URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9414
[ Назад ]

Исходное сообщение
"Span порт на Catalyst 3750"

Отправлено dex , 15-Дек-05 09:40 
Привет Всем!

Создал SPAN порт на каталисте 3750 для подключения к нему IDS
Порт, который мониториться, работает в режиме роутера.

Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?


Содержание

Сообщения в этом обсуждении
"Span порт на Catalyst 3750"
Отправлено ilya , 15-Дек-05 09:59 
>Привет Всем!
>
>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>Порт, который мониториться, работает в режиме роутера.
>
>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>
а какой IDS используется?

и обратите внимание на sh int порта находящийся в режиме мониоринга (куда подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном режиме.


"Span порт на Catalyst 3750"
Отправлено dex , 15-Дек-05 10:07 
>>Привет Всем!
>>
>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>Порт, который мониториться, работает в режиме роутера.
>>
>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>
>а какой IDS используется?
ISS RealSecure
>
>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>режиме.
Вот и хочется это обойти



"Span порт на Catalyst 3750"
Отправлено ilya , 15-Дек-05 10:23 
>>>Привет Всем!
>>>
>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>Порт, который мониториться, работает в режиме роутера.
>>>
>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>
>>а какой IDS используется?
>ISS RealSecure
>>
>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>режиме.
>Вот и хочется это обойти

два варианта
1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
2. использовать не ids а ips.


"Span порт на Catalyst 3750"
Отправлено dex , 15-Дек-05 10:40 
>>>>Привет Всем!
>>>>
>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>Порт, который мониториться, работает в режиме роутера.
>>>>
>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>
>>>а какой IDS используется?
>>ISS RealSecure
>>>
>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>режиме.
>>Вот и хочется это обойти
>
>два варианта
>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>2. использовать не ids а ips.

Оба варианта не устраивают
Хочется сделать на одном интерфейсе


"Span порт на Catalyst 3750"
Отправлено ilya , 15-Дек-05 10:51 
>>>>>Привет Всем!
>>>>>
>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>
>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>
>>>>а какой IDS используется?
>>>ISS RealSecure
>>>>
>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>режиме.
>>>Вот и хочется это обойти
>>
>>два варианта
>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>2. использовать не ids а ips.
>
>Оба варианта не устраивают
>Хочется сделать на одном интерфейсе

Если получится, дайте плз знать.


"Span порт на Catalyst 3750"
Отправлено buzz , 15-Дек-05 16:27 
>>>>>>Привет Всем!
>>>>>>
>>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>>
>>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>>
>>>>>а какой IDS используется?
>>>>ISS RealSecure
>>>>>
>>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>>режиме.
>>>>Вот и хочется это обойти
>>>
>>>два варианта
>>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>>2. использовать не ids а ips.
>>
>>Оба варианта не устраивают
>>Хочется сделать на одном интерфейсе
>
>Если получится, дайте плз знать.
Как раз на этой неделе пробовали в ISS - все получается. Читай



"Span порт на Catalyst 3750"
Отправлено buzz , 15-Дек-05 16:28 
>>>>>>>Привет Всем!
>>>>>>>
>>>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>>>
>>>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>>>
>>>>>>а какой IDS используется?
>>>>>ISS RealSecure
>>>>>>
>>>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>>>режиме.
>>>>>Вот и хочется это обойти
>>>>
>>>>два варианта
>>>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>>>2. использовать не ids а ips.
>>>
>>>Оба варианта не устраивают
>>>Хочется сделать на одном интерфейсе
>>
>>Если получится, дайте плз знать.
>Как раз на этой неделе пробовали в ISS - все получается. Читай
>
Сорри. Почитайте про опцию ingress в monitor session


"Span порт на Catalyst 3750"
Отправлено dex , 16-Дек-05 06:50 
>>>>>>>>Привет Всем!
>>>>>>>>
>>>>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>>>>
>>>>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>>>>
>>>>>>>а какой IDS используется?
>>>>>>ISS RealSecure
>>>>>>>
>>>>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>>>>режиме.
>>>>>>Вот и хочется это обойти
>>>>>
>>>>>два варианта
>>>>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>>>>2. использовать не ids а ips.
>>>>
>>>>Оба варианта не устраивают
>>>>Хочется сделать на одном интерфейсе
>>>
>>>Если получится, дайте плз знать.
>>Как раз на этой неделе пробовали в ISS - все получается. Читай
>>
>Сорри. Почитайте про опцию ingress в monitor session

А можно привести пример?
У меня сорц порт в режиме роутера работает



"Span порт на Catalyst 3750"
Отправлено buzz , 16-Дек-05 09:05 
>>>>>>>>>Привет Всем!
>>>>>>>>>
>>>>>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>>>>>
>>>>>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>>>>>
>>>>>>>>а какой IDS используется?
>>>>>>>ISS RealSecure
>>>>>>>>
>>>>>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>>>>>режиме.
>>>>>>>Вот и хочется это обойти
>>>>>>
>>>>>>два варианта
>>>>>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>>>>>2. использовать не ids а ips.
>>>>>
>>>>>Оба варианта не устраивают
>>>>>Хочется сделать на одном интерфейсе
>>>>
>>>>Если получится, дайте плз знать.
>>>Как раз на этой неделе пробовали в ISS - все получается. Читай
>>>
>>Сорри. Почитайте про опцию ingress в monitor session
>
>А можно привести пример?
>У меня сорц порт в режиме роутера работает
Сейчас под рукой 3750 нет, но на 2950 работает:
monitor session session_number destination {interface interface-id [, | -] [encapsulation replicate] [ingress {dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan vlan-id}]}

http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3750/...



"Span порт на Catalyst 3750"
Отправлено dex , 16-Дек-05 09:09 
>>>>>>>>>>Привет Всем!
>>>>>>>>>>
>>>>>>>>>>Создал SPAN порт на каталисте 3750 для подключения к нему IDS
>>>>>>>>>>Порт, который мониториться, работает в режиме роутера.
>>>>>>>>>>
>>>>>>>>>>Как настроить, чтобы tcp reset с IDS попадали на порт который мониторим?
>>>>>>>>>>
>>>>>>>>>а какой IDS используется?
>>>>>>>>ISS RealSecure
>>>>>>>>>
>>>>>>>>>и обратите внимание на sh int порта находящийся в режиме мониоринга (куда
>>>>>>>>>подклюен ваш ИДС). на каталисте этот порт работает только в однонаправленном
>>>>>>>>>режиме.
>>>>>>>>Вот и хочется это обойти
>>>>>>>
>>>>>>>два варианта
>>>>>>>1. Подключить управляющий интерфейс сенсора в сегмент куда можно/нужно посылать килы.
>>>>>>>2. использовать не ids а ips.
>>>>>>
>>>>>>Оба варианта не устраивают
>>>>>>Хочется сделать на одном интерфейсе
>>>>>
>>>>>Если получится, дайте плз знать.
>>>>Как раз на этой неделе пробовали в ISS - все получается. Читай
>>>>
>>>Сорри. Почитайте про опцию ingress в monitor session
>>
>>А можно привести пример?
>>У меня сорц порт в режиме роутера работает
>Сейчас под рукой 3750 нет, но на 2950 работает:
>monitor session session_number destination {interface interface-id [, | -] [encapsulation replicate] [ingress
>{dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan
>vlan-id}]}
>
>http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3750/...

У меня сорц порт работает в режиме роутера

А тут разговор только про вланы
" [ingress {dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan
vlan-id}]}"


"Span порт на Catalyst 3750"
Отправлено buzz , 16-Дек-05 09:36 
RST будет слаться через destination, а не через source. Я на 3750 не пробовал, но по идее должно работать. RSN-то шлет RSKill?
А Вы попробойте через ingress, мне кажется заработает.

"Span порт на Catalyst 3750"
Отправлено dex , 16-Дек-05 10:29 
>RST будет слаться через destination, а не через source. Я на 3750
>не пробовал, но по идее должно работать. RSN-то шлет RSKill?
>А Вы попробойте через ingress, мне кажется заработает.

Что я совсем запутался

Я создал SPAN
В ней
Сорц. порт - внешний порт , который надо мониторить ( работает на третьем уровне )
Дест. порт - порт к которому поключен IDS

Надо чтобы IDS мог слать tcp reset, через свой интерфейс мониторинга.

То есть в терминах SPAN сессии, трафик должен ходить в обоих направлениях
От сорц порта до дест порта и обратно.

Как попробовать через ingress?
У него в параметры только до вланов
У меня же сорц порт на третьем уровне  
  



"Span порт на Catalyst 3750"
Отправлено buzz , 19-Дек-05 13:30 
Извините, что долго не отвечал.
К сожалению, у меня нет возможности самому понастраивать 3750, но мне кажется что возможно настроить его на проброс RSKill. У вас ведь ходят пакеты между портами из VLAN через этот интерфейс третьего уровня? Ходят.. Так почему RSKill не долны ходить?