

<br><font size=2 face="sans-serif">I have run Snort with:</font>

<br>

<br><font size=2 face="sans-serif">- &nbsp;a 100Mb hub </font>

<br><font size=2 face="sans-serif">- a 10/100 hub (as long as all links

are at the same speed).</font>

<br><font size=2 face="sans-serif">- and using port mirroring</font>

<br>

<br><font size=2 face="sans-serif">All of them worked just fine.</font>

<br><font size=2 face="sans-serif">&nbsp; </font>

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td width=40%><font size=1 face="sans-serif"><b>Jeff Davis &lt;jeff@dynamictelecard.com&gt;</b>

</font>

<br><font size=1 face="sans-serif">Sent by: cialug-bounces@cialug.org</font>

<p><font size=1 face="sans-serif">12/06/2005 11:24 AM</font>

<table border>

<tr valign=top>

<td bgcolor=white>

<div align=center><font size=1 face="sans-serif">Please respond to<br>

Central Iowa Linux Users Group &lt;cialug@cialug.org&gt;</font></div></table>

<br>

<td width=59%>

<table width=100%>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">To</font></div>

<td valign=top><font size=1 face="sans-serif">Central Iowa Linux Users

Group &lt;cialug@cialug.org&gt;</font>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">cc</font></div>

<td valign=top>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">Subject</font></div>

<td valign=top><font size=1 face="sans-serif">[Cialug] Snort in a switched

network</font></table>

<br>

<table>

<tr valign=top>

<td>

<td></table>

<br></table>

<br>

<br>

<br><font size=2><tt>I want to deploy an old box as a dedicated Snort machine.<br>

I'm looking at ways to do that properly in a switched environment.<br>

 - Network Taps are expensive.<br>

 - Multispeed hubs (e.g. 10/100) are really a switch with a small ARP cache.<br>

 &nbsp; Although it should still work, perhaps someone has done this and

would<br>

 &nbsp; be willing to share their experience.<br>

 - SPAN / Port Mirroring / Roving Analysis, etc.<br>

 &nbsp; The 3com switches I have are capable of SPAN, but I'm a little

concerned<br>

 &nbsp; about degrading the performance of the switch with this approach.<br>

 &nbsp; If anyone has tried this approach I'd really like to know.<br>

<br>

<br>

-Jeff<br>

<br>

<br>

<br>

<br>

<br>

_______________________________________________<br>

Cialug mailing list<br>

Cialug@cialug.org<br>

http://cialug.org/mailman/listinfo/cialug<br>

</tt></font>

<br>