設置交換機的偵聽口以監視網絡會話

2019-11-05 01:46:22

字體：大中小

來源：轉載

供稿：網友

　　所謂偵聽端口是指這樣一個端口，所有通過被偵聽端口的流量都會被自動復制一份傳至該端口，缺省的情況下交換機上的這種功能是被屏蔽(Disable)的。假如需要可以手工設置。
　　
　　Egress Traffic: 離開交換機的流量
　　Ingress Traffic: 進入交換機的流量
　　Source Span ports: 被偵聽端口
　　Destination Span Port: 偵聽端口
　　Administrative Source : 所有配置為被偵聽口或被偵聽vlan 的列表
　　
　　一、Cisco Catalyst 4000, 5000, and 6000 Series 系列交換機，有關設置偵聽端口的命令由一系列set span 命令組成
　　switch (enable) set span
　　Usage: set span disable [dest_mod/dest_portall]
　　set span <src_mod/src_ports...src_vlans...sc0>
　　<dest_mod/dest_port> [rxtxboth]
　　[inpkts <enabledisable>]
　　注：src_mod 是指被偵聽的端口號；src_ports 是指被偵聽端口所在的模塊號；
　　dest_mod,是指偵聽端口號；dest_port 是指偵聽端口所在的模塊號；src_vlan 是vlan 名，表示屬于該vlan 的端口都是被偵聽端口；rx 是指只偵聽接收的包；tx 是指只偵聽發送的包；both 是指偵聽收、發雙方向的包。
　　配置過程如下：
　　1、使用基于端口的偵聽方式：
　　switch (enable) set span enable
　　switch (enable) set span 6/1，6/3 6/2
　　2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
　　for destination port 6/2
　　Destination : Port 6/2
　　Admin Source : Port 6/1,6/3
　　Oper Source : Port 6/1,6/3
　　Direction : transmit/receive
　　Incoming Packets: disabled
　　Learning : enabled
　　Multicast : enabled
　　Filter : -
　　Status : active
　　switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
　　session active for destination port 6/2
　　這條命令執行后，端口6/2 設置為偵聽口，端口6/1，6/3 設置為被偵聽口。接在端口6/2 上的機器將能接收到通過端口6/1，6/3 的所有流量。
　　2、使用基于vlan 的偵聽方式：
　　switch (enable) set span enable
　　switch (enable) set span 2,3 6/2
　　2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
　　for destination port 6/2
　　Destination : Port 6/2
　　Admin Source : VLAN 2-3
　　Oper Source : Port 6/3-5,15/1
　　Direction : transmit/receive
　　Incoming Packets: disabled
　　Learning : enabled
　　Multicast : enabled
　　Filter : -
　　Status : active
　　switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
　　session active for destination port 6/2
　　這條命令執行后，端口6/2 設置為偵聽口，屬于vlan 2，3 的所有端口設置為被偵聽口。接在端口6/2 上的機器將能接收到通過屬于vlan 2，3 的端口的所有流量。
　　3、可以使用命令Switch(enable) show span 來查看設置的結果：
　　switch (enable) show span
　　Destination : Port 6/2
　　Admin Source : Port 6/1
　　Oper Source : Port 6/1
　　Direction : transmit/receive
　　Incoming Packets: disabled
　　Learning : enabled
　　Multicast : enabled
　　Filter : -
　　Status : active
　　注：偵聽口與被偵聽口可以不屬于同一個vlan。
　　
　　二、Cisco Catalyst 2900XL/3500XL/2950 系列交換機，配置命令為：
　　Switch(config-if)#port monitor interface
　　注：interface 是指偵聽端口。
　　舉例：我們要將接口Fa0/1 設置為偵聽口，Fa0/2 及Fa0/5 設置為被偵聽口，基本過程如下：
　　1、在配置模式下，首先選擇接口Fa0/1:
　　Switch(config)#int fa0/1
　　輸入被偵聽端口：
　　Switch(config-if)#port monitor fastEthernet 0/2
　　Switch(config-if)#port monitor fastEthernet 0/5
　　指定治理端口：
　　Switch(config-if)#port monitor VLAN 1
　　這條命令并不意味著接口Fa0/1 將偵聽vlan 1 的所有端口，它只是用來指定治理接口。
　　退出保存后，接口Fa0/1 設置為偵聽口，接口Fa0/2,Fa0/5 設置為被偵聽口。連接在接口Fa0/1 上的機器將能接收到通過接口Fa0/2,Fa0/5 的流量。
　　可以用命令Switch# show port monitor 來查看設置的結果：
　　Switch#show port monitor
　　Monitor Port Port Being Monitored>FastEthernet0/1 VLAN1
　　FastEthernet0/1 FastEthernet0/2
　　FastEthernet0/1 FastEthernet0/5
　　注：偵聽口與被偵聽口必須屬于同一個vlan。
　　說了這么多的廢話，只是的簡單的介紹了下交換機偵聽口這個東西和它的強大應用。
　　以及假如被入侵者利用的一個危害。所以建議對于網絡中設備的安全也不應該忽視，尤其是默認的口令和SNMP 的要害字的問題都是需要注重，另外像WEB 這種服務最好也不好開。
　　CISCO 的設備很多都可以利用WEB 服務的越權訪問漏洞進去的（在我其他的文章里有具體介紹）?？傊ＷC網絡中的每一個接點的安全才可以最終構建出一個真正安全的網絡工作環境。

上一篇：分組交換用戶電路故障分析及處理

下一篇：Cisco交換機口令的恢復(Catalyst 2900-XL and 3500-XL)