Как настроить зеркалирование портов на cisco

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Пример настройки SPAN/RSPAN/ERSPAN

4 минуты чтения

Ищете возможность анализировать сетевой трафик/отправлять его на систему записи телефонных разговоров? Изи. Коммутаторы Cisco (да и многие другие) дают возможность копировать пакеты с определенного порта или VLAN и отправлять эти данные на другой порт для последующего анализа (Wireshark, например).

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Кстати, этот функционал полезен при использовании IDS (Intrusion Detection System) систем в целях безопасности. Мы уже рассказывали теоретические основы SPAN/RSPAN, поэтому, сегодняшняя статья будет посвящена практике настройке.

Про настройку SPAN

В рамках обычной SPAN сессии захват (копирование) сетевого трафика происходит с порта источника (source port) и отправляется на порт назначения (destination port). Обратите внимание на пример ниже: мы сделаем SPAN – сессию с порта fa 0/1 и отправим данные на порт fa 0/5:

Важно! SPAN – сессия может работать только в рамках одного коммутатора (одного устройства).

Просто, не правда ли? В рамках данной конфигурации весь трафик с порта fa 0/1 будет скопирован на порт fa 0/5.

Интереснее: пример RSPAN

Идем вперед. Более продвинутая реализация зеркалирования трафика это RSPAN (Remote SPAN). Эта фича позволяет вам зеркалировать трафик между различными устройствами (коммутаторами) по L2 через транковые порты. Копия трафика будет отправляться в удаленный VLAN между коммутаторами, пока не будет принята на коммутаторе назначения.

На самом деле, это легко. Давайте разберемся на примере: как показано на рисунке, мы хотим копировать трафик с коммутатора №1 (порт fa 0/1) и отправлять трафик на коммутатор №2 (порт fa 0/5). В примере показано прямое транковое подключение между коммутаторами по L2. Если в вашей сети имеется множество коммутаторов между устройствами источника и назначения – не проблема.

Таким образом, весь трафик с интерфейса fa 0/1 на локальном коммутаторе (источнике) будет отправлен в vlan 100, и, когда коммутатор получатель (remote) получит данные на 100 VLAN он отправит их на порт назначения fa 0/5. Такие дела.

Party Hard: разбираемся с ERSPAN

ERSPAN (Encapsulated Remote Switched Port Analyzer) — фича, которая используется для копирование трафика в L3 сетях. В основе работы механизма лежит GRE инкапсуляция.

Как показано ниже, между коммутатором источником и коммутатором получателем устанавливается GRE – туннель (между IP – адресами машин). Опять же, мы хотим отправить трафик с порт fa 0/1 на порт fa 0/5.

Читайте также:  Как настроить epsxe 205

Траблшутинг

Мониторинг трафика в указанном VLAN:

Мониторинг входящего или только исходящего трафика:

Посмотреть конфигурацию сессии зеркалирования:

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник

Как настроить зеркалирование портов на cisco

На многих коммутаторах cisco реализованы технологии SPAN и RSPAN позволяющие зеркалировать траффик с порта на порт или с vlan на порт удаленного коммутатора и т.п.

Port mirroring (Зеркалиирование порта) — процесс копирования пакетов с порта на другой порт в пределах одного или нескольких коммутаторов.

Настройка SPAN на cisco

SPAN (Switch Port Analyzer) — Локальное зеркалирование используется для копирования траффика с порта или vlan на другой порт этого же коммутатора.

Зеркалирование траффика с порта на порт

Gi0/X — порт с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Для зеркалирования только входящего трафиика добавляем в «rx».

Для зеркалирования только исходящего трафиика добавляем «tx».

Можно зеркалировать траффик с нескольких портов

Gi0/X1..Gi0/Xn — порты с которых будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик между портами одного коммутатора.

Для зеркалирования траффика с vlan на порт указываем не интерфейс а влан.

vlan 100 — номер vlan с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик определенной VLAN на порт коммутатора.

Настройка RSPAN на cisco

RSPAN (Remote Switch Port Analyzer) — Удаленное зеркалирование используется для копирования траффика с порта или vlan на порт удаленного коммутатора.

Рассмотрим пример работы RSPAN. Допустим у нас есть 2 коммутатора (SW1 и SW2) соединеных между собой транковыми портами. Нам требуется передать зеркальный траффик VLAN 50 с коммутатора SW1 на порт Gi0/1 коммутатора SW2 используя RSPAN VLAN 100.

1. Создаем RSPAN VLAN 100 на коммутаторах (SW1 и SW2) в котором будем передавать траффик.

2. Создаем сессию мониторинга на коммутаторе SW1

vlan 50 — номер vlan который будем зеркалировать

Gi0/1 — номер порта в который будет сливаться весь зеркальный траффик.

Таким образом через RSPAN VLAN можно передавать зеркалированный траффик между двумя коммутаторами.

Команды диагностики SPAN и RSPAN

На последок приведу несколько команд для диагностики настроеных monitor session.

1. Просмотр SPAN monitor session

2. Просмотр RSPAN monitor session

3. Просмотр всех настроенных monitor sesion

На этом все. Комментируем, подписываемся ну и всем пока:)

1″ :pagination=»pagination» :callback=»loadData» :options=»paginationOptions»>

Источник

Руководство по зеркалированию портов на коммутаторах Cisco (SPAN)

SPAN — это анализатор коммутируемых портов, доступный на некоторых коммутаторах Cisco Catalyst. Вы можете использовать SPAN на:

  • Catalyst Express 500/520 Series
  • Катализатор 1900 серии
  • Катализатор серии 2900XL
  • Катализатор 2940 серии
  • Катализатор 2948G-L2, 2948G-GE-TX, 2980G-A
  • Катализатор 2950 серии
  • Катализатор 2955 серии
  • Катализатор 2960 серии
  • Катализатор 2970 серии
  • Catalyst 3500 XL Series
  • Катализатор 3550 серии
  • Катализатор 3560 / 3560E / 3650X Series
  • Катализатор серии 3750 / 3750E / 3750X
  • Catalyst 3750 Metro Series
  • Катализатор 4500/4000 серии
  • Катализатор серии 4900
  • Катализатор серии 5500/5000
  • Катализатор серии 6500/6000
Читайте также:  Как настроить внешний вид яндекс почты

Примечание: процесс установки отличается для каждой модели.

Что такое SPAN?

Функция SPAN позволяет подключить анализатор пакетов к коммутатору. Без SPAN анализатор будет принимать широковещательные сообщения только потому, что коммутатор замыкает канал между двумя взаимодействующими устройствами, блокируя анализатор, подключенный к другому порту. С SPAN, весь трафик, проходящий через порт, реплицируется и отправляется на порт сниффера. Этот процесс известен как «зеркальное отображение».

Система SPAN возможность контролировать один порт или несколько портов. Также возможно определить направление трафика на этот порт. Вариант SPAN, называемый RSPAN (анализатор портов удаленного коммутатора), позволяет вам отслеживать трафик между коммутаторами. Опция RSPAN недоступна на всех коммутаторах Catalyst — коммутаторы Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL не имеют функции RSPAN.

Вы можете настроить SPAN для мониторинга порта VLAN, а также указать, что он должен отслеживать весь трафик VLAN. Немного терминологии необходимо объяснить. Термины «источник» и «место назначения,”, Которые обычно используются в сети, имеют несколько иное значение в SPAN. Здесь «источником» является любой порт, а не источник трафика. Термин «пункт назначения» в SPAN относится к порту, к которому подключен анализатор пакетов; это не означает пункт назначения отслеживаемого трафика.

Настройте SPAN на коммутаторе

Cisco рекомендует различные методы для настройки зеркалирования портов с помощью SPAN в соответствии с версией коммутатора Catalyst. Эти шаги будут просто перенаправлять копии пакетов трафика на порт, к которому вы подключаете ваше устройство. Настройка зеркалирования портов не будет хранить или анализировать трафик. Вы можете использовать любое программное обеспечение для анализа сети для обработки пакетов, отправляемых на ваше устройство..

Настройте SPAN на IOS-коммутаторах

Для этих моделей коммутаторов вам необходимо получить доступ к операционной системе устройства и выполнить команду, чтобы указать порт SPAN и порт для мониторинга. Эта задача реализуется двумя строками команд. Нужно указать источник, это означает, что порт, которому будет реплицироваться трафик, а другой дает номер порта, к которому подключен анализатор — это линия назначения.

монитор сеанса источника [интерфейс | удаленный | vlan] [rx | TX | и то и другое]
контролировать целевой интерфейс сеанса

Как только вы закончили определение зеркала, вам нужно нажать CTRL-Z, чтобы завершить определение конфигурации.

Номер сеанса позволяет вам создать несколько разных мониторов, работающих одновременно. Если вы используете тот же номер сеанса в последующей команде, вы отмените исходную трассировку и замените ее новой спецификацией.. Диапазоны портов определяются тире («-»), а последовательность портов разделяется запятыми («,»).

Последний элемент в командной строке для исходного порта (контролируемый порт) — это спецификация того, должен ли коммутатор реплицировать передаваемые пакеты. из этого порта, или в этот порт, или и то и другое.

Настройте SPAN на коммутаторах CatOS

Более новые линейки Catalyst поставляются с более новой операционной системой, называемой CatOS, вместо старой операционной системы IOS. Команды, используемые для настройки зеркалирования SPAN в этих коммутаторах, немного отличаются. С этой операционной системой вы создаете зеркалирование всего одной командой вместо двух.

Читайте также:  Как настроить доступные сети на компьютере

установить диапазон [rx | tx | оба]
[inpkts]
[учусь ]
[многоадресная рассылка]
[фильтр]
[Создайте]

Исходные порты определяются первым элементом в этой команде, который является частью «src_mod / src_ports». Второй идентификатор порта в команде автоматически считывается как порт назначения, то есть порт, к которому подключен анализатор пакетов. «RX | TX | и то и другоеЭлемент указывает коммутатору реплицировать передаваемые пакеты из порта, или в порт, или и то и другое.

Существует также команда set span для отключения зеркалирования:

установка диапазона отключена [dest_mod / dest_port | все]

Настройте SPAN на коммутаторах Catalyst Express 500 и Catalyst Express 520

Если у вас есть коммутатор Catalyst Express 500 или Catalyst Express 520, вы не вводите настройки SPAN в операционной системе. Для связи с коммутатором и изменения его настроек необходимо установить Cisco Network Assistant (CNA). Это программное обеспечение для управления сетью является бесплатным и работает в среде Windows. Выполните следующие действия, чтобы активировать SPAN на коммутаторе..

  1. Войдите в коммутатор через интерфейс CNA.
  2. Выберите Smartports вариант в CNA меню. Это отобразит графику, представляющую массив портов коммутатора.
  3. Нажмите на порт, к которому вы хотите подключить анализатор пакетов, и выберите Изменить вариант. Это покажет всплывающее окно.
  4. Выбрать диагностика в Роль список и выберите порт, который будет отслеживать трафик из Источник раскрывающийся список. Если вы хотите специально контролировать VLAN, выберите его из Входная VLAN список. Если вы не хотите просто отслеживать трафик для VLAN, оставьте это значение по умолчанию. Нажмите на Ok сохранить настройки.
  5. Нажмите на Ok а потом Подать заявление в Smartports экран.
  6. Одна проблема с методом CNA состоит в том, что программное обеспечение работает только на версиях Windows до Windows 7.

Мониторинг сетевого трафика

Определение порта SPAN на вашем коммутаторе — это только половина задачи захвата сетевого трафика. Процедуры, описанные выше, будут реплицировать пакеты и отправлять их на определенный порт коммутатора. Затем вам нужно подключить компьютер к этому порту и установить на него программное обеспечение для анализа трафика, чтобы хранить и анализировать эти пакеты..

Вы можете узнать больше о программном обеспечении для анализа трафика в статье 9 лучших анализаторов пакетов и сетевых анализаторов на 2018 год. Вы также должны знать, что обширное зеркалирование портов может генерировать много данных, которые займут пространство памяти, поэтому постарайтесь быть избирательным в отношении портов, которые вы отслеживаете, и не позволяйте процессу захвата пакетов выполняться слишком долго.

Системы мониторинга трафика Cisco

Полный захват и хранение пакетов может привести к проблемам с конфиденциальностью данных. Хотя большая часть трафика, проходящего по вашей сети, будет зашифрована, если он предназначен для внешних сайтов, не весь внутренний трафик будет зашифрован. Если ваша организация не решила внедрить дополнительную защиту электронной почты, почтовый трафик в вашей сети не будет зашифрован по умолчанию..

В качестве альтернативного метода анализа трафика вы можете рассмотреть возможность использования NetFlow. Это система обмена сообщениями, которая включена на всех устройствах Cisco и будет перенаправлять только заголовки пакетов на центральный монитор. Вы можете прочитать о сетевых мониторах, которые собирают данные NetFlow в статье 10 лучших бесплатных и премиальных анализаторов и сборщиков NetFlow.

Как только вы получите всю информацию о всех возможностях мониторинга трафика коммутаторов Cisco, вы сможете лучше определить, какой метод захвата пакетов использовать..

Источник

Поделиться с друзьями
Инструкции360