Столкнулся с задачей организовать мониторинг с нескольких разных коммутаторов. Впервые использовал mirroring в ExtremeOS и хуавеевском VRP (на коммутаторе Quidway). И сразу же натолкнулся на интересную вещь.
Настраивая mirroring c access порта (т.е. порта с untagged вланом, скажем, 100) как на Extreme, так и на Quidway, я отправлял траффик с него на другой коммутатор (Cisco Catalyst), и далее на мониторинг сервер, согласно схеме. При этом я видел на сервере только исходящий траффик (c source адресом клиента ), но не видел траффика, который уходил с изучаемого порта в сторону клиента. Согласно графикам с портов, на Cisco приходил и входящий, и исходящий траффик. Но дальше на сервер уходил только исходящий.
Ларчик, конечно, открывается просто — при поступлении фрейма в порт коммутатор копирует его ДО того, как тэгирует для внутренней обработки, а фрейм, уходящий с порта, копирует ДО того, как с него снимается тэг. Соотвественно, на Cisco исходящий траффик приходил без тэга, а входящий — с тэгом 100го влана. Cisco Catalyst с настройкой «no switchport» на порту с большим удовольствием дропал все пакеты с тэгом, и тэгируемый трафик пропадал.
Решение простое. Делаем порт на Cisco switchportом, добавляем влан с нужным id, делаем ему allowed на этом порту. Траффик начинает проходить.
Тут нужно быть очень внимательным, чтобы не загрузить лишним трафиком другие порты на Catalyst, но это дело техники.