URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20894
[ Назад ]

Исходное сообщение
"Завернуть трафик с serial портов"
Отправлено Sergey Kaleev , 16-Апр-10 23:46

Хочется странного наверно. Есть маршрутизаторы работающие на магистральных каналах Cisco 7206vxr и Cisco 3745. Есть великое желание использовать пассивный IDS типа snort для анализа трафика на предмет разных гадостей в трафике. Возможно ли каким-нибудь образом получить трафик для анализа с serial портов? Типа как на коммутаторах зеркалирование портов. Только снимать нужно именно с serial. Сетка достаточно большая и сии вышеуказанные маршрутизаторы соединены потоками E1 с другими маршрутизаторами и нужно контролировать именно магистральные порты. Копание в интернете пока не привело к успешному результату, такое ощущение что это невозможно в принципе :-(

Содержание

Завернуть трафик с serial портов,vladin, 00:53 , 17-Апр-10
Завернуть трафик с serial портов,Myxa, 12:46 , 17-Апр-10
Завернуть трафик с serial портов,frob, 07:00 , 18-Апр-10
- Завернуть трафик с serial портов,ShyLion, 09:25 , 19-Апр-10
  - Завернуть трафик с serial портов,frob, 09:51 , 19-Апр-10
  - Завернуть трафик с serial портов,Sergey Kaleev, 18:48 , 20-Апр-10
    - Завернуть трафик с serial портов,ShyLion, 18:52 , 20-Апр-10

Сообщения в этом обсуждении

"Завернуть трафик с serial портов"
Отправлено vladin , 17-Апр-10 00:53

>такое ощущение что это невозможно в принципе
Так и есть https://supportforums.cisco.com/thread/151248
Теоретически можно врезаться в соединительный кабель
другим портом для приема. Если поднимется физика, не факт что
поднимется протокол. Например для ppp важно пройти все согласования,
в которых есть magic числа и нажен полноценный двухсторонний
обмен, а не односторонняя "прослушка", т.е. третий будет лишний :)
frame-relay может подняться, но на приемном порту надо прописать
все сабы и потом правильно слить принятый трафик на анализатор.
с hdlc нет опыта, не скажу
если на портах frame-relay, то проще пробросить его через туннель
и поймать данные в gre оболочке в езернете

"Завернуть трафик с serial портов"
Отправлено Myxa , 17-Апр-10 12:46

Дык, может лучше приобрести аппаратный IDS? он для этого и предназначен

"Завернуть трафик с serial портов"
Отправлено frob , 18-Апр-10 07:00

Сюда смотрели?
http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht...

"Завернуть трафик с serial портов"
Отправлено ShyLion , 19-Апр-10 09:25

>Сюда смотрели?
>
>http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht...
лучше так наверное:
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html

"Завернуть трафик с serial портов"
Отправлено frob , 19-Апр-10 09:51

>лучше так наверное:
>http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html
Да, разумеется.

"Завернуть трафик с serial портов"
Отправлено Sergey Kaleev , 20-Апр-10 18:48

>>Сюда смотрели?
>>
>>http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht...
>
>лучше так наверное:
>
>http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html
Однако там написано
"IP traffic capture is supported only on the Cisco 1841, Cisco 2800 series, and Cisco 3800 series integrated services routers."
А мне надо бы с Cisco 7206, 3745. Или на сих маршрутизаторах боятся что нагрузка слишком большая будет?

"Завернуть трафик с serial портов"
Отправлено ShyLion , 20-Апр-10 18:52

>[оверквотинг удален]
>>лучше так наверное:
>>
>>http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html
>
>Однако там написано
>"IP traffic capture is supported only on the Cisco 1841, Cisco 2800
>series, and Cisco 3800 series integrated services routers."
>
>А мне надо бы с Cisco 7206, 3745. Или на сих маршрутизаторах
>боятся что нагрузка слишком большая будет?
Надо смотреть по фича-нафигатору. Утверждение выше относится к конкретному релизу ИОСа.