https://opennet.me/openforum/vsluhforumID6/20894.html Хочется странного наверно. Есть маршрутизаторы работающие на магистральных каналах Cisco 7206vxr и Cisco 3745. Есть великое желание использовать пассивный IDS типа snort для анализа трафика на предмет разных гадостей в трафике. Возможно ли каким-нибудь образом получить трафик для анализа с serial портов? Типа как на коммутаторах зеркалирование портов. Только снимать нужно именно с serial. Сетка достаточно большая и сии вышеуказанные маршрутизаторы соединены потоками E1 с другими маршрутизаторами и нужно контролировать именно магистральные порты. Копание в интернете пока не привело к успешному результату, такое ощущение что это невозможно в принципе :-(<br> https://opennet.me/openforum/vsluhforumID6/20894.html#7 Tue, 20 Apr 2010 14:52:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;лучше так наверное: <br>&gt;&gt;<br>&gt;&gt;http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html <br>&gt;<br>&gt;Однако там написано <br>&gt;"IP traffic capture is supported only on the Cisco 1841, Cisco 2800 <br>&gt;series, and Cisco 3800 series integrated services routers." <br>&gt;<br>&gt;А мне надо бы с Cisco 7206, 3745. Или на сих маршрутизаторах <br>&gt;боятся что нагрузка слишком большая будет? <br><br>Надо смотреть по фича-нафигатору. Утверждение выше относится к конкретному релизу ИОСа.<br> https://opennet.me/openforum/vsluhforumID6/20894.html#6 Tue, 20 Apr 2010 14:48:51 GMT &gt;&gt;Сюда смотрели? <br>&gt;&gt;<br>&gt;&gt;http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht_rawip.html <br>&gt;<br>&gt;лучше так наверное: <br>&gt;<br>&gt;http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html <br><br>Однако там написано<br>"IP traffic capture is supported only on the Cisco 1841, Cisco 2800 series, and Cisco 3800 series integrated services routers."<br><br>А мне надо бы с Cisco 7206, 3745. Или на сих маршрутизаторах боятся что нагрузка слишком большая будет?<br> https://opennet.me/openforum/vsluhforumID6/20894.html#5 Mon, 19 Apr 2010 05:51:47 GMT &gt;лучше так наверное: <br>&gt;http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html <br><br>Да, разумеется.<br> https://opennet.me/openforum/vsluhforumID6/20894.html#4 Mon, 19 Apr 2010 05:25:28 GMT &gt;Сюда смотрели? <br>&gt;<br>&gt;http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht_rawip.html <br><br>лучше так наверное:<br><br>http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html<br> https://opennet.me/openforum/vsluhforumID6/20894.html#3 Sun, 18 Apr 2010 03:00:51 GMT Сюда смотрели?<br><br>http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht_rawip.html<br> https://opennet.me/openforum/vsluhforumID6/20894.html#2 Sat, 17 Apr 2010 08:46:13 GMT Дык, может лучше приобрести аппаратный IDS? он для этого и предназначен<br><br> https://opennet.me/openforum/vsluhforumID6/20894.html#1 Fri, 16 Apr 2010 20:53:36 GMT &gt;такое ощущение что это невозможно в принципе <br><br>Так и есть https://supportforums.cisco.com/thread/151248<br><br>Теоретически можно врезаться в соединительный кабель<br>другим портом для приема. Если поднимется физика, не факт что<br>поднимется протокол. Например для ppp важно пройти все согласования,<br>в которых есть magic числа и нажен полноценный двухсторонний<br>обмен, а не односторонняя "прослушка", т.е. третий будет лишний :)<br><br>frame-relay может подняться, но на приемном порту надо прописать<br>все сабы и потом правильно слить принятый трафик на анализатор.<br><br>с hdlc нет опыта, не скажу<br><br>если на портах frame-relay, то проще пробросить его через туннель<br>и поймать данные в gre оболочке в езернете<br>