Cisco IOS SPAN e RSPAN

Posted on by admin

Lição Conteúdo

Cisco Catalyst Switches têm um recurso chamado SPAN (Switch Port Analyzer), que permite copiar todo o tráfego de uma porta de origem ou fonte de VLAN para interface de destino. Isto é muito útil para um número de razões:

  • Se você deseja usar o wireshark para capturar o tráfego de uma interface que está conectada a uma estação de trabalho, servidor, telefone ou qualquer outra coisa que você quer cheirar.
  • Redireccione todo o tráfego de um VLAN para um IDS / IPS.
  • redirecione todas as chamadas VoIP de uma VLAN para que você possa gravar as chamadas.

a fonte pode ser uma interface ou uma VLAN, o destino é uma interface. Você pode escolher se você deseja encaminhar transmitido, recebido ou ambas as direções para a interface de destino.

Cisco span Example

quando você usa uma interface de destino no mesmo Comutador que o seu switch nós chamamos de SPAN, quando o destino é uma interface remota noutro switch nós chamamos – lhe RSPAN (span remoto). Ao usar o RSPAN você precisa usar uma VLAN para o seu tráfego RSPAN para que o tráfego possa viajar a partir do interruptor de origem para o interruptor de destino.

cisco switch rspan example

quando você usa RSPAN você precisa usar uma VLAN que carrega o tráfego que você está copiando. Na imagem acima você vê SW1 que irá copiar o tráfego do computador para um “RSPAN VLAN”. SW2 não faz nada com ele enquanto SW3 recebe o tráfego e encaminha-o para um computador que tem wireshark funcionando. Certifique-se que os troncos entre os interruptores permitem o VLAN RSPAN.

SPAN e RSPAN são grandes, mas há um par de coisas que você precisa manter em mente…

Restrições

Ambos SPAN e RSPAN ter algumas restrições, eu vou dar a você uma visão geral dos mais importantes:

  • A interface de origem pode ser qualquer coisa…switchport, encaminhado porta, acesso da porta, porta de tronco, etherchannel, etc.
  • quando configurar um trunk como interface de origem, irá copiar o tráfego de todos os VLANs, no entanto, existe uma opção para filtrar isto.
  • pode usar várias interfaces de origem ou vários VLANs, mas não pode misturar interfaces e VLANs.
  • é muito simples sobrecarregar uma interface. Quando seleccionar um VLAN inteiro como fonte e usar um destino de 100Mbit interface…it pode ser demais.
  • quando configurar um porto de destino, irá “perder” a sua configuração. Por padrão, a interface de destino só será usada para encaminhar o tráfego de calibração para. No entanto, ele pode ser configurado para permitir o tráfego de entrada a partir de um dispositivo que está conectado à interface de destino.
  • camada 2 quadros como CDP, VTP, DTP e BPDUs árvore de extensão não são copiados por omissão, mas você pode dizer ao SPAN/RSPAN para copiá-los de qualquer forma.

isto deve dar-lhe uma ideia do que o SPAN / RSPAN é capaz de fazer. A configuração é bastante direta, então deixe-me dar alguns exemplos…

configuração de calibração

vamos começar com uma configuração simples. Vou usar o exemplo que te mostrei antes.:

exemplo de calibração da Cisco

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

você pode verificar a configuração como esta:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

como pode ver, por omissão irá copiar o tráfego que é transmitido e recebido (ambos) para o porto de destino. Se você só quer a captura o tráfego indo em uma direção você tem que especificá-lo assim:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

basta adicionar rx ou tx e você está pronto para ir. Se a interface FastEthernet 0/1 fosse um trunk, poderia adicionar um filtro para seleccionar os VLANs que deseja encaminhar:

Switch(config)#monitor session 1 filter vlan 1 - 100

este filtro acima só irá encaminhar VLAN 1-100 para o destino. Se você não quiser usar uma interface como a fonte, mas uma VLAN, você pode fazê-lo assim:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

não consigo usar a sessão 1 para isto porque já estou a usar interfaces de código para essa sessão. Também é impossível usar a mesma interface de destino para outra sessão. É por isso que eu criei outro número de sessão e escolhi FastEthernet 0/3 como um destino.

Configurações

quer dar uma olhada por si mesmo? Aqui você encontrará a configuração final de cada dispositivo.

Switch

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

até agora tudo bem? Vamos ver o RSPAN!

RSPAN de Configuração

Para demonstrar RSPAN vou usar uma topologia com dois interruptores.:

cisco rspan sw1 sw2

A ideia é encaminhar o tráfego de FastEthernet 0/1 em SW1 para FastEthernet 0/1 em SW2. Há algumas coisas que temos de configurar aqui.:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

primeiro temos de criar o VLAN e dizer aos interruptores que é um vlan RSPAN. Isto é algo que é facilmente esquecido. Em segundo lugar, vamos configurar a ligação entre os dois interruptores como um tronco:

Deixe uma resposta

O seu endereço de email não será publicado.