) 147-87-84
Академия
0
Перейти в сравнение
0
Перейти в корзину
Ethernet коммутаторы
Маршрутизаторы ESR и ME
Оборудование xPON
Устройства электропитания
Wi-Fi оборудование
LTE
VoIP телефония
Softswitch
REC
IVR
IPTV медиацентры
IoT и автоматизация
SFP модули FH
SFP модули Русмодуль
Домашние роутеры
Видеонаблюдение и СКУД
Оборудование TDM
Системы управления и ПО
ACS
Курсы Eltex
Гарантия и поддержка
0
Перейти в сравнение
0 Корзина
Перейти в корзину
+7 (495) 147-87-84
Узнать цены Академия
0
0
Запросить цены
Шаяхметов Илья
Дежурный сегодня
Шаяхметов Илья
+7 (961) 221 34 25

Настройка фильтрации зеркалируемого трафика на MES2300-xx/3300-xx/3500I-10P/5312/53xxA/5310-48/5400-xx/5410-48/5500-32

Опубликовано 06.11.2025
I
Зеркалирование (мониторинг) портов на MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32
Время прочтения 2 минуты

Для настройки удаленного зеркалирования, где дополнительно необходимо применить фильтрацию данного трафика, можно воспользоваться следующей схемой:

 

Схема

 

Где gi1/0/7 — контролируемый порт;

gi1/0/19  — аплинк;

gi1/0/8, gi1/0/20 — физическая петля для QinQ.

 

Для анализа трафика, проходящего через контролируемый порт gi1/0/7, настроено его зеркалирование (SPAN) на порт gi1/0/8. Важно отметить, что зеркалированная копия трафика сохраняет оригинальные VLAN-метки.

Далее порт gi1/0/8 физически соединен с портом gi1/0/20. На этом порту ко всему входящему зеркалированному трафику добавляется внешняя VLAN-метка 2001 (QinQ). Одновременно на порту gi1/0/19, который является конечным пунктом назначения, эта внешняя метка удаляется с помощью конфигурации general untagged.

Фильтрация трафика осуществляется на порту gi1/0/20 с помощью ACL. Для корректного применения политики используется физическая петля, которая обходит ограничение, связанное с порядком обработки трафика: стандартная исходящая политика (egress-policy) применяется на этапе, следующем за механизмом зеркалирования.

Например, необходимо выполнить фильтрацию зеркалируемого трафика сети 192.168.1.0 /24. Тогда конфигурация ключевых интерфейсов и ACL будет выглядеть следующим образом:

monitor session 1 destination interface gigabitethernet1/0/8
monitor session 1 source interface gigabitethernet1/0/7 both
!
ip access-list extended TEST
 deny ip any any 192.168.1.0 0.0.0.255 any ace-priority 20
 permit ip any any any any ace-priority 40
exit
!
interface gigabitethernet1/0/8
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport forbidden default-vlan
exit
!
interface gigabitethernet1/0/20
 spanning-tree disable
 spanning-tree bpdu filtering
 service-acl input TEST
 switchport mode customer
 switchport customer vlan 2001
exit
!
interface gigabitethernet1/0/19
 switchport mode general
 switchport general allowed vlan add 2001 untagged
 switchport forbidden default-vlan
exit

 

Таким образом, комбинация SPAN, QinQ, ACL и физической петли позволяет построить гибкий механизм зеркалирования. В результате на порт gi1/0/19 поступает трафик, который был отфильтрован по заданным правилам (в примере — исключив подсеть 192.168.1.0/24), прошел VLAN-маркировку и был возвращен в исходное состояние, готовый для передачи на анализатор пакетов.

 

Источник:
docs.eltex-co.ru

Комментарии (11)

    Ваш комментарий отправлен.
    Он будет опубликован после модерации
    Имя *
    Email *
    Комментарий *
    * - Поля обязательные для заполнения

    Похожие материалы

    Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
    Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
    Ваш браузер сильно устарел.
    Обновите его до последней версии или используйте другой более современный.
    0
    Корзина
    Наименование Артикул Количество Сравнить
    Перейти в корзину