Pelo que li, você pode usar o comando monitor de switchport no ASA 5505 para configurar uma porta Span devido à parte de trás do ASA sendo realmente um switch.
No meu 5520, não vejo o comando switchport listado ao emitir um? através do CLI. Como as pessoas monitoram o tráfego em não-5505? Meu objetivo é conectar nosso dispositivo IDS / IPS em execução no modo promíscuo a uma porta Ethernet no 5520 para monitorar o tráfego da WAN.
Eu não quero ter que passar o tráfego da WAN através de um switch, pois isso exigiria que eu recebesse dois (para redundância) comutadores com capacidade para switch / STP. Além disso, temos o módulo 4GE SSM para conectividade WAN de fibra instalado no dispositivo, portanto, adicionar o módulo IPS não é uma opção.
Nosso sistema IPS é o Cisco IPS 4240. Outra opção seria ter o Netflow ou mensagens syslog detalhadas enviadas para o dispositivo IPS?
Guia para configurar o acesso ao switchport em um 5505: link
É possível no modelo 5505, mas não no 5510 ou superior, já que não possui o switch integrado:
(Veja a seção "portas integradas")
Para configurá-lo no 5505:
ciscoasa> en
ciscoasa# conf t
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# switchport monitor eth0/1
Onde eth0 / 0 é sua porta IDS e eth0 / 1 é a interface que você deseja monitorar.
Para monitorar uma interface com o 5510 ou superior, você precisará de um switch separado com recursos de SPAN.
Como você descobriu, você não pode realmente fazer isso com um modelo ASA mais alto. A maioria das pessoas usará os módulos IPS que você pode colocar nos slots de expansão do ASA, ou irá abranger o tráfego no switch antes do firewall (ou qualquer outro local conveniente).
Tags monitoring cisco cisco-asa