Witam
Na wstępnie się przedstawię. Jestem Mateusz pracuję w IT jako specjalista do spraw infrastruktury.
Wcześniej pracowałem przez 6 lat jako pracownik Utrzymania Ruchu następnie Automatyk i Lider, od roku pracuje w innej branży
Nie mam niestety szkoleń cisco, dlatego kieruję do was pytanie:
Potrzebuję wykonać w swojej firmie monitoring sieci IDS.
Mam przełączniki w L2 Catalyst 2960 i w L3 Nexus 3548.
Chciałbym przekierować cały ruch na port, gdzie na serwerze mam zainstalowany VM z snort.
Wygląda to tak:
Komputer (komunikujący się z innym hostem) [Monitoring] -> [eth] Switch A -> [optic] Router A / B (Redundancja 2 routery) - > [optic] Switch B (Te 0/1) -> [eth] Server - > Virtual machine
W firmie mam redundancje routerów.
Czy da się przekierować cały ruch na port w switchu przez routery ?
Dziękuję za odpowiedzi Mateusz.
Monitoring sieci w warstwie L2 i L3
Re: Monitoring sieci w warstwie L2 i L3
Technologia ktorej szukasz nazywa sie ERSPAN.
Re: Monitoring sieci w warstwie L2 i L3
Dziękuję za podpowiedź
Próbowałem tej konfiguracji, ale nie wiem jak właściwie wyodrębnić cały ruch jako source i przekazać go dalej na switch i do portu.
W routerze mam wyodrębnione porty:
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/47(P) Eth1/48(P)
6 Po6(SD) Eth NONE --
7 Po7(SD) Eth LACP Eth1/13(D) Eth1/14(D)
8 Po8(SD) Eth LACP Eth1/15(D) Eth1/16(D)
9 Po9(SD) Eth LACP Eth1/17(D) Eth1/18(D)
10 Po10(SD) Eth LACP Eth1/19(D) Eth1/20(D)
13 Po13(SD) Eth LACP Eth1/25(D) Eth1/26(D)
14 Po14(SD) Eth LACP Eth1/27(D) Eth1/28(D)
15 Po15(SD) Eth LACP Eth1/29(D) Eth1/30(D)
16 Po16(SD) Eth LACP Eth1/31(D) Eth1/32(D)
18 Po18(SD) Eth LACP Eth1/35(D) Eth1/36(D)
19 Po19(SD) Eth LACP Eth1/37(D) Eth1/38(D)
20 Po20(SD) Eth LACP Eth1/39(D) Eth1/40(D)
21 Po21(SD) Eth NONE --
22 Po22(SD) Eth NONE --
101 Po101(SU) Eth LACP Eth1/1(P)
102 Po102(SU) Eth LACP Eth1/2(P)
103 Po103(SU) Eth LACP Eth1/3(P)
104 Po104(SD) Eth LACP Eth1/4(D)
105 Po105(SU) Eth LACP Eth1/5(P)
106 Po106(SU) Eth LACP Eth1/6(P)
145 Po145(SU) Eth LACP Eth1/45(P)
146 Po146(SU) Eth LACP Eth1/46(P)
W switchu mam ustawiony RSPAN:
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
2 enet 100002 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
300 enet 100300 1500 - - - - - 0 0
500 enet 100500 1500 - - - - - 0 0
800 enet 100800 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
800
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Próbowałem tej konfiguracji, ale nie wiem jak właściwie wyodrębnić cały ruch jako source i przekazać go dalej na switch i do portu.
W routerze mam wyodrębnione porty:
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/47(P) Eth1/48(P)
6 Po6(SD) Eth NONE --
7 Po7(SD) Eth LACP Eth1/13(D) Eth1/14(D)
8 Po8(SD) Eth LACP Eth1/15(D) Eth1/16(D)
9 Po9(SD) Eth LACP Eth1/17(D) Eth1/18(D)
10 Po10(SD) Eth LACP Eth1/19(D) Eth1/20(D)
13 Po13(SD) Eth LACP Eth1/25(D) Eth1/26(D)
14 Po14(SD) Eth LACP Eth1/27(D) Eth1/28(D)
15 Po15(SD) Eth LACP Eth1/29(D) Eth1/30(D)
16 Po16(SD) Eth LACP Eth1/31(D) Eth1/32(D)
18 Po18(SD) Eth LACP Eth1/35(D) Eth1/36(D)
19 Po19(SD) Eth LACP Eth1/37(D) Eth1/38(D)
20 Po20(SD) Eth LACP Eth1/39(D) Eth1/40(D)
21 Po21(SD) Eth NONE --
22 Po22(SD) Eth NONE --
101 Po101(SU) Eth LACP Eth1/1(P)
102 Po102(SU) Eth LACP Eth1/2(P)
103 Po103(SU) Eth LACP Eth1/3(P)
104 Po104(SD) Eth LACP Eth1/4(D)
105 Po105(SU) Eth LACP Eth1/5(P)
106 Po106(SU) Eth LACP Eth1/6(P)
145 Po145(SU) Eth LACP Eth1/45(P)
146 Po146(SU) Eth LACP Eth1/46(P)
W switchu mam ustawiony RSPAN:
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
2 enet 100002 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
300 enet 100300 1500 - - - - - 0 0
500 enet 100500 1500 - - - - - 0 0
800 enet 100800 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
800
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Re: Monitoring sieci w warstwie L2 i L3
Z tego co czytam ERSPAN działa tylko w L3, a ja potrzebuje przekazać ten ruch do warstwy L2.
Jest jakaś specjalna konfiguracja tego funkcji ?
Jest jakaś specjalna konfiguracja tego funkcji ?
Re: Monitoring sieci w warstwie L2 i L3
Tak mam skonfigurowane na routerze. Czy destination-ip to ma być host sniffera ? Czy ip switcha ?
Czy origin-ip jest Gateway ?
type : erspan-source
state : down (No valid VRF)
erspan-id : 100
granularity : 100 microseconds
vrf-name : vrf-name not specified
acl-name : acl-name not specified
ip-ttl : 255
ip-dscp : 0
header-type : 2
destination-ip : x.x.x.12
origin-ip : x.x.x.10 (global)
source intf :
rx : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
tx : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
both : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
source VLANs :
rx :
tx :
both :
filter VLANs : filter not specified
source fwd drops :
marker-packet : disabled
packet interval : 1
packet sent : 0
packet failed : 0
egress-intf :
PFC On Interfaces :
source VSANs :
rx :
tx control-packet filter : disabled
Czy origin-ip jest Gateway ?
type : erspan-source
state : down (No valid VRF)
erspan-id : 100
granularity : 100 microseconds
vrf-name : vrf-name not specified
acl-name : acl-name not specified
ip-ttl : 255
ip-dscp : 0
header-type : 2
destination-ip : x.x.x.12
origin-ip : x.x.x.10 (global)
source intf :
rx : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
tx : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
both : Po1 Po6 Po7 Po8
Po9 Po10 Po13 Po14
Po15 Po16 Po18 Po19
Po20 Po21 Po22 Po101
Po102 Po103 Po104 Po105
Po106 Po145 Po146
source VLANs :
rx :
tx :
both :
filter VLANs : filter not specified
source fwd drops :
marker-packet : disabled
packet interval : 1
packet sent : 0
packet failed : 0
egress-intf :
PFC On Interfaces :
source VSANs :
rx :
tx control-packet filter : disabled
Re: Monitoring sieci w warstwie L2 i L3
Po majówce udało mi się skonfigurować ERSPAN tak jak pisałeś wcześniej. Nie wiem dlaczego wcześniej nie działało to.
Dziękuję za podpowiedź
Dziękuję za podpowiedź