如何平衡冗余交换机的跨业务
如何平衡冗余交换机的跨业务
提问于 2020-11-16 23:09:24
因此,我们希望部署一个IDS设备来捕获局域网中的东西通信量。
实际的拓扑结构更复杂,但我们的问题归结为:
我们正在尝试将SPAN会话从许多VLANS配置到连接到IDS的端口。
但是,为了防止IDS为同一通信量接收多个数据包,我们尝试在vPC (虚拟端口通道)中配置两个链路,我认为这将确保通信量不会在两个交换机中重复两次。
但是,IDS解决方案不支持任何类型的链接聚合,因此将NIC组合起来以支持vPC是行不通的。
是否还有配置冗余跨会话的其他解决方案?
这些是思科交换机和一个FireEye NX (IDS/IPS)。
回答 1
Network Engineering用户
发布于 2020-11-17 14:52:23
vPC或延迟(在交换机之间)并不能解决问题。
如果要排除交换机之间的所有通信量,只需将跨端口(或延迟)排除在监视范围之外。他们所携带的交通已经从另一个港口镜像过来了。
如果你在一个开关上镜像所有的端口,你将捕获每个帧两次-在入口和出口。因此,您可以安全地排除仅携带过境通信量的端口(在受监视交换机之间)。此外,你应该镜像的交通入口-只有或出口-只。对于IDS,我会选择入口--只有这样它才能包括对交换机本身的攻击。
对于IDS设备,您不应该使用vPC或延迟,因为这可能会扭曲检测--来自“错误”接口的帧可能被忽略。
在任何情况下,vPC在删除重复帧方面都没有任何帮助--它们需要首先被检测到,而这根本不会发生。匹配重复的帧需要大量的工作(至少要计算n个帧散列并比较n个帧的n个散列),所以避免重复应该是您的目标。
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://networkengineering.stackexchange.com/questions/71028
复制相关文章
相似问题
腾讯云开发者
