From 889869054f227e170eebddea85b363c9c81a2600 Mon Sep 17 00:00:00 2001 From: jdubois Date: Fri, 4 Aug 2017 10:53:44 +0200 Subject: [PATCH] ajout port mirroring --- SwitchCisco.md | 62 +++++++++++++++++++++++++++++++++++++++++++++++++- 1 file changed, 61 insertions(+), 1 deletion(-) diff --git a/SwitchCisco.md b/SwitchCisco.md index ea0b24c5..90614c67 100644 --- a/SwitchCisco.md +++ b/SwitchCisco.md @@ -753,7 +753,7 @@ Switch(config)#interface GigabitEthernet0/28 Switch(config-if)#no spanning-tree portfast ~~~ -### rate-limiting +### Rate-limiting On peut forcer un port à rate-limiter à 10, 20, 30.... ou 90% de sa capacité. @@ -778,6 +778,66 @@ The port bandwidth limit : 10 (Operational Bandwidth:11.12) The port is mapped to qset : 1 ~~~ +### Port mirroring + +Activer le port mirroring, en copiant la sortie des ports G0/1 à G0/3 vers le port G0/5, et en gardant la même encapsulation : + +~~~ +Switch(config)#monitor session 1 source interface g0/1 - 3 tx +Switch(config)#monitor session 1 destination interface g0/5 encapsulation replicate +~~~ + +On peut aussi mirrorer tout ce qui passe dans un vlan particulier : + +~~~ +Switch(config)#monitor session 1 source vlan 2 , 5 +Switch(config)#monitor session 1 destination interface g0/5 encapsulation replicate +~~~ + +Désactiver le port mirroring : + +~~~ +Switch(config)#no monitor session 1 +~~~ + +#### Copier la transmission ou la réception + +Sans aucun des deux mots clefs `rx` ou `tx`, la réception et la transmission sont tous les deux mirrorés. Il faut préciser `tx` si on ne veut mirrorer que ce qui sort du port, ou `rx` si on ne veut mirrorer que ce qui rentre dans le port. + +Si on veut monitorer à la fois un port en tx et un autre en rx : + +~~~ +Switch(config)#monitor session 1 source interface g0/1 tx +Switch(config)#monitor session 1 source interface g0/2 rx +~~~ + +La deuxième commande n'écrase pas la première, mais la configuration s'additionne. + +#### Encapsulation replicate + +Par défaut, le port mirroring renvoie tout le trafic vers l'interface de destination de façon non étiqueté (sans aucun marquage de VLAN), et sans les protocoles de niveau 2 : CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol), DTP (Dynamic Trunk Protocol), STP (Spanning Tree Protocol) et PAgP (Port Aggregation Protocol). + +En rajoutant le mot clef `encapsulation replicate`, les paquets sont envoyés en gardant le même étiquetage VLAN qu'à la source, et les protocoles de niveau 2 sont également copiés. + +#### Filtrer les vlan + +Si un port source est un port trunk dans lequel passent les VLAN 2, 3, 4, 5 et 6, mais que l'on ne veut mirrorer que les VLAN 3 et 5 : + +~~~ +Switch(config)#monitor session 1 filter 3 , 5 +~~~ + +Si parmi les ports source, l'un est en mode trunk et l'autre est en mode access, seul la source en trunk est affectée par ce filtre. + +#### Autoriser un IDS/IPS à agir sur ce qu'il voit + +L'IDS/IPS derrière la destination du port mirroring peut être configuré pour agir sur ce qu'il reçoit, et être ainsi capable d'envoyer par exemple un reset d'une connexion TCP qu'il a detecté comme étant indésirable. Le port de destination doit alors être autorisé à recevoir des paquets de l'IDS/IPS : + +~~~ +Switch(config)#monitor session 1 source interface g0/1 , g0/5 +Switch(config)#monitor session 1 destination interface g0/15 ingress vlan 15 +~~~ + ### Cisco L3 #### DHCP relay sur plusieurs VLANs