Для настройки удаленного зеркалирования, где трафик из физических интерфейсов, LAG или из vlan зеркалируется в несколько аплинков, можно воспользоваться следующей схемой:
Где 1/0/8 — контролируемый порт;
1/0/19, 1/0/20 — аплинки;
1/0/1, 1/0/2 — физическая петля для Q-in-Q
Трафик с контролируемого порта 1/0/8 зеркалируется с помощью SPAN на 1/0/1, с этого порта трафик выходит в тех VLAN, что и изначально.
Порт 1/0/1 физически соединён с портом 1/0/2, где на весь зеркалируемый трафик добавляется вторая метка 100. В этой VLAN зеркалированный трафик будет передаваться дальше через аплинки, поэтому на промежуточных коммутаторах, где прописан vlan 100, должен быть отключен mac learning в данной VLAN.
Ниже приведен пример конфигурации для случая, когда нужно зеркалировать трафик с интерфейса 1/0/8 не из всех VLAN, а только из нескольких конкретных VLAN (10-15).
vlan database
vlan 10-20,100
configure
vlan 100
remote-span --------------> Отключаем изучение MAC-адресов в S-VLAN.
exit
dot1ad mode nni 1/0/19,1/0/20 --------------> Назначаем uplink порты в сторону анализаторов трафика (серверов).
dot1ad mode uni-p 1/0/2 --------------> Второй конец петли указываем в качестве downlink порта.
dot1ad service add100 svid 100 e-lan nni 1/0/19,1/0/20 --------------> Создаем сервис add100 для S-VLAN 100.
!
interface 1/0/1
no shutdown
spanning-tree bpdufilter
no spanning-tree port mode --------------> На портах петли 1/0/1-1/0/2 отключаем STP и включаем фильтрацию STP BPDU.
exit
!
interface 1/0/2
no shutdown
spanning-tree bpdufilter
no spanning-tree port mode
dot1ad mode uni-p
subscribe add100 add100 match cvid 10-15 --------------> Пропускаем только трафик VLAN 10-15 и привязываем к service add100. На трафик с C-VLAN 10-15 добавится метка S-VLAN 100, остальной трафик отбросится.
vlan acceptframe admituntaggedonly
vlan ingressfilter
vlan participation include 100
vlan tagging 100
exit
!
interface 1/0/8
no shutdown
switchport mode trunk
switchport trunk allowed vlan add 10-20
exit
!
interface 1/0/19-1/0/20
no shutdown
dot1ad mode nni
vlan participation include 100
mode dvlan-tunnel
vlan tagging 100 --------------> С данной настройкой трафик передастся с верхним тегом 100 в сторону сервера (S-VLAN 100, C-VLAN 10-15). На всех промежуточных устройствах необходимо отключение изучения MAC-адресов в этой VLAN.
no vlan tagging 100 --------------> С текущей настройкой верхний тег 100 снимется и на сервер трафик пойдет в первоначально отзеркалированном виде (с метками 10-15).
exit
!
monitor session 1 source interface 1/0/8
monitor session 1 destination interface 1/0/1
monitor session 1 mode
Если объем отзеркалированного трафика будет превышать пропускную способность порта gi0/1, возможно по такому же принципу добавить другие закольцованные интерфейсы и разбить трафик на несколько петель (часть VLAN в одну петлю, часть - в другую).