Netexpert FAQ 网络分析专家学习建议入口 @netexpert成员申请指南
netexpert积分规则的说明 Netis招贤纳士(2008年11月22日更新)
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

端口镜像抓包和端口ACL的先后关系

sherryliu

初来乍到

Rank: 1

精华
0 
积分
49 
1# 发表于 2005-5-24 22:59  只看该作者

端口镜像抓包和端口ACL的先后关系

前几天,一个用户打电话过来说,在某端口上镜像,用抓包设备抓包,可以看到一些病毒流量,但是被镜像的端口上已经设置了针对该病毒特征的ACL,问端口镜像和ACL那个优先处理。
应该是端口镜像先处理,因为端口镜像得到的就是到被镜像端口的总流量,包括后来被ACL过滤的包,也就是说ACL是后于端口镜像的。
不知道的朋友,给提个醒,知道的朋友,我是为了混积分,嘿嘿
欢迎交流协议分析问题,liuyi2000@hotmail.com

TOP

jingshne

版主

Rank: 7Rank: 7Rank: 7

=Netexpert第一JS=

精华
11 
积分
4879 
2# 发表于 2005-5-25 08:59  只看该作者
俺也觉得端口镜像应该在前面的~
技术永不放弃 市场一定角逐 http://www.netexpert.cn

TOP

DragonGo

七哥

超级版主

Rank: 8Rank: 8

-=行者=-

精华
8 
积分
5445 
3# 发表于 2005-5-25 09:14  只看该作者
我想这个还和ACL应用的方向以及Monitor的方向有关。。。
信心源自实力,努力成就未来!
欢迎访问龙七客栈睿博工作室

TOP

xyh3711

初来乍到

Rank: 1

精华
0 
积分
4# 发表于 2005-5-26 08:11  只看该作者
那如果病毒从INTERNET上流进,而镜像端口只是对内部端口进行镜像,那又是何解???

TOP

xyh3711

初来乍到

Rank: 1

精华
0 
积分
5# 发表于 2005-5-26 08:12  只看该作者
而ACL在总的进线上被应用...

TOP

DragonGo

七哥

超级版主

Rank: 8Rank: 8

-=行者=-

精华
8 
积分
5445 
6# 发表于 2005-5-26 09:19  只看该作者
引用:
Originally posted by xyh3711 at 2005-5-26 08:12 AM:
而ACL在总的进线上被应用...
那可不一定,ACL的应用方向以及规则根据用户网络的需求而定
信心源自实力,努力成就未来!
欢迎访问龙七客栈睿博工作室

TOP

sherryliu

初来乍到

Rank: 1

精华
0 
积分
49 
7# 发表于 2005-5-26 13:51  只看该作者
抓包也是可以分方向的,所以如果和ACL的应用方向相反,肯定是抓不到被ACL过滤的包了

TOP

DragonGo

七哥

超级版主

Rank: 8Rank: 8

-=行者=-

精华
8 
积分
5445 
8# 发表于 2005-5-26 15:19  只看该作者
引用:
Originally posted by sherryliu at 2005-5-26 01:51 PM:
抓包也是可以分方向的,所以如果和ACL的应用方向相反,肯定是抓不到被ACL过滤的包了
不一定。。。
就看那个先处理了。。
信心源自实力,努力成就未来!
欢迎访问龙七客栈睿博工作室

TOP

dingtian

劳苦功高

Rank: 3Rank: 3

精华
0 
积分
178 
9# 发表于 2005-5-27 01:22  只看该作者
镜像可以分为两种,一种是基于端口镜像,另一种是基于流量镜像;对于流量镜像就需要结合ACL来控制数据流,所以在这里应该分开来说。前者应该先处理镜像,因为acl属于三层及三层以上范畴,如果先处理acl的话,将检测每个数据包的head,然后镜像,将很费设备cpu资源的;后者应该先处理流量,检测到需要的流量后才把这部分数据镜像。建议如果不分离数据流的话,就不要在被镜像端口上做acl了,否则就使用基于流量的镜像!

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题
版块跳转