Meu cenário é que eu tenho > 1g de tráfego em um switch, mas apenas uma porta de monitor de 1g. Mas o tráfego em que estou realmente interessado é de apenas 10mbps, o resto pode ser ignorado.
Eu tenho um switch 3560 e desejo configurar uma porta SPAN, mas também ativar uma ACL IP. Eu entendo isso é possível, pelo menos no 6500s, configurando uma sessão com um destino de uma RSPAN VLAN e outra sessão (mesmo switch) usando essa RSPAN VLAN como a fonte. Em seguida, aplique uma ACL à VLAN RSPAN. Isso é descrito aqui: Usando RSPAN com VACLs para análise de tráfego granular .
No entanto, isso não parece funcionar em um 3560. Eu até removi as ACLs e ainda não fui:
vlan 555
remote-span
interface Vlan555
no ip address
shutdown
monitor session 50 source interface Fa0/24
monitor session 50 destination remote vlan 555
monitor session 51 destination interface Fa0/22
monitor session 51 source remote vlan 555
Nenhum tráfego é exibido. Se eu limpar as sessões do monitor e só fizer a fonte fa0 / 24 dest fa0 / 22, funcionará bem. (Ignore que estou usando o FE aqui como teste).
Alguma ideia? Outras maneiras de obter uma ACL em um SPAN sem precisar de um segundo switch?
Atualização: bem de acordo com :
Can a RSPAN Source Session and the
Destination Session Exist on the Same
Catalyst Switch? No. RSPAN does not
work when the RSPAN source session and
the RSPAN destination session are on
the same switch.
Essa é uma limitação em 4500 e 3750, então eu acho que isso significa 3560 também. Quaisquer outras soluções alternativas?
Atualização 2: Eu não tenho certeza do que a RSPAN realmente faz no fio. Eu configurei o RSPAN, mas em vez de colocá-lo em uma porta de tronco para outro switch, eu o coloquei em uma porta de tronco para o meu NIC. O tráfego é replicado, mas a ACL da RSPAN VLAN não é aplicada, mesmo que o documento de configuração do 3560 diga explicitamente que deve funcionar.