Cisco Port mirroring Fermé

Question

Bonjour à tous. Je suis en train de mirrorer plusieurs ports sur un 3560 pour inspecter le trafic web. Cela fonctionne bien, je redirige le trafic de plusieurs ports vers un pc sous linux, et avec tcpdump j'inspecte. 
Voici ma conf : 
monitor session 2 source interface Fa0/7 
monitor session 2 destination interface Fa0/6 

Par contre, le port de destination ne peut servir que pour faire cela. Il ne reçoit plus d'autre trafic mis à part celui du source port. 

J'ai pourtant lu cela en fouillant sur le site de cisco : 

The port does not transmit any traffic except that traffic required for the SPAN session unless learning is enabled. If learning is enabled, the port also transmits traffic directed to hosts that have been learned on the destination port. 

Existe -t-il donc une possibilité pour que le port fasse les 2 ? Comment dois-je comprendre l'explication ? Qu'est- ce que le "learning" ? 

Merci beaucoup !!

Tootsi · Answer

Par defaut sur CISCO lorsqu'un port est configuré pour recevoir une session SPAN (mirror) celui-ci est désactivé.

En gros si ta machine avec le sniffer dispose d'une seul carte réseau, et bien celle-ci n'aura plus de réseau le temps du sniffing ....

Cisco pour ça cest pas top ...

La donnée que tu as trouvé, semble dire, que si le port est donc configuré en "learning" et bien il semblerait que cisco sait maintenant envoyé du trafic aux équipements derrière le port en mode "mirror".

Renaud

Cisco Port mirroring

1 réponse

Discussions similaires