vurd Опубликовано 5 июня, 2014 · Жалоба Есть задача. Нужно отзеркалить трафик на один TCP-порт, который составляет примерно 30 процентов от всего трафика, который я на текущий момент могу разбирать используя банальный monitor session 1 source vlan 3 monitor session 1 destination interface gi3/4 Вычитал, что на 3750 (ну и убедился) есть такая фишка как ip filter(http://technologyordie.com/cisco-switch-span-port-filtering), что в моем случае было бы идеально. Как-бы повторить на 65-ом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 июня, 2014 · Жалоба rspan + vacl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 июня, 2014 · Жалоба Ух нифига ж себе. Походу сделал. Оставим для будущих поколений. Зеркалируем трафик из нескольких vlan-ов в физический порт с фильтрацией по access-list-у. ! ip access-list extended MIRROR.ACL.FILTER remark Catch tcp 80 port for redirect to SCE (zapret-info) permit tcp any any eq www ! vlan 260 name MIRROR.VLAN.RSPAN remote-span ! vlan access-map MIRROR.VLAN.FILTER 10 match ip address MIRROR.ACL.FILTER action redirect GigabitEthernet3/35 ! vlan filter MIRROR.VLAN.FILTER vlan-list 260 ! interface Vlan260 description MIRROR-MIRROR no ip address shutdown ! monitor session 1 type rspan-source description Capture all ingress traffic of users and send to session 2 source vlan 1000 - 1500 rx destination remote vlan 260 ! monitor session 2 type rspan-destination description Receive filtered by vacl ingress traffic of users and send to SCE source remote vlan 260 destination interface Gi3/35 ! s.lobanov спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 7 июня, 2014 · Жалоба Там еще интерфейс поднять надо. Ничего не настраивать, просто поднять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба Да, надо поднимать int vlan и можно выключать его(shutdown), главное в description написать чтоб не удаляли(если в компании больше одного админа) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 7 июня, 2014 · Жалоба Дописал в пример. Способ конечно ни разу не через жопу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба ну лень было им делать отдельные команды для фильтрации при зеркалировании, но если б они были, то делали бы тоже самое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 9 июня, 2014 · Жалоба Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 июня, 2014 · Жалоба Это вы чисто 80 порт завернули в sce? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 июня, 2014 · Жалоба с помощью pbr данная задача разве не решается? Решается. В 6500, насколько помню, сработают 3 решения: 1. RSPAN + ACL 2. PBR 3. WCCP. Правда тут ХЗ что с производительностью + надо, чтобы на другом конце WCCP понимали, например стоял oops/squid/%homemade%. Что выбрать - дело вкуса. Это вы чисто 80 порт завернули в sce? Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 июня, 2014 (изменено) · Жалоба а для нетфлоу можно фильтр сделать ?:) или таблесами на коллекторе рубить?..) Изменено 9 июня, 2014 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 июня, 2014 · Жалоба для нетфлоу можно фильтр сделать ?:) Истессно. Либо сделать так, как описано выше и где-то еще поднять netflow сенсор - это более гибкий метод. Либо, если сенсором будет 6500, то можно сделать как нить так: ip flow-cache entries 524288 ip flow-cache timeout inactive 32 ip flow-cache timeout active 1 ! mls aging long 64 mls aging normal 32 mls exclude acl-deny mls netflow interface mls flow ip interface-full mls nde flow include protocol tcp src-port 80 <--- фильтр mls nde flow exclude destination 101.102.103.0 255.255.255.0 <--- фильтр mls nde sender version 5 ! interface Vlan 1234 description "netflow" ... ip flow ingress ! ip flow-export source <имя интерфейса> ip flow-export version 5 ip flow-export destination <IP адрес и порт коллектора #1> ip flow-export destination <IP адрес и порт коллектора #2> Но это если вам netflow нужен не для учета трафика, а чисто ради своих собственных нужд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 июня, 2014 (изменено) · Жалоба спасибо. нужен не для учета. такое решение видел... я подобные фильтры не нашел на "роутерах", там такое невозможно? или я мало прочитал про флексибл нетфлоу? я видел решение.. с полисимапой.. но на аср1к полиси эти не работают на портченелах из 10ок.. Изменено 9 июня, 2014 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 июня, 2014 · Жалоба Про цискороутеры не скажу, но вроде как только с помощью flexible netflow (лет 5-7 назад интересовался, сейчас ХЗ как дело обстоит). Было бы интересно узнать, как фильтровать netflow в эриксонах, если вообще такое возможно (знаю, что на SE есть netflow, но толком не вникал). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 9 июня, 2014 (изменено) · Жалоба Да. Но с таким же успехом можно в СОРМ пакеты заворачивать уменьшая нагрузку и экономя ;) ммм интерестно... а разве потом фсбшники не просекут, что к ним уходит только 80tcp? :) там на сорме вполне вероятно стоит какойнибудь график протоколов или портов Изменено 9 июня, 2014 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 июня, 2014 · Жалоба Не думаю, что кого-либо интересует торрент трафик, а вот ТСР 25, 80, 110, 443 и т.п. вполне себе интересны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 9 июня, 2014 · Жалоба Ммм... А с помощью pbr данная задача разве не решается? Зачем извращение с span? Или это l2 железка? Я на 65м коте делал через pbr. И стандартно все. SCE L2, чтобы завернуть через PBR через нее нужно делать интерфейс в двух vrf и физическую петлю. Так и сделано, чтобы отбодаться от фзчототам с запрет инфо, и этот акцесс лист именно для этого изначально. Но в этой задаче мне надо статистику снять просто было, акцес лист я не стал еще один делать, поэтому непонятен дескрипшен :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...