evolix
/
wiki
19
0
Fork 0
Code Releases Activity

ajout port mirroring

This commit is contained in:
jdubois 2017-08-04 10:53:44 +02:00
parent d7736b6bb6
commit 889869054f
1 changed files with 61 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

62
SwitchCisco.md
View File

@ -753,7 +753,7 @@ Switch(config)#interface GigabitEthernet0/28
Switch(config-if)#no spanning-tree portfast
~~~
### rate-limiting
### Rate-limiting
On peut forcer un port à rate-limiter à 10, 20, 30.... ou 90% de sa capacité.
@ -778,6 +778,66 @@ The port bandwidth limit : 10 (Operational Bandwidth:11.12)
The port is mapped to qset : 1
~~~
### Port mirroring
Activer le port mirroring, en copiant la sortie des ports G0/1 à G0/3 vers le port G0/5, et en gardant la même encapsulation :
~~~
Switch(config)#monitor session 1 source interface g0/1 - 3 tx
Switch(config)#monitor session 1 destination interface g0/5 encapsulation replicate
~~~
On peut aussi mirrorer tout ce qui passe dans un vlan particulier :
~~~
Switch(config)#monitor session 1 source vlan 2 , 5
Switch(config)#monitor session 1 destination interface g0/5 encapsulation replicate
~~~
Désactiver le port mirroring :
~~~
Switch(config)#no monitor session 1
~~~
#### Copier la transmission ou la réception
Sans aucun des deux mots clefs `rx` ou `tx`, la réception et la transmission sont tous les deux mirrorés. Il faut préciser `tx` si on ne veut mirrorer que ce qui sort du port, ou `rx` si on ne veut mirrorer que ce qui rentre dans le port.
Si on veut monitorer à la fois un port en tx et un autre en rx :
~~~
Switch(config)#monitor session 1 source interface g0/1 tx
Switch(config)#monitor session 1 source interface g0/2 rx
~~~
La deuxième commande n'écrase pas la première, mais la configuration s'additionne.
#### Encapsulation replicate
Par défaut, le port mirroring renvoie tout le trafic vers l'interface de destination de façon non étiqueté (sans aucun marquage de VLAN), et sans les protocoles de niveau 2 : CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol), DTP (Dynamic Trunk Protocol), STP (Spanning Tree Protocol) et PAgP (Port Aggregation Protocol).
En rajoutant le mot clef `encapsulation replicate`, les paquets sont envoyés en gardant le même étiquetage VLAN qu'à la source, et les protocoles de niveau 2 sont également copiés.
#### Filtrer les vlan
Si un port source est un port trunk dans lequel passent les VLAN 2, 3, 4, 5 et 6, mais que l'on ne veut mirrorer que les VLAN 3 et 5 :
~~~
Switch(config)#monitor session 1 filter 3 , 5
~~~
Si parmi les ports source, l'un est en mode trunk et l'autre est en mode access, seul la source en trunk est affectée par ce filtre.
#### Autoriser un IDS/IPS à agir sur ce qu'il voit
L'IDS/IPS derrière la destination du port mirroring peut être configuré pour agir sur ce qu'il reçoit, et être ainsi capable d'envoyer par exemple un reset d'une connexion TCP qu'il a detecté comme étant indésirable. Le port de destination doit alors être autorisé à recevoir des paquets de l'IDS/IPS :
~~~
Switch(config)#monitor session 1 source interface g0/1 , g0/5
Switch(config)#monitor session 1 destination interface g0/15 ingress vlan 15
~~~
### Cisco L3
#### DHCP relay sur plusieurs VLANs