¿Hay alguna manera de superar la limitación de sesión de monitor 2 de Cisco en un VSS 6500 sin el uso de un tap de red?
Respuestas:
Si es como la mayoría de los interruptores de hardware, no. Solo una "sesión de monitor" puede estar activa a la vez, aunque la configuración puede almacenar dos.
Usando vlans y hardware de filtrado externo (¿gigamon?), Podría tener una sesión volcando todo el tráfico que desea ver, pero aún así es una sesión. (y un toque de red sería más barato)
Lamentablemente no.
Anue Systems hace una solución muy ingeniosa que le permite pasar todo su tramo o aprovechar el tráfico y luego "cambiar" ese tráfico en función de sus reglas a sus diversas herramientas que normalmente utilizarían un puerto de tramo.
Estoy seguro de que hay otros proveedores que ofrecen una solución similar, pero esta me impresionó.
En la plataforma Cisco 6500/7600, tiene dos opciones de duplicación adicionales que se pueden usar junto con SPAN o para reemplazarlo. La ventaja de estos dos métodos alternativos es que la duplicación se realiza en hardware (ASIC) para que no afecte a la CPU como lo hace SPAN. La desventaja de estas técnicas de duplicación es que solo pueden duplicar la entrada en las interfaces. Con la planificación inteligente de múltiples interfaces de origen, o una VLAN completa, aún puede obtener tráfico bidireccional si es necesario.
Para las interfaces L2 (puertos de conmutador o VLAN donde no se produce enrutamiento en el conmutador), utilice VACL Capture. Tenga en cuenta que esto requiere una regla en el mapa de Vlan para permitir todo el tráfico, ¡tenga cuidado de no bloquear el tráfico que no sea el tráfico que está duplicando!
Para las interfaces L3 (puertos L3, SVI, subints) use MLS IP IDS . Esto no requiere los módulos CBAC o firewall, funciona en una base 6500.