Как лучше всего отслеживать весь трафик подсети с помощью инфраструктуры CISCO?

Question

Как лучше всего отслеживать весь трафик подсети с помощью инфраструктуры CISCO?

Я нахожусь в процессе настройки лаборатории сетевой безопасности и хочу отслеживать все пакеты, выходящие и входящие в сеть. Я получу восходящую линию 2 Гбит / с, так как канал завершен на коммутаторе CISCO 3750, а /24, другой конец - 6500, который запущен в производство. Теперь у меня есть машина с двумя сетевыми картами 1 Гбит / с, и я хочу использовать ее для регистрации трафика с минимальными изменениями 6500, от которых зависит наша сеть.

Каков наилучший способ с точки зрения структуры сети сделать это?

Я думал об использовании SPAN на стороне 3750, чтобы отразить трафик на мой регистратор пакетов. Но это означает, что система не будет работать в нашем центре обработки данных.

Я думал об использовании только 1 Гбит / с и настройке системы в качестве моста, но это добавило бы еще одно ограничение пропускной способности / задержки для канала.

Я немного беспокоюсь о создании SPAN на 6500, потому что в соответствующем документе CISCO говорится, что это увеличит нагрузку (что не разрешено).

Я что-то здесь упускаю? Любые другие предложения? Может быть, использовать систему в качестве маршрутизатора для /24? Но тогда я бы застрял с 1 Гбит / с.

0

networking cisco packet-sniffer

Источник

leto 16 апр '11 в 10:50

2 ответа

Другие вопросы по тегам networking cisco packet-sniffer

joeqwerty 16 апр '11 в 12:59 2011-04-16 12:59 · Answer 1 · 2011-04-16 12:59

Когда вы говорите, что хотите отслеживать весь трафик, входящий или выходящий из вашей сети, я предполагаю, что вы имеете в виду интернет-трафик, а не трафик внутри сети, верно? Если это так, вы можете посмотреть на настройку Netflow на интерфейсе, который является входом / выходом для вашей сети, и экспортировать данные потока в коллектор Netflow.

Joel K 06 июл '11 в 04:48 2011-07-06 04:48 · Answer 2 · 2011-07-06 04:48

Я успешно запустил span на Cat6k с Sup720. Есть также удобная опция, называемая RSPAN, которая инкапсулирует пакеты SPAN в кадр UDP и позволяет им отправлять их на компьютер в другом месте сети.

Вы не упоминаете, сколько активного трафика у вас есть на ссылке, которую вы хотите захватить.

Полные tcpdumps для achival быстро заполнятся.

Посчитайте: 100 Мбит / с - это 12,5 Мбит / с, это 45 ГБ / час или примерно 1 ТБ / день.

Удаление нежелательной информации как можно скорее будет ключевым.

Включите диапазон в нерабочее время и посмотрите, как меняется нагрузка на ваш процессор.

Я считаю, что вы также можете SPAN только трафик, соответствующий определенным профилям (например, только порт 80)

Если у вас есть деньги, которые вы можете потратить, вы можете получить крана Ethernet. Вот один из Blackbox, который делает 10/100/1000. (вы не указали, какой тип соединения вы использовали,)