Cisco IOS SPAN en RSPAN

Posted on by admin

inhoud van de les

Cisco Catalyst Switches hebben een functie genaamd SPAN (Switch Port Analyzer) waarmee u al het verkeer van een bronpoort of bron VLAN naar een doelinterface kunt kopiëren. Dit is zeer nuttig om een aantal redenen:

  • als u wireshark wilt gebruiken om verkeer vast te leggen van een interface die is verbonden met een werkstation, server, telefoon of iets anders dat u wilt ruiken.
  • leid al het verkeer van een VLAN om naar een IDS / IPS.
  • alle VoIP-oproepen van een VLAN omleiden, zodat u de gesprekken kunt opnemen.

de bron kan een interface of een VLAN zijn, de bestemming is een interface. U kunt kiezen of u verzonden, ontvangen of beide richtingen wilt doorsturen naar de doelinterface.

Cisco SPAN voorbeeld

wanneer u een doelinterface gebruikt op dezelfde switch als uw switch noemen we het SPAN, wanneer de bestemming een remote interface is op een andere switch noemen we het RSPAN (Remote SPAN). Als u RSPAN gebruikt, moet u een VLAN gebruiken voor uw RSPAN-verkeer, zodat het verkeer van de bronschakelaar naar de bestemmingsschakelaar kan reizen.

Cisco switch rspan voorbeeld

wanneer u RSPAN gebruikt, moet u een VLAN gebruiken dat het verkeer bevat dat u kopieert. In de foto hierboven zie je SW1 die het verkeer van de computer naar een “RSPAN VLAN”zal kopiëren. SW2 doet er niets mee, terwijl SW3 het verkeer ontvangt en doorstuurt naar een computer met wireshark. Zorg ervoor dat de stammen tussen de schakelaars de RSPAN VLAN toestaan.

SPAN en RSPAN zijn groot, maar er zijn een paar dingen die u in gedachten moet houden …

restricties

beide SPAN en RSPAN hebben enkele restricties, Ik geef u een overzicht van de belangrijkste:

  • de broninterface kan van alles zijn … switchport, routed port, access port, trunk port, etherchannel, enz.
  • wanneer u een trunk configureert als de broninterface zal het verkeer van alle VLAN ‘ s kopiëren, maar er is een optie om dit te filteren.
  • u kunt meerdere broninterfaces of meerdere VLAN ’s gebruiken, maar u kunt geen interfaces en VLAN’ s mengen.
  • het is heel eenvoudig om een interface te overbelasten. Wanneer u een hele VLAN als bron selecteert en een bestemming van 100Mbit gebruikt interface…it misschien is het te veel.
  • wanneer u een doelpoort configureert, zult u de configuratie ervan “verliezen”. Standaard wordt de doelinterface alleen gebruikt om SPAN-verkeer naar door te sturen. Het kan echter worden geconfigureerd om inkomend verkeer toe te staan vanaf een apparaat dat is aangesloten op de doelinterface.
  • Layer 2 frames zoals CDP, VTP, DTP en spanning-tree BPDU ‘ s worden standaard niet gekopieerd, maar u kunt SPAN/RSPAN vertellen om ze toch te kopiëren.

dit zou u een idee moeten geven van welke SPAN / RSPAN in staat zijn. De configuratie is vrij eenvoudig dus laat me je enkele voorbeelden geven…

SPAN configuratie

laten we beginnen met een eenvoudige configuratie. Ik zal het voorbeeld gebruiken dat ik je eerder liet zien.:

Cisco SPAN voorbeeld

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

u kunt de configuratie als volgt verifiëren:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

zoals u kunt zien, kopieert het standaard verkeer dat wordt verzonden en ontvangen (beide) naar de doelpoort. Als u alleen wilt dat de opname van het verkeer gaat in een richting moet u het opgeven als volgt:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

voeg gewoon rx of tx toe en je bent klaar om te gaan. Als interface FastEthernet 0/1 een trunk waren, kon je een filter toevoegen om de VLAN ‘ s te selecteren die je wilt doorsturen:

Switch(config)#monitor session 1 filter vlan 1 - 100

dit filter hierboven stuurt alleen VLAN 1 – 100 naar de bestemming. Als u geen interface als bron maar een VLAN wilt gebruiken, kunt u dit als volgt doen: :

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

ik kan Sessie 1 hiervoor niet gebruiken omdat ik al broninterfaces voor die sessie gebruik. Het is ook onmogelijk om dezelfde doelinterface te gebruiken voor een andere sessie. Dit is de reden waarom ik een andere sessie nummer en koos FastEthernet 0/3 als een bestemming.

configuraties

wilt u zelf een kijkje nemen? Hier vindt u de uiteindelijke configuratie van elk apparaat.

Switch

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

tot zover alles goed? Laten we naar RSPAN kijken!

Rspan configuratie

om RSPAN aan te tonen zal ik een topologie met twee schakelaars gebruiken:

cisco rspan sw1 sw2

het idee is om het verkeer door te sturen van FastEthernet 0/1 op SW1 naar FastEthernet 0/1 op SW2. Er zijn een paar dingen die we hier moeten configureren:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

eerst moeten we de VLAN maken en de schakelaars vertellen dat het een rspan vlan is. Dit is iets dat gemakkelijk wordt vergeten. Ten tweede zullen we de koppeling tussen de twee schakelaars configureren als een trunk:

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.