vurd Posted June 5, 2014 Есть задача. Нужно отзеркалить трафик на один TCP-порт, который составляет примерно 30 процентов от всего трафика, который я на текущий момент могу разбирать используя банальный monitor session 1 source vlan 3 monitor session 1 destination interface gi3/4 Вычитал, что на 3750 (ну и убедился) есть такая фишка как ip filter(http://technologyordie.com/cisco-switch-span-port-filtering), что в моем случае было бы идеально. Как-бы повторить на 65-ом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 5, 2014 rspan + vacl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted June 5, 2014 Ух нифига ж себе. Походу сделал. Оставим для будущих поколений. Зеркалируем трафик из нескольких vlan-ов в физический порт с фильтрацией по access-list-у. ! ip access-list extended MIRROR.ACL.FILTER remark Catch tcp 80 port for redirect to SCE (zapret-info) permit tcp any any eq www ! vlan 260 name MIRROR.VLAN.RSPAN remote-span ! vlan access-map MIRROR.VLAN.FILTER 10 match ip address MIRROR.ACL.FILTER action redirect GigabitEthernet3/35 ! vlan filter MIRROR.VLAN.FILTER vlan-list 260 ! interface Vlan260 description MIRROR-MIRROR no ip address shutdown ! monitor session 1 type rspan-source description Capture all ingress traffic of users and send to session 2 source vlan 1000 - 1500 rx destination remote vlan 260 ! monitor session 2 type rspan-destination description Receive filtered by vacl ingress traffic of users and send to SCE source remote vlan 260 destination interface Gi3/35 ! s.lobanov спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 7, 2014 Там еще интерфейс поднять надо. Ничего не настраивать, просто поднять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 7, 2014 Да, надо поднимать int vlan и можно выключать его(shutdown), главное в description написать чтоб не удаляли(если в компании больше одного админа) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted June 7, 2014 Дописал в пример. Способ конечно ни разу не через жопу :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 7, 2014 ну лень было им делать отдельные команды для фильтрации при зеркалировании, но если б они были, то делали бы тоже самое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted June 9, 2014 Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted June 9, 2014 Это вы чисто 80 порт завернули в sce? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 9, 2014 с помощью pbr данная задача разве не решается? Решается. В 6500, насколько помню, сработают 3 решения: 1. RSPAN + ACL 2. PBR 3. WCCP. Правда тут ХЗ что с производительностью + надо, чтобы на другом конце WCCP понимали, например стоял oops/squid/%homemade%. Что выбрать - дело вкуса. Это вы чисто 80 порт завернули в sce? Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted June 9, 2014 (edited) а для нетфлоу можно фильтр сделать ?:) или таблесами на коллекторе рубить?..) Edited June 9, 2014 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 9, 2014 для нетфлоу можно фильтр сделать ?:) Истессно. Либо сделать так, как описано выше и где-то еще поднять netflow сенсор - это более гибкий метод. Либо, если сенсором будет 6500, то можно сделать как нить так: ip flow-cache entries 524288 ip flow-cache timeout inactive 32 ip flow-cache timeout active 1 ! mls aging long 64 mls aging normal 32 mls exclude acl-deny mls netflow interface mls flow ip interface-full mls nde flow include protocol tcp src-port 80 <--- фильтр mls nde flow exclude destination 101.102.103.0 255.255.255.0 <--- фильтр mls nde sender version 5 ! interface Vlan 1234 description "netflow" ... ip flow ingress ! ip flow-export source <имя интерфейса> ip flow-export version 5 ip flow-export destination <IP адрес и порт коллектора #1> ip flow-export destination <IP адрес и порт коллектора #2> Но это если вам netflow нужен не для учета трафика, а чисто ради своих собственных нужд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted June 9, 2014 (edited) спасибо. нужен не для учета. такое решение видел... я подобные фильтры не нашел на "роутерах", там такое невозможно? или я мало прочитал про флексибл нетфлоу? я видел решение.. с полисимапой.. но на аср1к полиси эти не работают на портченелах из 10ок.. Edited June 9, 2014 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 9, 2014 Про цискороутеры не скажу, но вроде как только с помощью flexible netflow (лет 5-7 назад интересовался, сейчас ХЗ как дело обстоит). Было бы интересно узнать, как фильтровать netflow в эриксонах, если вообще такое возможно (знаю, что на SE есть netflow, но толком не вникал). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted June 9, 2014 (edited) Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;) ммм интерестно... а разве потом фсбшники не просекут, что к ним уходит только 80tcp? :) там на сорме вполне вероятно стоит какойнибудь график протоколов или портов Edited June 9, 2014 by mcdemon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 9, 2014 Не думаю, что кого-либо интересует торрент трафик, а вот ТСР 25, 80, 110, 443 и т.п. вполне себе интересны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted June 9, 2014 Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все. SCE L2, чтобы завернуть через PBR через нее нужно делать интерфейс в двух vrf и физическую петлю. Так и сделано, чтобы отбодаться от фзчототам с запрет инфо, и этот акцесс лист именно для этого изначально. Но в этой задаче мне надо статистику снять просто было, акцес лист я не стал еще один делать, поэтому непонятен дескрипшен :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...