Меню

Span port cisco настройка

Span port cisco настройка

В прошлой статье, рассказывалось о теоретических основах таких технологий Cisco как SPAN и RSPAN.

Сегодня же мы будем знакомиться с этими технологиями на практике.

Что нам понадобится?

Коммутатор Cisco, хост с каким-нибудь сниффером, например wireshark, чтоб мы могли посмотреть трафик, который присылается на destination port.

Настройку буду осуществлять на Cisco Catalyst 2960.

Вся настройка проходит в режиме глобальной конфигурации (conf t).

Начнем с малого, а именно с простой настройки SPAN.

Допустим, нужно получать траифк с порта f0/34 (source) на порт f0/33 (destination). Попробуем настроить.

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 destination interface f0/33

Вот собственно и все. Самый просто вариант настройки, когда нам необходимо с какого-то порта снять и прослушать трафик.

Помните, когда вы примените настройку для destination port у вас пропадет доступ к коммутатору (так как порт будет работать только для приема зеркалированного трафика), поэтому делать это лучше непосредственно возле коммутатора, на отдельном хосте. Например, ноутбук.

Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с порта source. В моем случае, на f0/34 порте «висит» ПК, с IP адресом 10.0.5.12.

Wireshark видит данные с этим IP, значит все работает как надо.

Помним, что по умолчанию, зеркалируется трафик как входящий так и исходящий на source port.

Для того, чтобы ограничить трафик, например только входящим, нужно сделать следующее:

ASW(config)#monitor session 1 source interface f0/34 tx

В нашем примере, зеркалируется трафик только с одного порта, но нам ничего не мешает сделать зеркалирование с двух и более, для этого просто добавляем команды с соответствующими интерфейсами:

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 source interface f0/35

ASW(config)#monitor session 1 destination interface f0/33

Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на destination port.

Теперь давайте представим, что нужно зеркалировать транковый порт (в теоретической части мы с вами определились, что это делать можно). И хотим чтоб Layer 2 протоколы ходили, такие как CDP,DTP и другие.

Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим образом:

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 destination interface f0/33

Если взглянуть на настройку, то можно увидеть только одно отличие, это присутствие нового параметра encapsulation replicate, который определяет как раз то, что мы будем видеть в трафике фреймы такие как CDP, DTP, и так далее.

Помним о том, что если настроно так как выше, и g0/1 является транком, то данные будут зеркалироваться со всех VLAN этого транка.

Для того, чтобы «вычеркнуть» не нужные нам VLAN воспользуем фильтрацией.

Читайте также:  Настройка dns дополнительного контроллера домена

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 filter vlan 1-5, 111

ASW(config)#monitor session 1 destination interface f0/33

Здесь мы видим дополнительную команду monitor session с параметром filter vlan. Что же он значит?

Filter vlan означает то, что указанные далее номера vlan, не будут включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5 означает 1,2,3,4,5), а можно просто через запятую перечислять номера VLAN.

Если нам необходимо использовать источник не порт а VLAN, например 5, необходимо сделать так:

ASW(config)#monitor session 1 source vlan 5

так же, через запятую можно перечислить список vlan.

С SPAN пожалуй все. Теперь разберемся с RSPAN.

Поставим себе задачу.

Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 — только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо зазеркалировать трафик VLAN 15, оба типа трафика.

Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это было описано в теоретических основах SPAN/RSPAN).

Перейдем к настройке.

1. Разбираемся с ASW1.

Создаем VLAN для RSPAN

ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)

Создаем сессию для мониторинга:

ASW1(config)#monitor session 1 source vlan 10 rx

ASW1(config)#monitor session 1 source vlan 20 tx

ASW1(config)#monitor session 1 source 30

ASW1(config)#monitor session 1 destination remote vlan 100

2. Разбираемся с ASW2.

Так же для начала создаем RSPAN VLAN.

Создаем сессию мониторинга (необязательно номер сессий должен совпадать с другими коммутаторами)

ASW2(config)#monitor session 1 source vlan 15

ASW2(config)#monitor session 1 destination remote vlan 100

3. Теперь собственно нужно настроить ASW, порт f0/1, на котором находится наш хост с wireshark (ну или для каких-то других целей, voip record, etc).

Так же необходимо создать RSPAN VLAN.

Укажем source vlan (наш rspan vlan)

ASW(config)#monitor session 1 source remote vlan 100

Вот собственно и все, наша задача выполнена.

Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем случае, на 100 мегабитный интерфейс может придти трафика больше чем он сможет обработать, нужно это иметь ввиду и не забывать об этом.

Последняя команда на последок, которая облегчит жизнь администратору

SPAN session number

all Show all SPAN sessions

local Show only Local SPAN sessions

range Show a range of SPAN sessions in the box

remote Show only Remote SPAN sessions

С помощью нее, можно быстро найти ошибку, которую допустили при конфигурировании, в общем рекомендую.
На этом с SPAN/RSPAN пока все!

Источник

Как настроить зеркалирование портов (Port mirroring, Cisco SPAN и Wireshark)

Рассмотрим как настроить зеркалирование портов (Port mirroring, Cisco SPAN и Wireshark).

Читайте также:  Настройка карбюратора на яве 6 вольт 350

Для исследований используется маршрутизатор с интегрированными сетевыми сервисами (ISR) Cisco 1941 с операционной системой Cisco IOS версии 15.4(3) (образ universalk9). Также используются коммутаторы Cisco Catalyst 2960 с операционной системой Cisco IOS версии 15.0(2) (образ lanbasek9). Допускается использование коммутаторов и маршрутизаторов других моделей, а также других версий операционной системы Cisco IOS. В зависимости от модели устройства и версии Cisco IOS доступные команды и результаты их выполнения могут отличаться от тех, которые показаны в эксперименте.

Схема топологии следующая:

Видео инструкция на нашем YouTube канале:

Сценарий

Как сетевой администратор, вы хотите анализировать входящий и исходящий трафик локальной сети. Для этого вы настроите зеркалирование портов на коммутационном порте, подключенном к маршрутизатору, и зеркально скопируете весь трафик на другой коммутационный порт. Цель состоит в отправке зеркалированного трафика в систему обнаружения вторжений (IDS) для анализа. В этой первоначальной реализации вы будете отправлять весь зеркалированный трафик на ПК, который будет перехватывать трафик для анализа, используя программу прослушивания портов. Для настройки зеркалирования портов будет использоваться функция анализатора коммутируемых портов (SPAN) на коммутаторе Cisco. Анализатор коммутируемых портов — это тип зеркалирования портов, в котором копии кадров, поступающих на порт, отправляются на другой порт того же коммутатора. Очень часто можно найти устройство, на котором работает анализатор трафика пакетов или система обнаружения вторжений (IDS), подключенные к зеркалированному порту.

Задачи

Часть 1. Построение сети и проверка соединения
Часть 2. Настройка локального анализатора коммутируемых портов и сбор копируемого трафика с помощью ПО Wireshark

Конфигурации R1 после выполнения Части 1
Конфигурации S1 после выполнения Части 1

Конфигурации S2 после выполнения Части 1
Конфигурации S1 после выполнения Части 2

Спасибо за уделенное время на прочтение статьи о том, как настроить зеркалирование портов (Port mirroring, Cisco SPAN и Wireshark)!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Источник

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Настройка Cisco Port-Security

Базовая конфигурация маршрутизатора

Сброс пароля на коммутаторах и маршрутизаторах Cisco

Обнаружен! NDP: теория и настройка

Настройка IPv4 на оборудовании Cisco

Fanvil X6

Еженедельный дайджест

Пример настройки SPAN/RSPAN/ERSPAN

Ищете возможность анализировать сетевой трафик/отправлять его на систему записи телефонных разговоров? Изи. Коммутаторы Cisco (да и многие другие) дают возможность копировать пакеты с определенного порта или VLAN и отправлять эти данные на другой порт для последующего анализа (Wireshark, например).

Читайте также:  Настройка модема tp link wr340gd

Кстати, этот функционал полезен при использовании IDS (Intrusion Detection System) систем в целях безопасности. Мы уже рассказывали теоретические основы SPAN/RSPAN, поэтому, сегодняшняя статья будет посвящена практике настройке.

Про настройку SPAN

В рамках обычной SPAN сессии захват (копирование) сетевого трафика происходит с порта источника (source port) и отправляется на порт назначения (destination port). Обратите внимание на пример ниже: мы сделаем SPAN – сессию с порта fa 0/1 и отправим данные на порт fa 0/5:

Важно! SPAN – сессия может работать только в рамках одного коммутатора (одного устройства).

Просто, не правда ли? В рамках данной конфигурации весь трафик с порта fa 0/1 будет скопирован на порт fa 0/5.

Интереснее: пример RSPAN

Идем вперед. Более продвинутая реализация зеркалирования трафика это RSPAN (Remote SPAN). Эта фича позволяет вам зеркалировать трафик между различными устройствами (коммутаторами) по L2 через транковые порты. Копия трафика будет отправляться в удаленный VLAN между коммутаторами, пока не будет принята на коммутаторе назначения.

На самом деле, это легко. Давайте разберемся на примере: как показано на рисунке, мы хотим копировать трафик с коммутатора №1 (порт fa 0/1) и отправлять трафик на коммутатор №2 (порт fa 0/5). В примере показано прямое транковое подключение между коммутаторами по L2. Если в вашей сети имеется множество коммутаторов между устройствами источника и назначения – не проблема.

Таким образом, весь трафик с интерфейса fa 0/1 на локальном коммутаторе (источнике) будет отправлен в vlan 100, и, когда коммутатор получатель (remote) получит данные на 100 VLAN он отправит их на порт назначения fa 0/5. Такие дела.

Party Hard: разбираемся с ERSPAN

Как показано ниже, между коммутатором источником и коммутатором получателем устанавливается GRE – туннель (между IP – адресами машин). Опять же, мы хотим отправить трафик с порт fa 0/1 на порт fa 0/5.

Траблшутинг

Мониторинг трафика в указанном VLAN:

Мониторинг входящего или только исходящего трафика:

Посмотреть конфигурацию сессии зеркалирования:

Полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник