Hace cosa de 15 años montamos un proyecto con un IDS de Real Secure (que creo que se vendió a IBM y a partir de ahí le perdí la pista). Ahora tocar probar otra cosa, un cacharrito de Protectwise. Para que el cacharro en cuestión funcione hay que pasarle datos que analizar.
Como es una demo … no hay pasta para comprar unos taps así que vamos a hacer port mirror de un par de puertos a ver que sale.
Para configurarlo.
conf t
monitor session n source interface xx both
Donde N es el numero de la sesión (el numero de sesiones depende de hardware que estés usando, la teoría dice que no carga el equipo y la practica parece que no lo hace, ya veremos dentro de unos días).
Puedes poner un interface o un port-channel (que es nuestro caso). Enshow intercontre en la documentación de Cisco que NO se pueden usar port-channels con LACP o PAGP (si en modo Active a secas) … pero solo hablaba de puertos de destino. En origen parece que cuela. Y both es para que capture entrada y salida.
El switch te añade de forma automática monitor session 2 filter packet-type good rx. Lo que hace esto es que solo coge trafico si los paquetes están completos.
y por ultimo …
monitor session n destination interface xx
https://supportforums.cisco.com/discussion/11243351/span-port-channel