Existe uma maneira de superar a limitação da sessão de 2 monitores da Cisco em um VSS 6500 sem o uso de um toque de rede?
Respostas:
Se é como a maioria dos switches de hardware, não. Apenas uma "sessão de monitor" pode estar ativa por vez, embora a configuração possa armazenar duas.
Usando vlans e hardware de filtragem externo (gigamon?), Você pode ter uma sessão despejando todo o tráfego que deseja ver, mas essa ainda é uma sessão. (e um toque na rede seria mais barato)
Infelizmente não.
A Anue Systems faz uma solução muito eficiente que permite que você repasse todo o seu span ou toque o tráfego e depois "troque" esse tráfego com base em suas regras para suas várias ferramentas que normalmente utilizariam uma porta de span.
Tenho certeza de que existem outros fornecedores que fornecem uma solução semelhante, mas fiquei impressionado com este em particular.
Na plataforma Cisco 6500/7600, você tem duas opções adicionais de espelhamento que podem ser usadas junto ou para substituir o SPAN. A vantagem desses dois métodos alternativos é que o espelhamento é realizado no hardware (ASIC), para que não afete a CPU, como o SPAN. A desvantagem dessas técnicas de espelhamento é que elas podem espelhar apenas a entrada nas interfaces. Com o planejamento inteligente de várias interfaces de origem ou de uma VLAN inteira, você ainda pode obter tráfego bidirecional, se necessário.
Para interfaces L2 (switchports ou VLANs em que o roteamento não está ocorrendo no switch), use a VACL Capture Observe que isso exige uma regra no mapa da Vlan para permitir todo o tráfego, tenha cuidado para não bloquear o tráfego que você está espelhando!
Para interfaces L3 (portas L3, SVIs, sub-seções), use o MLS IP IDS . Isso não requer os módulos CBAC ou firewall, funciona em uma base 6500.