Cisco IOS SPAN e RSPAN

Posted on by admin

Contenuto della lezione

Switch Cisco Catalyst hanno una funzione chiamata SPAN (Switch Port Analyzer) che consente di copiare tutto il traffico da una porta sorgente o sorgente VLAN a un’interfaccia di destinazione. Questo è molto utile per una serie di motivi:

  • Se si desidera utilizzare wireshark per catturare il traffico da un’interfaccia collegata a una workstation, server, telefono o qualsiasi altra cosa che si desidera annusare.
  • Reindirizza tutto il traffico da una VLAN a un IDS / IPS.
  • Reindirizzare tutte le chiamate VoIP da una VLAN in modo da poter registrare le chiamate.

La fonte può essere un’interfaccia o una VLAN, la destinazione è un’interfaccia. È possibile scegliere se si desidera inoltrare trasmesso, ricevuto o entrambe le direzioni per l’interfaccia di destinazione.

Cisco SPAN Example

Quando si utilizza un’interfaccia di destinazione sullo stesso switch del proprio switch, la chiamiamo SPAN, quando la destinazione è un’interfaccia remota su un altro switch la chiamiamo RSPAN (Remote SPAN). Quando si utilizza RSPAN è necessario utilizzare una VLAN per il traffico RSPAN in modo che il traffico possa viaggiare dallo switch di origine allo switch di destinazione.

cisco switch rspan esempio

Quando si utilizza RSPAN è necessario utilizzare una VLAN che trasporta il traffico che si sta copiando. Nella foto sopra si vede SW1 che copierà il traffico dal computer su un “RSPAN VLAN”. SW2 non fa nulla con esso mentre SW3 riceve il traffico e lo inoltra a un computer con wireshark in esecuzione. Assicurarsi che i tronchi tra gli interruttori consentono la VLAN RSPAN.

PORTATA e RSPAN sono grandi, ma ci sono un paio di cose che dovete tenere a mente…

Restrizioni

Sia di durata e RSPAN sono alcune restrizioni, ti darò una panoramica dei più importanti:

  • L’interfaccia di origine può essere qualsiasi cosa…switchport, indirizzato porta, porta di accesso, il tronco porta, etherchannel, etc.
  • Quando configuri un trunk come interfaccia di origine copierà il traffico da tutte le VLAN, tuttavia c’è un’opzione per filtrarlo.
  • È possibile utilizzare più interfacce sorgente o più VLAN, ma non è possibile combinare interfacce e VLAN.
  • È molto semplice sovraccaricare un’interfaccia. Quando si seleziona un’intera VLAN come origine e si utilizza una destinazione a 100 Mbit interface…it potrebbe essere troppo.
  • Quando si configura una porta di destinazione si “perde” la sua configurazione. Per impostazione predefinita, l’interfaccia di destinazione verrà utilizzata solo per inoltrare il traffico su SPAN. Tuttavia, può essere configurato per consentire il traffico in entrata da un dispositivo connesso all’interfaccia di destinazione.
  • I frame di livello 2 come CDP, VTP, DTP e spanning-tree BPDU non vengono copiati per impostazione predefinita, ma puoi dire a SPAN/RSPAN di copiarli comunque.

Questo dovrebbe darti un’idea di cosa sono capaci SPAN / RSPAN. La configurazione è abbastanza semplice, quindi lascia che ti dia alcuni esempi

SPAN Configuration

Iniziamo con una semplice configurazione. Userò l’esempio che ti ho mostrato prima:

Cisco SPAN Esempio

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

Puoi verificare la configurazione in questo modo:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

Come puoi vedere, per impostazione predefinita copierà il traffico trasmesso e ricevuto (entrambi) sulla porta di destinazione. Se vuoi solo catturare il traffico che va in una direzione devi specificarlo in questo modo:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

Basta aggiungere rx o tx e si è pronti ad andare. Se l’interfaccia FastEthernet 0/1 fosse un trunk è possibile aggiungere un filtro per selezionare le VLAN che si desidera inoltrare:

Switch(config)#monitor session 1 filter vlan 1 - 100

Questo filtro sopra inoltrerà solo VLAN 1 – 100 alla destinazione. Se non si desidera utilizzare un’interfaccia come sorgente ma una VLAN, è possibile farlo in questo modo:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

Non sono in grado di utilizzare la sessione 1 per questo perché sto già utilizzando le interfacce di origine per quella sessione. È anche impossibile utilizzare la stessa interfaccia di destinazione per un’altra sessione. Questo è il motivo per cui ho creato un altro numero di sessione e ho scelto FastEthernet 0/3 come destinazione.

Configurazioni

Vuoi dare un’occhiata tu stesso? Qui troverai la configurazione finale di ogni dispositivo.

Interruttore

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

Fin qui tutto bene? Diamo un’occhiata a RSPAN!

Configurazione RSPAN

Per dimostrare RSPAN userò una topologia con due switch:

cisco rspan sw1 sw2

L’idea è quella di inoltrare il traffico da FastEthernet 0/1 su SW1 a FastEthernet 0/1 su SW2. Ci sono un paio di cose che dobbiamo configurare qui:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

Per prima cosa dobbiamo creare la VLAN e dire agli switch che si tratta di una vlan RSPAN. Questo è qualcosa che è facilmente dimenticato. In secondo luogo configureremo il collegamento tra i due switch come un trunk:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.