Jump to content
Калькуляторы

Зеркало порта с фильтром по ip 65k 720-3bxl

Есть задача. Нужно отзеркалить трафик на один TCP-порт, который составляет примерно 30 процентов от всего трафика, который я на текущий момент могу разбирать используя банальный

monitor session 1 source vlan 3

monitor session 1 destination interface gi3/4

 

Вычитал, что на 3750 (ну и убедился) есть такая фишка как ip filter(http://technologyordie.com/cisco-switch-span-port-filtering), что в моем случае было бы идеально.

 

Как-бы повторить на 65-ом?

Share this post


Link to post
Share on other sites

Ух нифига ж себе. Походу сделал.

 

Оставим для будущих поколений. Зеркалируем трафик из нескольких vlan-ов в физический порт с фильтрацией по access-list-у.

!
ip access-list extended MIRROR.ACL.FILTER
remark Catch tcp 80 port for redirect to SCE (zapret-info)
permit tcp any any eq www
!
vlan 260
name MIRROR.VLAN.RSPAN
remote-span
!
vlan access-map MIRROR.VLAN.FILTER 10
match ip address MIRROR.ACL.FILTER
action redirect GigabitEthernet3/35
!
vlan filter MIRROR.VLAN.FILTER vlan-list  260
!
interface Vlan260
description MIRROR-MIRROR
no ip address
shutdown
!
monitor session 1 type rspan-source
description Capture all ingress traffic of users and send to session 2
source vlan 1000 - 1500 rx
destination remote vlan 260
!
monitor session 2 type rspan-destination
description Receive filtered by vacl ingress traffic of users and send to SCE
source remote vlan 260
destination interface Gi3/35
!

 

s.lobanov спасибо!

Share this post


Link to post
Share on other sites

Там еще интерфейс поднять надо. Ничего не настраивать, просто поднять.

Share this post


Link to post
Share on other sites

Да, надо поднимать int vlan и можно выключать его(shutdown), главное в description написать чтоб не удаляли(если в компании больше одного админа)

Share this post


Link to post
Share on other sites

Дописал в пример. Способ конечно ни разу не через жопу :)

Share this post


Link to post
Share on other sites

ну лень было им делать отдельные команды для фильтрации при зеркалировании, но если б они были, то делали бы тоже самое

Share this post


Link to post
Share on other sites

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

Share this post


Link to post
Share on other sites

Это вы чисто 80 порт завернули в sce?

Share this post


Link to post
Share on other sites

с помощью pbr данная задача разве не решается?

 

Решается. В 6500, насколько помню, сработают 3 решения:

1. RSPAN + ACL

2. PBR

3. WCCP. Правда тут ХЗ что с производительностью + надо, чтобы на другом конце WCCP понимали, например стоял oops/squid/%homemade%.

Что выбрать - дело вкуса.

 

 

Это вы чисто 80 порт завернули в sce?

 

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

Share this post


Link to post
Share on other sites

а для нетфлоу можно фильтр сделать ?:)

 

или таблесами на коллекторе рубить?..)

Edited by zhenya`

Share this post


Link to post
Share on other sites

для нетфлоу можно фильтр сделать ?:)

Истессно.

Либо сделать так, как описано выше и где-то еще поднять netflow сенсор - это более гибкий метод.

Либо, если сенсором будет 6500, то можно сделать как нить так:

 

ip flow-cache entries 524288
ip flow-cache timeout inactive 32
ip flow-cache timeout active 1
!
mls aging long 64
mls aging normal 32
mls exclude acl-deny
mls netflow interface
mls flow ip interface-full
mls nde flow include protocol tcp src-port 80 <--- фильтр
mls nde flow exclude destination 101.102.103.0 255.255.255.0 <--- фильтр
mls nde sender version 5
!
interface Vlan 1234
description "netflow"
...
ip flow ingress
!
ip flow-export source <имя интерфейса>
ip flow-export version 5
ip flow-export destination <IP адрес и порт коллектора #1>
ip flow-export destination <IP адрес и порт коллектора #2>

Но это если вам netflow нужен не для учета трафика, а чисто ради своих собственных нужд.

Share this post


Link to post
Share on other sites

спасибо.

нужен не для учета. такое решение видел...

я подобные фильтры не нашел на "роутерах", там такое невозможно? или я мало прочитал про флексибл нетфлоу?

я видел решение.. с полисимапой.. но на аср1к полиси эти не работают на портченелах из 10ок..

Edited by zhenya`

Share this post


Link to post
Share on other sites

Про цискороутеры не скажу, но вроде как только с помощью flexible netflow (лет 5-7 назад интересовался, сейчас ХЗ как дело обстоит).

Было бы интересно узнать, как фильтровать netflow в эриксонах, если вообще такое возможно (знаю, что на SE есть netflow, но толком не вникал).

Share this post


Link to post
Share on other sites

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

ммм интерестно... а разве потом фсбшники не просекут, что к ним уходит только 80tcp? :)

там на сорме вполне вероятно стоит какойнибудь график протоколов или портов

Edited by mcdemon

Share this post


Link to post
Share on other sites

Не думаю, что кого-либо интересует торрент трафик, а вот ТСР 25, 80, 110, 443 и т.п. вполне себе интересны.

Share this post


Link to post
Share on other sites

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

SCE L2, чтобы завернуть через PBR через нее нужно делать интерфейс в двух vrf и физическую петлю.

Так и сделано, чтобы отбодаться от фзчототам с запрет инфо, и этот акцесс лист именно для этого изначально.

Но в этой задаче мне надо статистику снять просто было, акцес лист я не стал еще один делать, поэтому непонятен дескрипшен :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this