CISCO交換機的數據監控

2019-11-04 23:18:26

字體：大中小

來源：轉載

供稿：網友

網絡入侵檢測技術已成為網絡防護的重要手段之一，入侵檢測技術的基礎是對網絡中數據的收集，目前的方法主要有安放探針設備、采用共享式Hub以及利用網絡設備本身提供的數據監控功能等。在實際的應用環境尤其是在局域網中最方便而且最實用的手段應該是利用網絡設備的自身功能進行數據收集。
我們在實際的網絡集成工作中經常會使用Cisco公司Catalyst系列交換機，這里就此類設備監控功能的配置進行介紹，希望能夠對網絡治理人員以及安全防護的實施有一定的幫助（本文以Catalyst4000系列交換機為例）。

配置SPAN對話（SPAN session)

基本功能

通過設置SPAN對話能夠對本交換機端口或整個VLAN的數據流進行監視，被監控的數據流可以由協議分析設備進行分析處理。

工作方式

SPAN對話由一個目的端口和一組源端口組成，它將一個或多個VLAN上的一個或多個源端口的數據包復制到目的端口上。SPAN不影響源端口的正常工作，也不會影響正常的交換機操作。在交換網絡中可以配置多個SPAN對話，只有當目的端口可操作，同時源端口或源VLAN中的任意一個端口活動時才可激活SPAN對話。

配置命令

將被監視的端口或VLAN配置為源端口，將接收被復制數據包的端口設置為目的端口。

set span {src_mod/src_ports src_vlan} dest_mod/dest_port [rx tx both] [filter vlan] [inpkts {enable disable}] [learning {enable disable}] [create]

配置說明

src_mod/src_ports: 源模塊/端口號。它們可以存在于任何VLAN中，也可以配置一個或多個VLAN作為源端口(src_vlans)，此時該VLAN中的所有端口作為SPAN對話中的源端口。一個端口可以配置為多個SPAN對話的源端口。

dest_mod/dest_port: 目的模塊/端口號。每個SPAN對話中只有一個目的端口，同一個端口不能作為多個SPAN對話的目的端口，一個目的端口不能被配置為源端口，活動的目的端口不參與Spanning Tree。

[rx tx both]: 通過源端口的流量可以分為進入（ingress）、外出（egress）、雙向（both）三類，可以在SPAN對話中配置監視的是哪種類型的數據包。當監視整個VLAN的數據時只能為雙方向的數據流。

[filter vlan]: Trunk VLAN過濾，6.3(1)以后的版本可以對源端口為Trunk的端口進行VLAN限制過濾，只答應指定VLAN的流量被復制到目的端口。

[inpkts {enable disable}]: 缺省情況下目的端口被激活后將不接收進入的數據包，造成目的端口不能與其他設備進行通信，可以通過配置答應進行轉發，此時發送的數據包在本端口所屬的VLAN內進行交換。此目的端口將不參與本VLAN的Spanning Tree。

[learning {enable disable}]: 當答應目的端口進行轉發時，可以設置答應從目的端口學習源MAC地址，此項只影響與目的端口相連的設備。缺省時為enable，但當配置inpkts enable時應同時配置learning enable。

[create]: 采用create可以產生新的SPAN對話，最多可以同時運行5個SPAN對話。

注重

1. SPAN對話只能監視本交換機內的數據包。

2. 交換機的sc0接口不能配置為SPAN源端口。

3. EtherChannel端口不能作為SPAN目的端口。

4. 在進行SPAN對話配置時，假如目的端口的Trunking模式為“On” 或 “Nonegotiate”，則SPAN包將以原Trunking配置的封裝格式進行轉發，同時這個目的端口將停止Trunking。

配置例子：

例1：

配置port 2/5 (the SPAN source) 的出入雙向數據包被復制到port 2/10 (the SPAN destination)。

Console> (enable) set span 2/5 2/10

Console> (enable) show span

Destination : Port 2/10

Admin Source : Port 2/5

Oper Source : None

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Filter : -

Status : active

-----------------------------

Total local span sessions: 1

Console> (enable)

例2：

配置VLAN 522和523為SPAN source， port 2/1 為SPAN destination:

Console> (enable) set span 522－523 2/1

Console> (enable) show span

Destination : Port 2/1

Admin Source : VLAN 522－523

Oper Source : Port 2/1-2

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Filter : -

Status : active

----------------

Total local span sessions: 1

Console> (enable)

禁止SPAN

set span disable [dest_mod/dest_port all] 通過禁止目的端口可以清除SPAN對話。

例如：

Console> (enable) set span disable 2/3

This command may disable your span session(s).

Do you want to continue (y/n) [n]? y

Disabled Port 2/3 to monitor transmit/receive traffic of Port

Incoming Packets disabled. Learning enabled.

Console> (enable)

注：以上命令適用于set命令集的Catalyst系列交換機，對一些IOS命令的交換機如Catalyst2950、3500等，其命令有所不同。

配置RSPAN

目前許多局域網環境是由多臺交換機組成的，SPAN對話只能對本交換機內的數據進行捕捉，而其他交換機上的數據則無法獲得。Cisco公司針對這種情況開發了遠程SPAN（RSPAN）功能，能夠對遠端交換機的數據進行監視。目前能夠實現RSPAN功能的交換機局限在Cisco4000、6000、2948G、2980G上，且軟件版本要求為6.3(1)或以后，在整個端到端路徑中不答應有其他類型的交換機以及其他廠商的交換機，這也是目前實施RSPAN的一個很大的限制。下面介紹一下RSPAN的配置。

工作方法

RSPAN具有SPAN的所有特征，同時又具有跨越多個交換機進行監視的功能。

配置命令

1. 配置RSPAN VLAN，在VTP enabled的情況下,在一個交換機上進行設置就可以傳播到VTP domain。

set vlan vlan_num rspan

2. 配置RSPAN對話的源端口

set rspan source {mod/ports... vlans...} {rspan_vlan} reflector mod/port [rx tx both] [filter vlans...] [create]

3. 配置RSPAN對話的目的端口

set rspan destination {mod_num/port_num} {rspan_vlan} [inpkts {enable disable}] [learning {enable disable}] [create]

此配置在目的端口所在的設備上進行，與SPAN配置命令大體相同，但需指出與目的端口相關聯的rspan_vlan。

注重事項

1. 在RSPAN session中traffic類型可以不同(ingress、egress或both)，但對于同一個交換機上的所有源端口必須相同。

2. RSPAN sessions與SPAN sessions可以共存，最多5個。

3. 對于RSPAN，可以在多個交換機上分布源端口和目的端口。作為反射端口的端口不能作為源或目的端口。

4. SPAN能夠監視所有網絡數據流，包括多播以及橋協議數據單元(BPDU)，RSPAN不支持對BPDU的監視。

配置例子

1. 配置VLAN500作為RSPAN VLAN

Console> (enable) set vlan 500 rspan

vlan 500 configuration sUCcessful

2. 配置RSPAN對話的源端口

指定RSPAN VLAN為500，反射端口為2/34，監視源端口2/3的接收方向數據。

Console> (enable) set rspan source 2/3 500 reflector 2/34 rx

Rspan Type : Source

Destination : -

Reflector : Port 2/34

Rspan Vlan : 500

Admin Source : Port 2/3

Direction : receive

Incoming Packets: -

Learning : -

Filter : -

Status : active

Console> (enable) 2001 May 02 13:22:17 %SYS-5-SPAN_CFGSTATECHG: remote span source session active for remote span vlan 500

③配置RSPAN對話目的端口

配置 port 3/1 作為 RSPAN 目的端口，RSPAN VLAN為500

Console> (enable) set rspan destination 3/1 500

Rspan Type : Destination

Destination : Port 3/1

Rspan Vlan : 500

Admin Source : -

Oper Source : -

Direction : -

Incoming Packets: disabled

Learning : enabled

Filter : -

Status : active

Console> (enable)

禁止 RSPAN 對話

set rspan disable source [rspan_vlan all]

set rspan disable destination [mod_num/port_num all]

禁止所有答應的源對話:

Console> (enable) set rspan disable source all

This command will disable all remote span source session(s).

Do you want to continue (y/n) [n]? y

Disabled monitoring of all source(s) on the switch for remote span.

Console> (enable)

通過rspan_vlan號，禁止一個源對話:

Console> (enable) set rspan disable source 100

Disabled monitoring of all source(s) on the switch for rspan_vlan 100.

Console> (enable)

禁止所有目的對話:

Console> (enable) set rspan disable destination all

This command will disable all remote span destination session(s).

Do you want to continue (y/n) [n]? y

Disabled monitoring of remote span traffic for all rspan destination ports.

Console> (enable)

上一篇：配置Cisco路由器中的Modem

下一篇：CCNA命令總動員（上）