Cisco IOS SPAN og RSPAN

Posted on by admin

Leksjonsinnhold

Cisco Catalyst-Svitsjer har en funksjon kalt SPAN (Switch Port Analyzer) som lar deg kopiere all trafikk fra en kildeport eller kilde VLAN til et destinasjonsgrensesnitt. Dette er veldig nyttig av flere grunner:

  • hvis du vil bruke wireshark til å fange trafikk fra et grensesnitt som er koblet til en arbeidsstasjon, server, telefon eller noe annet du vil snuse.
  • Omdirigere all trafikk fra EN VLAN til EN IDS / IPS.
  • Omdirigere Alle VoIP-samtaler fra EN VLAN slik at du kan ta opp samtalene.

kilden kan være et grensesnitt eller EN VLAN, destinasjonen er et grensesnitt. Du kan velge om du vil videresende overført, mottatt eller begge retninger til destinasjonsgrensesnittet.

Cisco Span Eksempel

når du bruker et destinasjonsgrensesnitt på samme bryter som bryteren, kaller VI DET SPAN, når destinasjonen er et eksternt grensesnitt på en annen bryter, kaller VI DET Rspan (Remote SPAN). Når DU bruker RSPAN, må du bruke EN VLAN for rspan-trafikken slik at trafikken kan reise fra kildebryteren til destinasjonsbryteren.

cisco switch rspan eksempel

når DU bruker RSPAN må du bruke EN VLAN som bærer trafikken du kopierer. PÅ bildet over ser DU SW1 som vil kopiere trafikken fra datamaskinen til en «RSPAN VLAN». SW2 gjør ikke noe med DET MENS SW3 mottar trafikken og videresender den til en datamaskin som har wireshark kjører. Pass på at koffertene mellom bryterne tillater RSPAN VLAN.

SPAN OG RSPAN er flotte, men det er et par ting du må huske på…

Restriksjoner

BÅDE SPAN og RSPAN har noen begrensninger, jeg gir deg en oversikt over de viktigste:

  • kilden grensesnittet kan være noe … switchport, rutet port, tilgang port, trunk port, etherchannel, etc.
  • når du konfigurerer en trunk som kildegrensesnitt, vil den kopiere trafikk fra Alle Vlan, men det er et alternativ å filtrere dette.
  • du kan bruke flere kildegrensesnitt eller Flere Vlan, men du kan ikke blande grensesnitt og Vlan.
  • det er veldig enkelt å overbelaste et grensesnitt. Når du velger en hel VLAN som kilde og bruker en 100mbit destinasjon interface…it kan være for mye.
  • når du konfigurerer en målport ,vil du» miste » konfigurasjonen. Som standard vil destinasjonsgrensesnittet bare brukes til å videresende TRAFIKK til. Det kan imidlertid konfigureres til å tillate innkommende trafikk fra en enhet som er koblet til målgrensesnittet.
  • Lag 2-rammer som CDP, VTP,DTP og spanning-tree BPDUs kopieres ikke som standard, men DU kan fortelle SPAN/RSPAN å kopiere dem uansett.

Dette bør gi deg en ide om HVA SPAN / RSPAN er i stand til. Konfigurasjonen er ganske rett frem, så la meg gi deg noen eksempler…

SPAN Configuration

La oss starte med en enkel konfigurasjon. Jeg vil bruke eksemplet jeg viste deg tidligere:

Cisco SPAN Eksempel

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

du kan bekrefte konfigurasjonen som dette:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

som du kan se, vil den som standard kopiere trafikk som overføres og mottas (begge) til destinasjonsporten. Hvis du bare vil fange trafikken som går i en retning, må du spesifisere den slik:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

bare legg til rx eller tx, og du er klar til å gå. Hvis grensesnitt FastEthernet 0/1 var en koffert, kan du legge til et filter for å velge Vlan du vil videresende:

Switch(config)#monitor session 1 filter vlan 1 - 100

dette filteret ovenfor vil bare videresende VLAN 1 – 100 til destinasjonen. Hvis du ikke vil bruke et grensesnitt som kilde, men EN VLAN, kan du gjøre det slik:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

jeg kan ikke bruke økt 1 for dette fordi jeg allerede bruker kildegrensesnitt for den økten. Det er også umulig å bruke samme målgrensesnitt for en annen økt. Derfor opprettet jeg et annet øktnummer og plukket FastEthernet 0/3 som destinasjon.

Konfigurasjoner

Vil du ta en titt på deg selv? Her finner du den endelige konfigurasjonen av hver enhet.

Bryter

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

Så langt så bra? La OSS se PÅ RSPAN!

Rspan-Konfigurasjon

for å demonstrere RSPAN vil jeg bruke en topologi med to brytere:

cisco rspan sw1 sw2

ideen er å videresende trafikk Fra FastEthernet 0/1 PÅ SW1 Til FastEthernet 0/1 PÅ SW2. Det er et par ting vi må konfigurere her:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

Først må vi lage VLAN og fortelle bryterne at det er EN RSPAN vlan. Dette er noe som lett glemmes. For det andre vil vi konfigurere koblingen mellom de to bryterne som en koffert:

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.