Я создаю лабораторию сетевой безопасности и хочу отслеживать все пакеты, исходящие и входящие в сеть. Я получу восходящий канал со скоростью 2 Гбит / с в качестве канала с завершением на коммутаторе CISCO 3750 и / 24, другой конец - это 6500, который работает в производстве. Теперь у меня есть машина с двумя сетевыми адаптерами 1 Гбит / с, и я хочу использовать ее для регистрации трафика с минимальными изменениями в 6500, от которого зависит наша сеть.
Как лучше всего это сделать с точки зрения сетевой структуры?
Я подумал об использовании SPAN на стороне 3750 для зеркалирования трафика на мой регистратор пакетов. Но это означает, что система не будет работать в нашем центре обработки данных.
Я думал использовать только 1 Гбит / с и настроить систему как мост, но это привело бы к еще одному штрафу за пропускную способность / задержку на канале.
Мне не терпится создать SPAN на 6500, потому что в соответствующем документе CISCO говорится, что это увеличит нагрузку (что недопустимо).
Я что-то упустил? Есть другие предложения? Может быть, использовать систему как роутер для / 24? Но тогда я бы застрял на 1 Гбит / сек.
Я успешно использовал Span на Cat6k с Sup720. Также существует удобная опция под названием RSPAN, которая инкапсулирует пакеты SPAN в кадр UDP и позволяет им отправлять их на машину в другом месте сети.
Вы не упоминаете, сколько у вас активного трафика по ссылке, которую вы хотите захватить.
Полные tcpdumps для ачивания быстро заполнятся.
Посчитайте: 100 Мбит / с - 12,5 Мбит / с - 45 ГБ / час или примерно 1 ТБ / день.
Ключевым моментом будет удаление нежелательной информации как можно скорее.
Включите диапазон в нерабочее время и посмотрите, как изменится загрузка вашего процессора.
Я считаю, что вы также можете SPAN только трафик, соответствующий определенным профилям (например, только порт 80)
Если у вас есть деньги, которые можно потратить, вы можете приобрести Ethernet Tap. Вот один из Blackbox, который делает 10/100/1000. (вы не указали, какой тип межсоединения вы использовали,)
Когда вы говорите, что хотите отслеживать весь трафик, входящий или исходящий из вашей сети, я предполагаю, что вы имеете в виду интернет-трафик, а не интранет-трафик, верно? Если это так, вы можете посмотреть на настройку Netflow на интерфейсе, который является входом / выходом для вашей сети, и экспортировать данные потока в коллектор Netflow.