Cisco IOS SPAN și RSPAN

Posted on by admin

conținutul lecției

switch-urile Cisco Catalyst au o caracteristică numită SPAN (Switch Port Analyzer) care vă permite să copiați tot traficul dintr-un port sursă sau VLAN sursă într-o interfață de destinație. Acest lucru este foarte util din mai multe motive:

  • dacă doriți să utilizați wireshark pentru a capta trafic de la o interfață care este conectat la o stație de lucru, server, telefon sau orice altceva pe care doriți să adulmece.
  • redirecționați tot traficul de la un VLAN la un IDS / IPS.
  • redirecționați toate apelurile VoIP de la un VLAN, astfel încât să puteți înregistra apelurile.

sursa poate fi o interfață sau un VLAN, destinația este o interfață. Puteți alege dacă doriți să transmiteți transmis, primit sau ambele direcții către interfața de destinație.

Cisco SPAN Example

când utilizați o interfață de destinație pe același comutator ca comutatorul îl numim SPAN, atunci când destinația este o interfață la distanță pe un alt comutator îl numim RSPAN (interval la distanță). Când utilizați RSPAN, trebuie să utilizați un VLAN pentru traficul RSPAN, astfel încât traficul să poată călători de la comutatorul sursă la comutatorul destinație.

cisco switch rspan exemplu

când utilizați RSPAN trebuie să utilizați un VLAN care transportă traficul pe care îl copiați. În imaginea de mai sus Vedeți SW1 care va copia traficul de pe computer pe un „RSPAN VLAN”. SW2 nu face nimic cu el în timp ce SW3 primește traficul și îl transmite către un computer care rulează wireshark. Asigurați-vă că trunchiurile dintre comutatoare permit RSPAN VLAN.

SPAN și RSPAN sunt minunate, dar există câteva lucruri pe care trebuie să le țineți minte…

restricții

atât SPAN, cât și RSPAN au unele restricții, vă voi oferi o imagine de ansamblu asupra celor mai importante:

  • interfața sursă poate fi orice…switchport, port rutat, port de acces, port trunchi, etherchannel etc.
  • când configurați un trunchi ca interfață sursă, acesta va copia traficul din toate VLAN-urile, cu toate acestea există o opțiune pentru a filtra acest lucru.
  • puteți utiliza mai multe interfețe sursă sau mai multe VLAN-uri, dar nu puteți amesteca interfețe și VLAN-uri.
  • este foarte simplu să supraîncărcați o interfață. Când selectați un VLAN întreg ca sursă și utilizați o destinație de 100Mbit interface…it ar putea fi prea mult.
  • când configurați un port de destinație, veți „pierde” configurația acestuia. În mod implicit, interfața de destinație va fi utilizată numai pentru a redirecționa traficul SPAN către. Cu toate acestea, poate fi configurat pentru a permite traficul de intrare de la un dispozitiv conectat la interfața de destinație.
  • Layer 2 cadre, cum ar fi CDP, VTP, DTP și spanning-copac BPDUs nu sunt copiate în mod implicit, dar vă pot spune SPAN/RSPAN pentru a le copia oricum.

acest lucru ar trebui să vă dea o idee despre ceea ce SPAN / RSPAN sunt capabile de. Configurația este destul de drept înainte, așa că permiteți-mi să vă dau câteva exemple…

configurare SPAN

să începem cu o configurație simplă. Voi folosi exemplul pe care vi l-am arătat mai devreme:

Cisco SPAN exemplu

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

puteți verifica configurația astfel:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

după cum puteți vedea, în mod implicit va copia traficul care este transmis și primit (ambele) la portul de destinație. Dacă doriți doar captura traficul merge într-o singură direcție trebuie să-l specificați ca aceasta:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

trebuie doar să adăugați rx sau tx și sunteți gata de plecare. Dacă interfața FastEthernet 0/1 ar fi un trunchi, puteți adăuga un filtru pentru a selecta VLAN-urile pe care doriți să le redirecționați:

Switch(config)#monitor session 1 filter vlan 1 - 100

acest filtru de mai sus va transmite doar VLAN 1 – 100 la destinație. Dacă nu doriți să utilizați o interfață ca sursă, ci un VLAN, o puteți face astfel:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

nu pot folosi Sesiunea 1 Pentru aceasta, deoarece folosesc deja interfețe sursă pentru acea sesiune. De asemenea, este imposibil să utilizați aceeași interfață de destinație pentru o altă sesiune. Acesta este motivul pentru care am creat un alt număr de sesiune și am ales FastEthernet 0/3 ca destinație.

configurații

vrei să arunci o privire pentru tine? Aici veți găsi configurația finală a fiecărui dispozitiv.

comutator

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

până acum e bine? Să ne uităm la RSPAN!

configurare RSPAN

pentru a demonstra RSPAN voi folosi o topologie cu două comutatoare:

cisco rspan sw1 sw2

ideea este de a transmite traficul de la FastEthernet 0/1 pe SW1 la FastEthernet 0/1 pe SW2. Există câteva lucruri pe care trebuie să le configurăm aici:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

mai întâi trebuie să creăm VLAN-ul și să spunem comutatoarelor că este un vlan RSPAN. Acest lucru este ușor de uitat. În al doilea rând, vom configura legătura dintre cele două comutatoare ca un trunchi:

Lasă un răspuns

Adresa ta de email nu va fi publicată.