все что я пытаюсь сделать на этом этапе это засунуть один интерфейс в один vlan, а второй интерфейс в другой vlan. это не работает. вопрос роутинга еще не актуален на этом этапе.
Промышленное решение. Внедряется в рамках построения комплексной системы ИБ в компании.
Посоветовался тут с технарями. Действительно мониторить надо отдельные типы трафика. но не по критерию src\dct а по критерию протоколов. т.е. грубо говоря репликацию больших объемов данных можно и не мониторить. Технари предлагают выделить интересующие протоколы в отдельный VLAN. На сколько это вообще распространенное решение и на сколько оно может повлиять на архитектуру сети (логическую\физическую)? У технарей не спросил это, т.к. был webex на английском и через телефон с человеком который похоже в машине ехал.. x)
Второй предложный вариант был зеркалировать trunk-порт который идет от "distribution layer switch" в "core switch". Чисто логически мне этот вариант представляется более простым и технологичным.
