Esiste un modo per superare la limitazione della sessione di 2 monitor di Cisco su un VSS 6500 senza l'uso di un tocco di rete?
Risposte:
Se è come la maggior parte degli switch hardware, no. È possibile attivare solo una "sessione di monitoraggio" alla volta ", tuttavia la configurazione può memorizzarne due.
Usando i vlan e l'hardware di filtro esterno (gigamon?) Potresti avere una sessione che scarica tutto il traffico che vuoi vedere, ma questa è ancora una sessione. (e un tocco di rete sarebbe più economico)
Sfortunatamente no.
Anue Systems offre una soluzione molto semplice che ti consente di passare tutto il tuo span o toccare il traffico e quindi "passare" quel traffico in base alle tue regole ai tuoi vari strumenti che normalmente utilizzerebbero una porta span.
Sono sicuro che ci sono altri fornitori che forniscono una soluzione simile, ma sono rimasto colpito da questo particolare.
Sulla piattaforma Cisco 6500/7600, sono disponibili due opzioni di mirroring aggiuntive che possono essere utilizzate insieme o in sostituzione di SPAN. Il vantaggio di questi due metodi alternativi è che il mirroring viene eseguito in hardware (ASIC), quindi non ha alcun impatto sulla CPU come fa SPAN. L'aspetto negativo di queste tecniche di mirroring è che possono solo rispecchiare inbound sulle interfacce. Con la pianificazione intelligente di più interfacce di origine o un'intera VLAN, è ancora possibile ottenere traffico bidirezionale, se necessario.
Per le interfacce L2 (switchport o VLAN in cui il routing non è presente sullo switch) utilizzare VACL Capture. Nota che ciò richiede una regola nella mappa Vlan per consentire tutto il traffico, fare attenzione a non bloccare il traffico diverso dal traffico che si sta eseguendo il mirroring!
Per le interfacce L3 (porte L3, SVI, punti secondari) utilizzare MLS IP IDS . Questo non richiede i moduli CBAC o firewall, funziona su una base 6500.