Catalyst數據包監控類型SPAN/RSPAN與配置

2019-11-04 23:35:10

字體：大中小

來源：轉載

供稿：網友

　　在構建交換園區網的時候,我們經常用一些抓包工具對數據包進行分析,進行入侵檢測.本文以Catalyst 3550/3750/4000(native IOS)/6500(native IOS)為例,從理論到配置,講述假如實現這一功能.如有不足或錯誤之處,歡迎讀者指正與交流.
　　
　　一.什么是交換端口分析:
　　
　　交換式端口分析器(SPAN)分析經過某個本地端口或VLAN的流量信息.SPAN發送一份流量的拷貝給連接安全設備的交換機端口.注重,一旦啟用了SPAN,VSPAN或RSPAN,目標端口的STP*作就被禁止,可能會造成環路.另外,配置RSPAN之前要先定義一個RSPAN專用的VLAN.假如在VTP服務器上配置了RSPAN VLAN,那么VTP服務器自動將正確的信息傳播給其他中間交換機;否則要確保每臺中間交換機都配置的有RSPAN VLAN.
　　
　　SPAN的3種模式:
　　
　　1.SPAN:源端口和目標端口都處于同一交換機,并且源端口可以是一個或多個交換機端口.
　　
　　2.基于VLAN的交換式端口分析器(VSPAN):SPAN的一種變體,源端口不是物理端口,而是VLAN.
　　
　　3.遠程交換式端口分析器(RSPAN):源端口和目標端口處于不同的交換機.
　　
　　二.配置步驟:
　　
　　配置SPAN和VSPAN的步驟如下:
　　
　　1.定義SPAN會話的源端口,對于Catalyst 3550交換機,會話數只支持兩條,即1和2.還可以定義監聽流量的方向,默認監聽雙向流量.假如需要多個源端口,重復該步驟:
　　Aiko(config)#monitor session {session-number} source {interface interfacevlan vlan-id} [rxtxboth]
　　
　　2.定義SPAN會話的目標端口,要確保目標端口和源端口處于同一VLAN,并且每條SPAN會話只能有一個目標端口,還可以定義封裝方式:
　　Aiko(config)#monitor session {session-number} destination {interface interface} [encapsulation {dot1qisl}]
　　
　　3.限制要監視的VLAN.可以定義多個VLAN,以逗號或連字符相連.可選:
　　Aiko(config)#monitor session {session-number} filter vlan {vlan-list}
　　
　　配置RSPAN的步驟如下:
　　
　　1.創建RSPAN專用的VLAN:
　　Aiko(config)#vlan {vlan-id}
　　
　　2.定義該VLAN為RSPAN VLAN:
　　Aiko(config-vlan)#remote-span
　　
　　3.定義源交換機的源端口.對于Catalyst 3550交換機,會話數只支持兩條,即1和2,還可以定義監聽流量的方向,默認監聽雙向流量:
　　Aiko(config)#monitor session {session-number} source {interface interfacevlan vlan-id} [rxtxboth]
　　
　　4.定義源交換機的目標端口:
　　Aiko(config)#monitor session {session-number} destination remote vlan {rspan-vlan-id}
　　
　　5.定義目標交換機的源端口:
　　Aiko(config)#monitor session {session-number} destination remote vlan {rspan-vlan-id}
　　
　　6.定義目標交換機的目標端口:
　　Aiko(config)#monitor session {session-number} destination {interface interfacevlan vlan-id} [rxtxboth]
　　
　　三.使用RSPAN監聽交換機A連接服務器的端的實例:
　　
　　交換機A配置如下:
　　!
　　vlan 925
　　remote-span
　　monitor session 1 source interface FastEthernet1/1 both
　　monitor session 1 destination remote vlan 925
　　!
　　
　　交換機B配置如下:
　　!
　　vlan 925
　　remote-span
　　!
　　
　　交換機C配置如下:
　　!
　　vlan 925
　　remote-span
　　monitor session 1 source remote vlan 925
　　monitor session 1 destination interface Fastethernet 2/2
　　!

上一篇：Cisco Guard XT 5650

下一篇：Catalyst 6500系列服務提供商特性