Из того, что я прочитал, вы можете использовать монитор коммутатора на ASA 5505, чтобы настроить Span-порт, поскольку задняя часть ASA фактически является коммутатором.
На моем 5520 я не вижу переключатель команда, указанная при выдаче? через интерфейс командной строки. Как люди отслеживают трафик на не-5505? Моя цель - подключить наше устройство IDS / IPS, которое работает в беспорядочном режиме, к порту Ethernet на 5520 для мониторинга трафика WAN.
Я не хочу пропускать WAN-трафик через коммутатор, поскольку для этого мне потребовалось бы получить два (для избыточности) коммутатора с поддержкой STP / switchport. Кроме того, на устройстве установлен модуль 4GE SSM для оптоволоконного подключения к глобальной сети, поэтому добавление модуля IPS не является вариантом.
Наша система IPS - это Cisco IPS 4240. Будет ли другой вариант иметь Netflow или подробные сообщения системного журнала, отправленные на устройство IPS?
Руководство по настройке доступа к коммутатору на 5505: http://www.wr-mem.com/?p=66
Это возможно на модели 5505, но не на модели 5510 или выше, поскольку нет встроенного переключателя:
http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
(См. Раздел «интегрированные порты»)
Чтобы установить его на 5505:
ciscoasa> ru
ciscoasa # conf t
ciscoasa (конфигурация) # int eth0 / 0
ciscoasa (config-if) # монитор коммутатора eth0 / 1
Где eth0 / 0 - ваш порт IDS, а eth0 / 1 - интерфейс, который вы хотите отслеживать.
Для мониторинга интерфейса с 5510 или выше вам понадобится отдельный коммутатор с возможностями SPAN.
Как вы выяснили, вы не можете сделать это с более высокой моделью ASA. Большинство людей либо будут использовать модули IPS, которые можно вставить в слоты расширения ASA, либо распределить трафик на коммутаторе перед межсетевым экраном (или в любом другом удобном месте).