Cisco IOS SPAN och RSPAN

Posted on by admin

lektionens innehåll

Cisco Catalyst Switchar har en funktion som kallas SPAN (Switch Port Analyzer) som låter dig kopiera all trafik från en källport eller källa VLAN till en destination gränssnitt. Detta är mycket användbart av flera skäl:

  • om du vill använda wireshark för att fånga trafik från ett gränssnitt som är anslutet till en arbetsstation, server, telefon eller något annat du vill sniffa.
  • omdirigera all trafik från en VLAN till en IDS / IPS.
  • omdirigera alla VoIP-samtal från en VLAN så att du kan spela in samtal.

källan kan vara ett gränssnitt eller en VLAN, destinationen är ett gränssnitt. Du kan välja om du vill vidarebefordra överförda, mottagna eller båda riktningarna till destinationsgränssnittet.

Cisco SPAN exempel

när du använder en destination gränssnitt på samma switch som din switch vi kallar det SPAN, när destinationen är ett fjärrgränssnitt på en annan switch vi kallar det RSPAN (Remote SPAN). När du använder RSPAN måste du använda en VLAN för din rspan-trafik så att trafiken kan resa från källomkopplaren till destinationsomkopplaren.

cisco switch rspan exempel

när du använder RSPAN måste du använda en VLAN som bär den trafik som du kopierar. På bilden ovan ser du SW1 som kommer att kopiera trafiken från datorn till en ”RSPAN VLAN”. SW2 gör ingenting med det medan SW3 tar emot trafiken och vidarebefordrar den till en dator som har wireshark igång. Se till att stammarna mellan omkopplarna tillåter RSPAN VLAN.

SPAN och RSPAN är bra men det finns ett par saker du behöver tänka på …

begränsningar

både SPAN och RSPAN har några begränsningar, jag ger dig en översikt över de viktigaste:

  • källgränssnittet kan vara vad som helst … switchport, routed port, access port, trunk port,etherchannel, etc.
  • när du konfigurerar en trunk som källgränssnitt kommer den att kopiera trafik från alla VLAN, men det finns ett alternativ att filtrera detta.
  • du kan använda flera källgränssnitt eller flera VLAN, men du kan inte blanda gränssnitt och VLAN.
  • det är väldigt enkelt att överbelasta ett gränssnitt. När du väljer en hel VLAN som källa och använder en 100mbit destination interface…it kan vara för mycket.
  • när du konfigurerar en destinationsport kommer du att” förlora ” dess konfiguration. Som standard kommer destinationsgränssnittet endast att användas för att vidarebefordra SPÄNNVIDDSTRAFIK till. Det kan dock konfigureras för att tillåta inkommande trafik från en enhet som är ansluten till destinationsgränssnittet.
  • Layer 2-ramar som CDP, VTP, DTP och spanning-tree BPDU: er kopieras inte som standard men du kan berätta för SPAN/RSPAN att kopiera dem ändå.

detta bör ge dig en uppfattning om vad SPAN / RSPAN kan. Konfigurationen är ganska rättfram så låt mig ge dig några exempel…

SPAN konfiguration

låt oss börja med en enkel konfiguration. Jag kommer att använda exemplet jag visade dig tidigare:

Cisco SPAN exempel

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

du kan verifiera konfigurationen så här:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

som du kan se kopierar den som standard trafik som överförs och tas emot (båda) till destinationsporten. Om du bara vill fånga trafiken går i en riktning måste du ange det så här:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

lägg bara till rx eller tx så är du redo att gå. Om gränssnittet FastEthernet 0/1 var en trunk kan du lägga till ett filter för att välja VLAN du vill vidarebefordra:

Switch(config)#monitor session 1 filter vlan 1 - 100

detta filter ovan kommer endast att vidarebefordra VLAN 1-100 till destinationen. Om du inte vill använda ett gränssnitt som källa men en VLAN kan du göra det så här:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

jag kan inte använda session 1 för detta eftersom jag redan använder källgränssnitt för den sessionen. Det är också omöjligt att använda samma destinationsgränssnitt för en annan session. Det är därför jag skapade en annan session nummer och plockade FastEthernet 0/3 som en destination.

konfigurationer

vill du ta en titt själv? Här hittar du den slutliga konfigurationen för varje enhet.

byta

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

hittills så bra? Låt oss titta på RSPAN!

Rspan-konfiguration

för att demonstrera RSPAN kommer jag att använda en topologi med två omkopplare:

cisco rspan sw1 sw2

tanken är att vidarebefordra trafik från FastEthernet 0/1 på SW1 till FastEthernet 0/1 på SW2. Det finns ett par saker vi måste konfigurera här:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

först måste vi skapa VLAN och berätta för omkopplarna att det är en RSPAN vlan. Detta är något som lätt glöms bort. För det andra kommer vi att konfigurera länken mellan de två omkopplarna som en bagageutrymme:

Lämna ett svar

Din e-postadress kommer inte publiceras.