Cisco IOS SPAN i RSPAN

Posted on by admin

zawartość lekcji

przełączniki Cisco Catalyst posiadają funkcję o nazwie SPAN (Switch Port Analyzer), która umożliwia kopiowanie całego ruchu z portu źródłowego lub źródłowej sieci VLAN do interfejsu docelowego. Jest to bardzo przydatne z wielu powodów:

  • jeśli chcesz użyć wireshark do przechwytywania ruchu z interfejsu podłączonego do stacji roboczej, serwera, telefonu lub czegokolwiek innego, co chcesz wąchać.
  • Przekieruj cały ruch z sieci VLAN na IDS / IPS.
  • Przekieruj wszystkie połączenia VoIP z sieci VLAN, aby móc nagrywać połączenia.

źródłem może być Interfejs lub VLAN, miejscem docelowym jest interfejs. Możesz wybrać, czy chcesz przekazać przekazane, odebrane lub oba kierunki do interfejsu docelowego.

Cisco SPAN Example

gdy używasz interfejsu docelowego na tym samym przełączniku, co przełącznik, nazywamy go SPAN, gdy docelowym jest Zdalny interfejs na innym przełączniku, nazywamy go RSPAN (Remote SPAN). Podczas korzystania z usługi RSPAN należy użyć sieci VLAN dla ruchu RSPAN, aby ruch mógł przemieszczać się z przełącznika źródłowego do przełącznika docelowego.

Cisco Switch rspan przykład

gdy używasz RSPAN, musisz użyć sieci VLAN, która przenosi ruch, który kopiujesz. Na powyższym obrazku widać SW1, który skopiuje ruch z komputera na „RSPAN VLAN”. SW2 nic z nim nie robi, podczas gdy SW3 odbiera ruch i przekazuje go do komputera, na którym działa wireshark. Upewnij się, że pnie między przełącznikami zezwalają na sieć VLAN RSPAN.

SPAN i RSPAN są świetne, ale jest kilka rzeczy, o których musisz pamiętać …

ograniczenia

zarówno SPAN, jak i RSPAN mają pewne ograniczenia, dam ci przegląd najważniejszych z nich:

  • interfejs źródłowy może być dowolny … port Przełącznika,Port routed, port dostępu, Port trunk, etherchannel itp.
  • gdy skonfigurujesz trunk jako interfejs źródłowy, skopiuje on ruch ze wszystkich sieci VLAN, jednak istnieje opcja filtrowania tego.
  • możesz używać wielu interfejsów źródłowych lub wielu sieci VLAN, ale nie możesz mieszać interfejsów i sieci VLAN.
  • przeciążenie interfejsu jest bardzo proste. Po wybraniu całej sieci VLAN jako źródła i użyciu miejsca docelowego 100Mbit interface…it to może być za dużo.
  • gdy skonfigurujesz port docelowy, „stracisz” jego konfigurację. Domyślnie interfejs docelowy będzie używany tylko do przekazywania ruchu rozpiętości do. Można go jednak skonfigurować tak, aby zezwalał na ruch przychodzący z urządzenia podłączonego do interfejsu docelowego.
  • klatki warstwy 2, takie jak CDP, VTP, DTP i spanning-tree BPDU nie są domyślnie kopiowane, ale możesz powiedzieć SPAN/RSPAN, aby je skopiować.

to powinno dać ci wyobrażenie o tym, do czego są zdolne SPAN / RSPAN. Konfiguracja jest dość prosta, więc podam kilka przykładów …

Konfiguracja SPAN

Zacznijmy od prostej konfiguracji. Skorzystam z przykładu, który pokazałem wcześniej:

przykład Cisco SPAN

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

możesz zweryfikować konfigurację w następujący sposób:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

jak widać, domyślnie kopiuje ruch przesyłany i odbierany (oba) do portu docelowego. Jeśli chcesz tylko uchwycić ruch w jednym kierunku, musisz określić go w ten sposób:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

wystarczy dodać rx lub tx i jesteś gotowy do pracy. Jeśli interfejs FastEthernet 0/1 był bagażnikiem, możesz dodać filtr, aby wybrać VLAN, który chcesz przekazać:

Switch(config)#monitor session 1 filter vlan 1 - 100

powyższy filtr przekieruje tylko VLAN 1 – 100 do miejsca docelowego. Jeśli nie chcesz używać interfejsu jako źródła, ale VLAN, możesz to zrobić w następujący sposób:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

nie mogę do tego użyć sesji 1, ponieważ już używam interfejsów źródłowych dla tej sesji. Niemożliwe jest również użycie tego samego interfejsu docelowego dla innej sesji. Dlatego stworzyłem kolejny numer sesji i wybrałem FastEthernet 0/3 jako miejsce docelowe.

konfiguracje

chcesz sam zobaczyć? Tutaj znajdziesz ostateczną konfigurację każdego urządzenia.

Przełącznik

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

jak na razie dobrze? Spójrzmy na RSPAN!

Konfiguracja RSPAN

aby zademonstrować RSPAN użyję topologii z dwoma przełącznikami:

cisco rspan sw1 sw2

chodzi o to, aby przekierować ruch z FastEthernet 0/1 na SW1 do FastEthernet 0/1 na SW2. Jest kilka rzeczy, które musimy skonfigurować tutaj:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

najpierw musimy utworzyć VLAN i powiedzieć przełącznikom, że jest to vlan RSPAN. Jest to coś, o czym łatwo zapomnieć. Po drugie skonfigurujemy połączenie między dwoma przełącznikami jako bagażnik:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.