На оборудовании Eltex реализовано 2 способа зеркалирования трафика:
1) SPAN - функционал, позволяющий зеркалировать трафик с указанного порта/портов в порт без изменений исходного пакета.
2) RSPAN - функционал, позволяющий зеркалировать трафик с указанного порта/портов, при этом навешивая дополнительную RSPAN vlan tag.
monitor-session test1 destination interface tengigabitethernet 0/1/2 source interface tengigabitethernet 0/1/3 vlan 100 exit vlan 101 direction rx-only exit vlan 102 direction tx-only
По-умолчанию, если не указывать направление зеркалирования пакетов, то зеркалируются все пакеты с данного порта или саб-интерфейса. Таким образом, исходя из примера, с tengigabitethernet0/1/3.100 будут зеркалироваться пакеты с обоих направлениях (direction both), с tengigabitethernet0/1/3.101 только входящие пакеты(direction rx-only), а с tengigabitethernet0/1/3.102 только отправленные пакеты (direction tx-only).
monitor-session rspan-test destination remote interface tengigabitethernet 0/1/2 vlan 2100 <--------- vlan-tag, который будет добавляться на копии перехваченных пакетов exit source interface tengigabitethernet 0/1/3 vlan 100 exit vlan 101 exit vlan 102 exit vlan 103 exit vlan 104 exit vlan 105
Следует сказать, что ввиду аппаратных ограничений можно использовать только 6 уникальных vlan в направлении rx-only(ingress) и 7 уникальных vlan в направлении tx-only(egress) на все SPAN/RSPAN сессии на отдельно взятом оборудовании(если речь идет о ME5100 или ME5200) или плате(Если речь идет о ME5000). Аппаратные ресурсы выделяется для каждого отдельного vlan-tag. Например:
monitor-session test1 destination interface tengigabitethernet 0/1/2 source interface tengigabitethernet 0/1/3 vlan 100 exit vlan 101 exit vlan 108 exit monitor-session test2 destination remote interface tengigabitethernet 0/1/4 vlan 2100 exit source interface tengigabitethernet 0/1/5 vlan 101 exit vlan 102 exit vlan 103 exit vlan 104 exit vlan 105 exit vlan 106
Если применить такую конфигурацию, то оборудование сначала выделит ресурсы сессии test1 для source tengigabitethernet 0/1/3 для всех указанных саб-интерфейсов, далее перейдет к сессии test2 source tengigabitethernet 0/1/5 и выделит ресурсы для саб-интерфейсов te0/1/5.102, 103, 104, но так как для tag 101 уже был выделен ресурс, то пакеты с него будут так же зеркалироваться. Саб-интерфейсы te0/1/5.105 и te0/1/5.106 зеркалироваться не будут из-за аппаратных ограничений.
Ввиду аппаратных особенностей марщрутизаторы серии ME не зеркалируют пакеты самого маршрутизатора, а только транзитный трафик.
В ОС самого маршрутизатора установлена утилита tcpdump. С помощью данной утилиты вы можете лишь посмотреть трафик обрабатываемый CPU устройства, то есть, посмотреть трафик самого маршрутизатора. Для этого:
Необходимо зайти в rootshell:
0/FMC0:R17-141_test4# rootshell
Password:<password>
[root@R17-141_test4 (FMC16:0/FMC0) admin]
Для примера выполним команду: def-ns tcpdump -i i<индекс интерфейса> -w tcpdump.pcap
Данной командой вы запишете в файл tcpdump.pcap пакеты приходящие на порт/саб-интерфейс с определенным индексом.
Индекс интерфейса можно посмотреть в команде 0/FMC0:R17-141_test4# show int tengigabitethernet 0/1/2 Mon Mar 27 10:03:25 2023 Tengigabitethernet0/1/2 is Up Interface index is 6 <------------------------ Так же для саб-интерфейса: 0/FMC0:R17-141_test4# show int tengigabitethernet 0/1/3.100 Mon Mar 27 10:04:22 2023 Tengigabitethernet0/1/3.100 is Up Interface index is 64 <------------------------
Для интерфейсов находящихся в vrf, команда будет выглядеть следующим образом:
ip netns exec _vrftest tcpdump -i i<индекс интерфейса> -w tcpdump.pcap. где vrftest - название vrf
Чтобы посмотреть указанный файл, вы можете отправить файл на свой tftp-сервер: tftp -pl tcpdump.pcap 192.168.16.26
Так же есть возможность, чтобы дамп был записан в файл, который формируется при вводе команды "show tech". Для этого дамп необходимо записать по пути /var/log:
def-ns tcpdump -i i<индекс интерфейса> -w /var/log/nfv5.pcap