Hacer mirror de puertos A.K.A Span ports

Hace cosa de 15 años montamos un proyecto con un IDS de Real Secure (que creo que se vendió a IBM y a partir de ahí le perdí la pista). Ahora tocar probar otra cosa, un cacharrito de Protectwise. Para que el cacharro en cuestión funcione hay que pasarle datos que analizar.

Como es una demo … no hay pasta para comprar unos taps así que vamos a hacer port mirror de un par de puertos a ver que sale.

Para configurarlo.
conf t
monitor session n source interface xx both

Donde N es el numero de la sesión (el numero de sesiones depende de hardware que estés usando, la teoría dice que no carga el equipo y la practica parece que no lo hace, ya veremos dentro de unos días).

Puedes poner un interface o un port-channel (que es nuestro caso). Enshow intercontre en la documentación de Cisco que NO se pueden usar port-channels con LACP o PAGP (si en modo Active a secas) … pero solo hablaba de puertos de destino. En origen parece que cuela. Y both es para que capture entrada y salida.

El switch te añade de forma automática monitor session 2 filter packet-type good rx. Lo que hace esto es que solo coge trafico si los paquetes están completos.

y por ultimo …
monitor session n destination interface xx

https://supportforums.cisco.com/discussion/11243351/span-port-channel

https://lists.gt.net/cisco/nsp/89726

Be the first to leave a comment. Don’t be shy.

Join the Discussion

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>