Всем привет! Не мог поверить, что на US24 всего один порт для мониторинга, поэтому покопался в CLI и увидел, что там на самом деле доступны 4 сессии мониторинга.
(UBNT) #show monitor ?
show monitor ?
session Отобразить настройки сессии порт-монитора.
(UBNT) #show monitor session ?
show monitor session ?
<1-4> Номер сессии.
all Показать все сессии.
В моём сохранённом конфиге видно, как это настроено:
(UBNT) #show startup-config
show startup-config
[...]
!
!
monitor session 1 destination interface 0/24
monitor session 1 source interface 0/4
monitor session 1 mode
Выше видно, что я зеркалю порт 4 на порт 24, но мне нужно больше зеркалируемых портов… Решил не ждать и попробовал добавить ещё одну сессию:
configure monitor session 2 destination interface 0/20
monitor session 2 source interface 0/2
monitor session 2 mode
write memory
Окей, подтверждаю:
(UBNT) #show monitor session 1
show monitor session 1
Session Admin Probe Src Mirrored Ref. Src Dst Type IP MAC ID Mode Port VLAN Port Port RVLAN RVLAN ACL ACL
------- ------- ------ ---- ------------------------ ------ ----- ----- ----- ------- -------
1 Enable 0/24 0/4 Rx,Tx
(UBNT) #show monitor session 2
show monitor session 2
Session Admin Probe Src Mirrored Ref. Src Dst Type IP MAC ID Mode Port VLAN Port Port RVLAN RVLAN ACL ACL
------- ------- ------ ---- ------------------------ ------ ----- ----- ----- ------- -------
2 Enable 0/20 0/2 Rx,Tx
Пока всё отлично, потом подключил машину с tcpdump, чтобы проверить, работает ли это — и да, действительно работает.
Так что мой вопрос очевиден: если можно указать больше одного монитора на свитче, почему об этом нигде не говорится и почему это даже не доступно в контроллере? Есть ли какая-то причина, почему это скрывают?
@UBNT-Piotr
@UBNT-MikeD
@UBNT-cmb
Применение понятно — может захотеться мониторить uplink или видеть трафик, исходящий от проводных AP с точки зрения безопасности. Просто мониторить исходящий трафик через шлюз недостаточно — это даёт хотя бы чуть больше видимости, если нужно.
Очень интересно почитать официальное заявление по этому поводу.
Спасибо!
r4n
(UBNT) #show monitor ?
show monitor ?
session Отобразить настройки сессии порт-монитора.
(UBNT) #show monitor session ?
show monitor session ?
<1-4> Номер сессии.
all Показать все сессии.
В моём сохранённом конфиге видно, как это настроено:
(UBNT) #show startup-config
show startup-config
[...]
!
!
monitor session 1 destination interface 0/24
monitor session 1 source interface 0/4
monitor session 1 mode
Выше видно, что я зеркалю порт 4 на порт 24, но мне нужно больше зеркалируемых портов… Решил не ждать и попробовал добавить ещё одну сессию:
configure monitor session 2 destination interface 0/20
monitor session 2 source interface 0/2
monitor session 2 mode
write memory
Окей, подтверждаю:
(UBNT) #show monitor session 1
show monitor session 1
Session Admin Probe Src Mirrored Ref. Src Dst Type IP MAC ID Mode Port VLAN Port Port RVLAN RVLAN ACL ACL
------- ------- ------ ---- ------------------------ ------ ----- ----- ----- ------- -------
1 Enable 0/24 0/4 Rx,Tx
(UBNT) #show monitor session 2
show monitor session 2
Session Admin Probe Src Mirrored Ref. Src Dst Type IP MAC ID Mode Port VLAN Port Port RVLAN RVLAN ACL ACL
------- ------- ------ ---- ------------------------ ------ ----- ----- ----- ------- -------
2 Enable 0/20 0/2 Rx,Tx
Пока всё отлично, потом подключил машину с tcpdump, чтобы проверить, работает ли это — и да, действительно работает.
Так что мой вопрос очевиден: если можно указать больше одного монитора на свитче, почему об этом нигде не говорится и почему это даже не доступно в контроллере? Есть ли какая-то причина, почему это скрывают?
@UBNT-Piotr
@UBNT-MikeD
@UBNT-cmb
Применение понятно — может захотеться мониторить uplink или видеть трафик, исходящий от проводных AP с точки зрения безопасности. Просто мониторить исходящий трафик через шлюз недостаточно — это даёт хотя бы чуть больше видимости, если нужно.
Очень интересно почитать официальное заявление по этому поводу.
Спасибо!
r4n
