Gibt es eine Möglichkeit, die Einschränkung der 2-Monitor-Sitzung von Cisco auf einem VSS 6500 ohne Verwendung eines Netzwerkabgriffs zu überwinden?
Gibt es eine Möglichkeit, die Einschränkung der 2-Monitor-Sitzung von Cisco auf einem VSS 6500 ohne Verwendung eines Netzwerkabgriffs zu überwinden?
Antworten:
Wenn es wie die meisten Hardware-Switches ist, nein. Es kann immer nur eine "Überwachungssitzung" aktiv sein, obwohl in der Konfiguration zwei gespeichert werden können.
Mit vlans und externer Filterhardware (Gigamon?) Könnte eine Sitzung den gesamten Datenverkehr ausgeben, den Sie sehen möchten, aber das ist immer noch eine Sitzung. (und ein Netzwerkabgriff wäre billiger)
Unglücklicherweise nicht.
Anue Systems ist eine sehr raffinierte Lösung, mit der Sie Ihren gesamten Span- oder Tap-Verkehr weiterleiten und diesen Verkehr dann basierend auf Ihren Regeln auf Ihre verschiedenen Tools "umschalten" können, die normalerweise einen Span-Port verwenden.
Ich bin sicher, dass es andere Anbieter gibt, die eine ähnliche Lösung anbieten, aber ich war von dieser speziellen Lösung beeindruckt.
Auf der Cisco 6500/7600-Plattform stehen Ihnen zwei zusätzliche Spiegelungsoptionen zur Verfügung, die zusammen mit oder als Ersatz für SPAN verwendet werden können. Der Vorteil dieser beiden alternativen Methoden besteht darin, dass die Spiegelung in Hardware (ASIC) durchgeführt wird, sodass die CPU nicht wie bei SPAN beeinträchtigt wird. Der Nachteil dieser Spiegelungstechniken ist, dass sie nur eingehende Daten auf den Schnittstellen spiegeln können. Mit der intelligenten Planung mehrerer Quellschnittstellen oder eines gesamten VLANs können Sie bei Bedarf weiterhin bidirektionalen Datenverkehr erhalten.
Verwenden Sie für L2-Schnittstellen (Switchports oder VLANs, bei denen kein Routing auf dem Switch stattfindet) VACL Capture. Beachten Sie, dass hierfür eine Regel in der Vlan-Karte erforderlich ist, um den gesamten Datenverkehr zuzulassen. Achten Sie darauf, keinen anderen Datenverkehr als den von Ihnen gespiegelten Datenverkehr zu blockieren!
Verwenden Sie für L3-Schnittstellen (L3-Ports, SVIs, Subints) MLS IP IDS . Dies erfordert keine CBAC- oder Firewall-Module, sondern funktioniert auf einer Basis 6500.