因此,我们希望部署一个 IDS 设备来捕获 LAN 中的东西流量。
实际的拓扑结构更复杂,但我们的问题归结为:
我们正在尝试配置从许多 VLAN 到连接到 IDS 的端口的 SPAN 会话。
但是,为了防止 IDS 接收同一流量的多个数据包,我们尝试在 vPC(虚拟端口通道)中配置两条链路,我认为这将确保流量不会从两个交换机重复两次。
但是,IDS 解决方案不支持任何类型的链路聚合,因此将 NIC 组合起来以允许 vPC 是行不通的。
是否有任何其他解决方案来配置冗余 SPAN 会话?
这些是 Cisco 交换机和 FireEye NX (IDS/IPS)。
on您可以在模式 ( channel-group 1 mode on)中配置面向 IDS 的 vPC EtherChannel ,而不是active模式。这种模式不需要IDS参与组成LAG;它不需要支持 LACP 来接收镜像流量。
有关详细信息,请参阅 Nexus 5000 vPC 设计指南https://www.cisco.com/c/en/us/products/collat eral/switches/nexus-5000-series-switches/design_guide_c07-625857.html
vPC 或 LAG(交换机之间)不能解决您的问题。
如果要排除交换机之间的所有流量,只需将交叉端口(或 LAG)排除在监控之外。他们承载的流量已经从另一个端口镜像。
如果您镜像交换机上的所有端口,您将捕获每个帧两次 - 在入口和出口。因此,您可以安全地排除仅传输传输流量的端口(在受监控的交换机之间)。此外,您应该仅镜像流量入口或仅出口。对于 IDS,我会选择仅入口,因此它会包括对交换机本身的攻击。
对于 IDS 设备,您不应该使用 vPC 或 LAG,因为这可能会扭曲检测 - 来自“错误”接口的帧可能会被忽略。
在任何情况下,vPC 对删除重复帧都没有一点帮助——它们需要首先被检测到,而这根本不会发生。匹配重复帧需要大量工作(至少计算n帧哈希并比较n帧的 n² 哈希),因此首先避免重复应该是您的目标。