[vurd]

Есть задача. Нужно отзеркалить трафик на один TCP-порт, который составляет примерно 30 процентов от всего трафика, который я на текущий момент могу разбирать используя банальный

monitor session 1 source vlan 3

monitor session 1 destination interface gi3/4

 

Вычитал, что на 3750 (ну и убедился) есть такая фишка как ip filter(http://technologyordie.com/cisco-switch-span-port-filtering), что в моем случае было бы идеально.

 

Как-бы повторить на 65-ом?

[s.lobanov]

rspan + vacl

[vurd]

Ух нифига ж себе. Походу сделал.

 

Оставим для будущих поколений. Зеркалируем трафик из нескольких vlan-ов в физический порт с фильтрацией по access-list-у.

!
ip access-list extended MIRROR.ACL.FILTER
remark Catch tcp 80 port for redirect to SCE (zapret-info)
permit tcp any any eq www
!
vlan 260
name MIRROR.VLAN.RSPAN
remote-span
!
vlan access-map MIRROR.VLAN.FILTER 10
match ip address MIRROR.ACL.FILTER
action redirect GigabitEthernet3/35
!
vlan filter MIRROR.VLAN.FILTER vlan-list  260
!
interface Vlan260
description MIRROR-MIRROR
no ip address
shutdown
!
monitor session 1 type rspan-source
description Capture all ingress traffic of users and send to session 2
source vlan 1000 - 1500 rx
destination remote vlan 260
!
monitor session 2 type rspan-destination
description Receive filtered by vacl ingress traffic of users and send to SCE
source remote vlan 260
destination interface Gi3/35
!

 

s.lobanov спасибо!

[snark]

Там еще интерфейс поднять надо. Ничего не настраивать, просто поднять.

[s.lobanov]

Да, надо поднимать int vlan и можно выключать его(shutdown), главное в description написать чтоб не удаляли(если в компании больше одного админа)

[vurd]

Дописал в пример. Способ конечно ни разу не через жопу :)

[s.lobanov]

ну лень было им делать отдельные команды для фильтрации при зеркалировании, но если б они были, то делали бы тоже самое

[dignity]

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

[Butch3r]

Это вы чисто 80 порт завернули в sce?

[snark]

с помощью pbr данная задача разве не решается?

 

Решается. В 6500, насколько помню, сработают 3 решения:

1. RSPAN + ACL

2. PBR

3. WCCP. Правда тут ХЗ что с производительностью + надо, чтобы на другом конце WCCP понимали, например стоял oops/squid/%homemade%.

Что выбрать - дело вкуса.

 

 

Это вы чисто 80 порт завернули в sce?

 

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

[zhenya`]

а для нетфлоу можно фильтр сделать ?:)

 

или таблесами на коллекторе рубить?..)

Изменено 9 июня, 2014 пользователем zhenya`

[snark]

для нетфлоу можно фильтр сделать ?:)

Истессно.

Либо сделать так, как описано выше и где-то еще поднять netflow сенсор - это более гибкий метод.

Либо, если сенсором будет 6500, то можно сделать как нить так:

 

ip flow-cache entries 524288
ip flow-cache timeout inactive 32
ip flow-cache timeout active 1
!
mls aging long 64
mls aging normal 32
mls exclude acl-deny
mls netflow interface
mls flow ip interface-full
mls nde flow include protocol tcp src-port 80 <--- фильтр
mls nde flow exclude destination 101.102.103.0 255.255.255.0 <--- фильтр
mls nde sender version 5
!
interface Vlan 1234
description "netflow"
...
ip flow ingress
!
ip flow-export source <имя интерфейса>
ip flow-export version 5
ip flow-export destination <IP адрес и порт коллектора #1>
ip flow-export destination <IP адрес и порт коллектора #2>

Но это если вам netflow нужен не для учета трафика, а чисто ради своих собственных нужд.

[zhenya`]

спасибо.

нужен не для учета. такое решение видел...

я подобные фильтры не нашел на "роутерах", там такое невозможно? или я мало прочитал про флексибл нетфлоу?

я видел решение.. с полисимапой.. но на аср1к полиси эти не работают на портченелах из 10ок..

Изменено 9 июня, 2014 пользователем zhenya`

[snark]

Про цискороутеры не скажу, но вроде как только с помощью flexible netflow (лет 5-7 назад интересовался, сейчас ХЗ как дело обстоит).

Было бы интересно узнать, как фильтровать netflow в эриксонах, если вообще такое возможно (знаю, что на SE есть netflow, но толком не вникал).

[mcdemon]

Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;)

ммм интерестно... а разве потом фсбшники не просекут, что к ним уходит только 80tcp? :)

там на сорме вполне вероятно стоит какойнибудь график протоколов или портов

Изменено 9 июня, 2014 пользователем mcdemon

[snark]

Не думаю, что кого-либо интересует торрент трафик, а вот ТСР 25, 80, 110, 443 и т.п. вполне себе интересны.

[vurd]

Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все.

SCE L2, чтобы завернуть через PBR через нее нужно делать интерфейс в двух vrf и физическую петлю.

Так и сделано, чтобы отбодаться от фзчототам с запрет инфо, и этот акцесс лист именно для этого изначально.

Но в этой задаче мне надо статистику снять просто было, акцес лист я не стал еще один делать, поэтому непонятен дескрипшен :)