Cisco IOS SPAN és RSPAN

Posted on by admin

a lecke tartalma

a Cisco Catalyst kapcsolók span (Switch Port Analyzer) nevű funkcióval rendelkeznek, amely lehetővé teszi az összes forgalom másolását egy forrásportból vagy forrás VLAN-ból egy célfelületre. Ez számos okból nagyon hasznos:

  • ha a wireshark segítségével szeretné rögzíteni a forgalmat egy munkaállomáshoz, szerverhez, telefonhoz vagy bármi máshoz csatlakoztatott felületről, amelyet szimatolni szeretne.
  • irányítsa át az összes forgalmat egy VLAN-ról egy IDS / IPS-re.
  • irányítsa át az összes VoIP hívást egy VLAN-ról, így rögzítheti a hívásokat.

a forrás lehet interfész vagy VLAN, a cél egy interfész. Kiválaszthatja, hogy továbbítsa-e a továbbított, fogadott vagy mindkét irányt a célfelületre.

Cisco SPAN példa

ha egy cél interfészt használ ugyanazon a kapcsolón, mint a kapcsoló, akkor SPAN-nak nevezzük, amikor a cél egy távoli interfész egy másik kapcsolón, akkor Rspan-nak (távoli SPAN) nevezzük. Az RSPAN használatakor VLAN-t kell használnia az RSPAN-forgalomhoz, hogy a forgalom a forrás kapcsolótól a célkapcsolóig haladhasson.

cisco switch rspan példa

az RSPAN használatakor olyan VLAN-t kell használnia, amely a másolt forgalmat hordozza. A fenti képen az SW1 látható, amely átmásolja a forgalmat a számítógépről egy “RSPAN VLAN” – ra. SW2 nem csinál semmit vele, míg SW3 fogadja a forgalmat, és továbbítja azt a számítógépre, amely Wireshark fut. Győződjön meg arról, hogy a kapcsolók közötti törzsek lehetővé teszik az RSPAN VLAN használatát.

a SPAN és az RSPAN nagyszerűek, de van néhány dolog, amit szem előtt kell tartanod…

korlátozások

mind a SPAN, mind az RSPAN korlátozások vannak, áttekintést adok a legfontosabbakról:

  • a forrás interfész bármi lehet … switchport, routed port, access port, trunk port, etherchannel, stb.
  • amikor egy törzset forrás interfészként konfigurál, akkor az összes VLAN forgalmát lemásolja, azonban van lehetőség ennek szűrésére.
  • használhat több forrás interfészt vagy több VLAN-t, de nem keverheti össze az interfészeket és a VLAN-okat.
  • nagyon egyszerű túlterhelni egy interfészt. Ha egy teljes VLAN-t választ ki forrásként, és 100Mbit-es célállomást használ interface…it lehet, hogy túl sok.
  • amikor konfigurál egy célportot, akkor “elveszíti” a konfigurációját. Alapértelmezés szerint a célfelület csak a SPAN forgalom továbbítására szolgál. Konfigurálható azonban úgy, hogy engedélyezze a bejövő forgalmat a célfelülethez csatlakoztatott eszközről.
  • a 2.rétegű keretek, mint például a CDP, VTP, DTP és a spanning-tree BPDU-k alapértelmezés szerint nem másolódnak, de megmondhatja a SPAN/RSPAN-nek, hogy másolja őket.

ennek képet kell adnia arról, hogy mire képesek a SPAN / RSPAN. A konfiguráció meglehetősen egyszerű, ezért hadd mondjak néhány példát…

SPAN konfiguráció

kezdjük egy egyszerű konfigurációval. Azt a példát fogom használni, amelyet korábban mutattam neked:

Cisco SPAN példa

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

a konfigurációt így ellenőrizheti:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

mint látható, alapértelmezés szerint a továbbított és fogadott forgalmat (mindkettőt) a célportra másolja. Ha csak azt akarja, hogy a forgalom egy irányba haladjon, akkor ezt meg kell adnia:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

csak add rx vagy tx és készen áll, hogy menjen. Ha interfész FastEthernet 0/1 volt a törzs akkor adjunk hozzá egy szűrőt, hogy válassza ki a VLAN szeretne továbbítani:

Switch(config)#monitor session 1 filter vlan 1 - 100

ez a fenti szűrő csak a VLAN 1 – 100-at továbbítja a rendeltetési helyre. Ha nem egy felületet szeretne forrásként használni, hanem VLAN-t, akkor ezt megteheti:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

nem tudom használni az 1.munkamenetet ehhez, mert már használom a forrás interfészeket az adott munkamenethez. Az is lehetetlen, hogy ugyanazt a célfelületet használja egy másik munkamenethez. Ezért hoztam létre egy másik munkamenetszámot, és a FastEthernet 0/3-at választottam rendeltetési helyként.

konfigurációk

szeretné, hogy egy pillantást magad? Itt megtalálja az egyes eszközök végleges konfigurációját.

kapcsoló

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

eddig minden rendben? Nézzük az RSPAN-t!

Rspan konfiguráció

az RSPAN bemutatásához két kapcsolóval rendelkező topológiát fogok használni:

cisco rspan sw1 sw2

az ötlet az, hogy továbbítsa a forgalmat FastEthernet 0/1 SW1 FastEthernet 0/1 SW2. Van néhány dolog, amit itt konfigurálnunk kell:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

először létre kell hoznunk a VLAN-t, és meg kell mondanunk a kapcsolóknak, hogy ez egy RSPAN vlan. Ez olyan dolog, amit könnyen elfelejthetünk. Másodszor konfiguráljuk a két kapcsoló közötti kapcsolatot törzsként:

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.