我的情况是交换机上有超过 1g 的流量,但只有一个 1g 的监控端口。但我真正感兴趣的流量只有大约 10mbps,其余的可以忽略。
我有一台 3560 交换机,我想配置一个 SPAN 端口,同时启用 IP ACL。我知道这是可能的,至少在 6500 上,通过配置一个会话,其目标为 RSPAN VLAN,另一个会话(同一交换机)使用该 RSPAN VLAN 作为源。然后将 ACL 应用于 RSPAN VLAN。如下所述:使用 RSPAN 与 VACL 进行细粒度流量分析。
但是,这似乎在 3560 上不起作用。我甚至删除了 ACL,但仍然不行:
vlan 555
remote-span
interface Vlan555
no ip address
shutdown
monitor session 50 source interface Fa0/24
monitor session 50 destination remote vlan 555
monitor session 51 destination interface Fa0/22
monitor session 51 source remote vlan 555
没有流量显示。如果我清除那些监控会话并只执行源 fa0/24 目标 fa0/22,那么它就可以正常工作。(忽略我在这里使用 FE 作为测试。)
有什么想法吗?无需第二台交换机,还有其他方法可以将 ACL 放入 SPAN 吗?
更新:那么根据这:
RSPAN 源会话和目标会话可以存在于同一 Catalyst 交换机上吗? 不可以。当 RSPAN 源会话和 RSPAN 目标会话位于同一交换机上时,RSPAN 不起作用。
这是 4500 和 3750 的限制,所以我猜这也意味着 3560。还有其他解决方法吗?
更新 2:我不太清楚 RSPAN 在网络上到底起什么作用。我配置了 RSPAN,但不是将其放在另一台交换机的中继端口上,而是放在我的 NIC 的中继端口上。流量被复制,但 RSPAN VLAN 的 ACL 未应用,尽管 3560 配置文件明确表示它应该可以工作。
答案1
如果我理解正确的话,这听起来就像您想要捕获一些穿过交换机的流量,但是您想在将这些流量放置在连接捕获站的线路上之前对其进行过滤。
我怀疑您能否使用 3560 级交换机做到这一点。检查本配置指南。我没有看到任何关于 RSPAN 会话中 VACL 的提及。并不是说该功能不可能存在,但据我记得,VACL 是 6500 特有的,主要用于过滤任何特定 VLAN 内传递的实时流量。
我会研究隔离有趣流量的其他方法,除非您可以将流量 RSPAN 至 6500。