Jump to content
Калькуляторы

Зеркало порта с фильтром по ip 65k 720-3bxl

Reply to this topic

vurd   

vurd
Posted

Есть задача. Нужно отзеркалить трафик на один TCP-порт, который составляет примерно 30 процентов от всего трафика, который я на текущий момент могу разбирать используя банальный

monitor session 1 source vlan 3

monitor session 1 destination interface gi3/4

 

Вычитал, что на 3750 (ну и убедился) есть такая фишка как ip filter(http://technologyordie.com/cisco-switch-span-port-filtering), что в моем случае было бы идеально.

 

Как-бы повторить на 65-ом?

Share this post

Link to post
Share on other sites

vurd   

vurd
Posted

Ух нифига ж себе. Походу сделал.

 

Оставим для будущих поколений. Зеркалируем трафик из нескольких vlan-ов в физический порт с фильтрацией по access-list-у.

!
ip access-list extended MIRROR.ACL.FILTER
remark Catch tcp 80 port for redirect to SCE (zapret-info)
permit tcp any any eq www
!
vlan 260
name MIRROR.VLAN.RSPAN
remote-span
!
vlan access-map MIRROR.VLAN.FILTER 10
match ip address MIRROR.ACL.FILTER
action redirect GigabitEthernet3/35
!
vlan filter MIRROR.VLAN.FILTER vlan-list  260
!
interface Vlan260
description MIRROR-MIRROR
no ip address
shutdown
!
monitor session 1 type rspan-source
description Capture all ingress traffic of users and send to session 2
source vlan 1000 - 1500 rx
destination remote vlan 260
!
monitor session 2 type rspan-destination
description Receive filtered by vacl ingress traffic of users and send to SCE
source remote vlan 260
destination interface Gi3/35
!

 

s.lobanov спасибо!

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Да, надо поднимать int vlan и можно выключать его(shutdown), главное в description написать чтоб не удаляли(если в компании больше одного админа)

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

ну лень было им делать отдельные команды для фильтрации при зеркалировании, но если б они были, то делали бы тоже самое

Share this post

Link to post
Share on other sites

dignity   

dignity
Posted

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

Share this post

Link to post
Share on other sites

snark   

snark
Posted

с помощью pbr данная задача разве не решается?

 

Решается. В 6500, насколько помню, сработают 3 решения:

1. RSPAN + ACL

2. PBR

3. WCCP. Правда тут ХЗ что с производительностью + надо, чтобы на другом конце WCCP понимали, например стоял oops/squid/%homemade%.

Что выбрать - дело вкуса.

 

 

Это вы чисто 80 порт завернули в sce?

 

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

Share this post

Link to post
Share on other sites

snark   

snark
Posted

для нетфлоу можно фильтр сделать ?:)

Истессно.

Либо сделать так, как описано выше и где-то еще поднять netflow сенсор - это более гибкий метод.

Либо, если сенсором будет 6500, то можно сделать как нить так:

 

ip flow-cache entries 524288
ip flow-cache timeout inactive 32
ip flow-cache timeout active 1
!
mls aging long 64
mls aging normal 32
mls exclude acl-deny
mls netflow interface
mls flow ip interface-full
mls nde flow include protocol tcp src-port 80 <--- фильтр
mls nde flow exclude destination 101.102.103.0 255.255.255.0 <--- фильтр
mls nde sender version 5
!
interface Vlan 1234
description "netflow"
...
ip flow ingress
!
ip flow-export source <имя интерфейса>
ip flow-export version 5
ip flow-export destination <IP адрес и порт коллектора #1>
ip flow-export destination <IP адрес и порт коллектора #2>

Но это если вам netflow нужен не для учета трафика, а чисто ради своих собственных нужд.

Share this post

Link to post
Share on other sites

zhenya`   

zhenya`
Posted (edited)

спасибо.

нужен не для учета. такое решение видел...

я подобные фильтры не нашел на "роутерах", там такое невозможно? или я мало прочитал про флексибл нетфлоу?

я видел решение.. с полисимапой.. но на аср1к полиси эти не работают на портченелах из 10ок..

Edited by zhenya`

Share this post

Link to post
Share on other sites

snark   

snark
Posted

Про цискороутеры не скажу, но вроде как только с помощью flexible netflow (лет 5-7 назад интересовался, сейчас ХЗ как дело обстоит).

Было бы интересно узнать, как фильтровать netflow в эриксонах, если вообще такое возможно (знаю, что на SE есть netflow, но толком не вникал).

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted (edited)

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

ммм интерестно... а разве потом фсбшники не просекут, что к ним уходит только 80tcp? :)

там на сорме вполне вероятно стоит какойнибудь график протоколов или портов

Edited by mcdemon

Share this post

Link to post
Share on other sites

vurd   

vurd
Posted

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

SCE L2, чтобы завернуть через PBR через нее нужно делать интерфейс в двух vrf и физическую петлю.

Так и сделано, чтобы отбодаться от фзчототам с запрет инфо, и этот акцесс лист именно для этого изначально.

Но в этой задаче мне надо статистику снять просто было, акцес лист я не стал еще один делать, поэтому непонятен дескрипшен :)

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...