Cisco IOS SPAN und RSPAN

Posted on by admin

Unterrichtsinhalte

Cisco Catalyst Switches verfügen über eine Funktion namens SPAN (Switch Port Analyzer), mit der Sie den gesamten Datenverkehr von einem Quellport oder Quell-VLAN zu einer Zielschnittstelle kopieren können. Dies ist aus mehreren Gründen sehr nützlich:

  • Wenn Sie Wireshark verwenden möchten, um Datenverkehr von einer Schnittstelle zu erfassen, die mit einer Workstation, einem Server, einem Telefon oder etwas anderem verbunden ist, das Sie schnüffeln möchten.
  • Leiten Sie den gesamten Datenverkehr von einem VLAN zu einem IDS / IPS um.
  • Leiten Sie alle VoIP-Anrufe von einem VLAN um, damit Sie die Anrufe aufzeichnen können.

Die Quelle kann eine Schnittstelle oder ein VLAN sein, das Ziel ist eine Schnittstelle. Sie können wählen, ob Sie gesendete, empfangene oder beide Richtungen an die Zielschnittstelle weiterleiten möchten.

Cisco SPAN Example

Wenn Sie eine Zielschnittstelle auf demselben Switch wie Ihr Switch verwenden, nennen wir sie SPAN, wenn das Ziel eine Remote-Schnittstelle auf einem anderen Switch ist, nennen wir sie RSPAN (Remote SPAN). Wenn Sie RSPAN verwenden, müssen Sie ein VLAN für Ihren RSPAN-Datenverkehr verwenden, damit der Datenverkehr vom Quell-Switch zum Ziel-Switch übertragen werden kann.

cisco switch rspan Beispiel

Wenn Sie RSPAN verwenden, müssen Sie ein VLAN verwenden, das den Datenverkehr überträgt, den Sie kopieren. Im Bild oben sehen Sie SW1, das den Datenverkehr vom Computer auf ein „RSPAN VLAN“ kopiert. SW2 macht nichts damit, während SW3 den Datenverkehr empfängt und an einen Computer weiterleitet, auf dem Wireshark ausgeführt wird. Stellen Sie sicher, dass die Trunks zwischen den Switches das RSPAN-VLAN zulassen.

SPAN und RSPAN sind großartig, aber es gibt ein paar Dinge, die Sie beachten müssen …

Einschränkungen

Sowohl SPAN als auch RSPAN haben einige Einschränkungen, ich gebe Ihnen einen Überblick über die wichtigsten:

  • Die Quellschnittstelle kann alles sein … Switchport, gerouteter Port, Access Port, Trunk Port, Etherchannel usw.
  • Wenn Sie einen Trunk als Quellschnittstelle konfigurieren, wird der Datenverkehr von allen VLANs kopiert.
  • Sie können mehrere Quellschnittstellen oder mehrere VLANs verwenden, aber Sie können Schnittstellen und VLANs nicht mischen.
  • Es ist sehr einfach, eine Schnittstelle zu überladen. Wenn Sie ein gesamtes VLAN als Quelle auswählen und ein 100-Mbit-Ziel verwenden interface…it vielleicht zu viel.
  • Wenn Sie einen Zielport konfigurieren, „verlieren“ Sie dessen Konfiguration. Standardmäßig wird die Zielschnittstelle nur zum Weiterleiten des SPAN-Datenverkehrs verwendet. Es kann jedoch so konfiguriert werden, dass eingehender Datenverkehr von einem Gerät zugelassen wird, das mit der Zielschnittstelle verbunden ist.
  • Layer-2-Frames wie CDP-, VTP-, DTP- und Spanning-Tree-BPDUs werden standardmäßig nicht kopiert, aber Sie können SPAN / RSPAN trotzdem anweisen, sie zu kopieren.

Dies sollte Ihnen eine Vorstellung davon geben, wozu SPAN / RSPAN fähig sind. Die Konfiguration ist ziemlich einfach, also lassen Sie mich Ihnen einige Beispiele geben …

SPAN-Konfiguration

Beginnen wir mit einer einfachen Konfiguration. Ich werde das Beispiel verwenden, das ich Ihnen zuvor gezeigt habe:

Cisco SPAN Beispiel

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

Sie können die Konfiguration wie folgt überprüfen:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

Wie Sie sehen können, wird standardmäßig der übertragene und empfangene Datenverkehr (beide) an den Zielport kopiert. Wenn Sie nur den Datenverkehr in eine Richtung erfassen möchten, müssen Sie ihn folgendermaßen angeben:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

Fügen sie einfach rx oder tx und sie sind bereit zu gehen. Wenn Interface FastEthernet 0/1 ein Trunk wäre, könnten Sie einen Filter hinzufügen, um die VLANs auszuwählen, die Sie weiterleiten möchten:

Switch(config)#monitor session 1 filter vlan 1 - 100

Dieser Filter oben leitet nur VLAN 1 – 100 an das Ziel weiter. Wenn Sie keine Schnittstelle als Quelle, sondern ein VLAN verwenden möchten, können Sie dies folgendermaßen tun:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

Ich kann Sitzung 1 dafür nicht verwenden, da ich bereits Quellschnittstellen für diese Sitzung verwende. Es ist auch unmöglich, dieselbe Zielschnittstelle für eine andere Sitzung zu verwenden. Aus diesem Grund habe ich eine andere Sitzungsnummer erstellt und FastEthernet 0/3 als Ziel ausgewählt.

Konfigurationen

Möchten Sie selbst einen Blick darauf werfen? Hier finden Sie die endgültige Konfiguration jedes Geräts.

Schalter

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

So weit so gut? Schauen wir uns RSPAN an!

RSPAN-Konfiguration

Um RSPAN zu demonstrieren, verwende ich eine Topologie mit zwei Switches:

cisco rspan sw1 sw2

Die Idee ist, den Datenverkehr von FastEthernet 0/1 auf SW1 zu FastEthernet 0/1 auf SW2 weiterzuleiten. Es gibt ein paar Dinge, die wir hier konfigurieren müssen:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

Zuerst müssen wir das VLAN erstellen und den Switches mitteilen, dass es sich um ein RSPAN-VLAN handelt. Dies ist etwas, das leicht vergessen wird. Zweitens konfigurieren wir die Verbindung zwischen den beiden Switches als Trunk:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.