https://wiki.blaxeen.com/index.php?action=history&feed=atom&title=Port_mirroring_sur_6500Port mirroring sur 6500 - Historique des versions2026-04-18T12:38:57ZHistorique des révisions pour cette page sur le wikiMediaWiki 1.36.1https://wiki.blaxeen.com/index.php?title=Port_mirroring_sur_6500&diff=697&oldid=prev217.174.199.129 le 18 octobre 2010 à 16:442010-10-18T16:44:09Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="fr">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version du 18 octobre 2010 à 16:44</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l121">Ligne 121 :</td>
<td colspan="2" class="diff-lineno">Ligne 121 :</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>On peut aussi appliquer une [[Limitation de bande passante sur Catalyst|limitation de bande passante]].</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>On peut aussi appliquer une [[Limitation de bande passante sur Catalyst|limitation de bande passante]].</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>[[Catégorie:Network<del style="font-weight: bold; text-decoration: none;">-Clara</del>]]</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>[[Catégorie:Network]]</div></td></tr>
</table>217.174.199.129https://wiki.blaxeen.com/index.php?title=Port_mirroring_sur_6500&diff=64&oldid=prev212.43.232.68 : Page créée avec « ==Commandes== <pre> fb-ar1#show monitor No SPAN configuration is present in the system. </pre> ==Session SPAN== <pre> monitor session 1 source interface Fa3/11 rx monit... »2009-03-03T13:57:38Z<p>Page créée avec « ==Commandes== <pre> fb-ar1#show monitor No SPAN configuration is present in the system. </pre> ==Session SPAN== <pre> monitor session 1 source interface Fa3/11 rx monit... »</p>
<p><b>Nouvelle page</b></p><div>==Commandes==<br />
<br />
<pre><br />
fb-ar1#show monitor<br />
No SPAN configuration is present in the system.<br />
</pre><br />
<br />
<br />
<br />
==Session SPAN==<br />
<br />
<pre><br />
monitor session 1 source interface Fa3/11 rx<br />
monitor session 1 destination interface Fa3/12<br />
</pre><br />
<br />
==Session RSPAN==<br />
<br />
Avec RSPAN le dump peut se faire à travers plusieurs switchs, via un VLAN spécial.<br />
<br />
Sur le switch source :<br />
<br />
<pre><br />
vlan 100<br />
remote-span<br />
<br />
monitor session 1 source Fa3/11 rx<br />
monitor session 1 destination remote vlan 100<br />
</pre><br />
<br />
Sur le switch destination :<br />
<br />
<pre><br />
monitor session 1 source remote vlan 100<br />
monitor session 1 destination Fa3/12<br />
</pre><br />
<br />
==Session ERSPAN==<br />
<br />
Sur le switch source :<br />
<br />
<pre><br />
monitor session 1 type erspan-source<br />
description ...<br />
source Fa3/11 rx<br />
! only VLAN 155 for a source port that is a trunk<br />
filter 155<br />
destination<br />
ip address 2.2.2.2<br />
erspan-id 1<br />
origin ip address 1.1.1.1<br />
</pre><br />
<br />
Sur le switch destination :<br />
<br />
<pre><br />
monitor session 1 type erspan-destination<br />
description ...<br />
destination Fa3/12<br />
source<br />
ip address 2.2.2.2<br />
erspan-id 1<br />
</pre><br />
<br />
==Remarques==<br />
<br />
* Attention, seulement deux sessions source peuvent être configurées sur un switch (détruire les sessions avec <code>no monitor session all</code>).<br />
<br />
* Configurer le port de sortie comme un trunk pour voir l'encapsulation VLAN dans le dump (mais pas d'encapsulation VLAN dans le mode ERSPAN).<br />
<br />
* Vérifier que le port destination est bien réservé pour SPAN, le trafic sur ce port sera interrompu.<br />
<br />
* Pendant que la session est configurée, le port destination apparaît comme up/down, ce qui génère une alarme.<br />
Cependant, on garde le monitoring sur le port, pour que le port soit disponible le jour où on configure une session.<br />
<br />
==Dump sur backup-router==<br />
<br />
Exemple : une attaque est détectée sur port 2/8 de fb-ar1.<br />
<br />
On veut pouvoir faire un tcpdump sur backup-router pour connaître les IP responsables.<br />
<br />
Le port 3/12 sur le 6500 est utilisé comme mirror port.<br />
<br />
L'interface fxp2 sur backup-router est réservé pour le traffic venant du port Foundry 3/12 de fb-ar1.<br />
L'interface fxp2 de backup-router et le port 3/12 sont reliés par un câble droit (déjà fait normalement).<br />
<br />
Configurer le port suspect pour envoyer le traffic vers backup-router :<br />
<br />
<pre><br />
monitor session 1 source interface Fa2/8 rx<br />
monitor session 1 destination interface Fa3/12<br />
</pre><br />
<br />
On peut maintenant lancer un tcpdump sur fxp2 de backup-router.<br />
<br />
Attention, les paquets arrivent du 6500 avec un tag VLAN (même quand le port mirroring destination n'est pas configuré en trunk), donc tcpdump ne fonctionnera correctement que si une interface VLAN est créée sur backup-router :<br />
<br />
<pre><br />
vconfig add fxp2 199<br />
ifconfig vlan199 up<br />
tcpdump -n -i vlan199 host 212.43.199.76<br />
</pre><br />
<br />
Si l'attaque vient de l'extérieur vers une machine hébergée, il faut [[blackhole|null router]] les IP attaquées.<br />
<br />
Si l'attaque vient d'une machine hébergée et est dirigée vers l'extérieur, il faut ajouter une accesss list sur l'interface du Foundry pour bloquer l'attaque.<br />
<br />
Par exemple, si on veut bloquer tous les paquets avec IP source 212.43.248.166 venant sur l'interface 2/8 :<br />
<br />
<pre><br />
conf t<br />
no ip access-list extended dos<br />
ip access-list extended dos<br />
deny ip host 212.43.248.166 any<br />
permit ip any any<br />
<br />
interface f2/8<br />
ip access-group dos in<br />
</pre><br />
<br />
On peut aussi appliquer une [[Limitation de bande passante sur Catalyst|limitation de bande passante]].<br />
<br />
[[Catégorie:Network-Clara]]</div>212.43.232.68