Ръководство за огледално пристанище на превключватели на Cisco (SPAN)

Ръководство за огледално пристанище на превключватели на Cisco (SPAN)

SPAN е анализаторът на превключваните портове, който се предлага на някои превключватели на катализатор на Cisco. Можете да използвате SPAN на:

  • Catalyst Express серия 500/520
  • Catalyst 1900 Series
  • Catalyst 2900XL серия
  • Catalyst 2940 серия
  • Катализатор 2948G-L2, 2948G-GE-TX, 2980G-A
  • Catalyst 2950 серия
  • Catalyst 2955 серия
  • Catalyst 2960 серия
  • Catalyst 2970 серия
  • Catalyst 3500 XL серия
  • Catalyst 3550 серия
  • Серия Catalyst 3560 / 3560E / 3650X
  • Серия Catalyst 3750 / 3750E / 3750X
  • Catalyst 3750 Metro Series
  • Catalyst 4500/4000 серия
  • Catalyst 4900 серия
  • Катализатор 5500/5000 серия
  • Catalyst серия 6500/6000

Забележка: Процесът на настройка е различен за всеки модел.

Какво е SPAN?

Устройството SPAN ви позволява да свържете sniffer за пакет към превключвател. Без SPAN, sniffer ще вземе само излъчвани съобщения, тъй като превключвателят затваря верига между две комуникационни устройства, като заключва sniffer, прикрепен към различен порт. С SPAN, целият трафик, преминаващ през пристанището, се репликира и изпраща към портото sniffer. Този процес е известен като „огледално“.

Системата SPAN е в състояние да наблюдава един порт или много портове. Възможно е също да се определи посоката на трафика към този порт. Вариант на SPAN, наречен RSPAN (Remote Switch Port Analyzer) ви позволява да наблюдавате трафика между превключвателите. Опцията RSPAN не е налична за всички превключватели на Catalyst - Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL превключватели нямат функцията RSPAN.

Можете да настроите SPAN да следи VLAN порт и можете също да зададете, че той трябва да следи целия VLAN трафик. Трябва да се обясни малко терминология. Термините „източник" и "дестинация,”, Които обикновено се използват в мрежите, имат малко по-различни значения в рамките на SPAN. Тук "източник" е всеки порт, а не произходът на трафика. Терминът „дестинация“ в SPAN се отнася до порта, към който е свързан пакета; това не означава местоназначението на наблюдавания трафик.

Настройте SPAN на превключвателя

Cisco препоръчва различни методи за настройка на огледалното пристанище със SPAN според версията на превключвателя Catalyst. Тези стъпки просто ще пренасочат копия от пакети за трафик към порта, към който свързвате устройството си. Настройката за огледално огледало на порт няма да съхранява или анализира трафика. Можете да използвате всеки софтуер за анализ на мрежата, за да обработвате пакетите, изпратени до вашето устройство.

Настройте SPAN на IOS превключватели

За тези модели на комутатори е необходимо да отидете до операционната система на устройството и да издадете команда, за да определите SPAN порта и порта, който да наблюдавате. Тази задача се реализира от два реда от команди. Човек трябва посочете източника, което означава пристанището, на което ще бъде репликиран трафикът и другия дава номера на порта, към който е свързан sniffer - това е линията на местоназначение.

монитор източник на сесия [интерфейс | отдалечен | vlan] [rx | tx | и двете] следи дестинация интерфейс сесия

След като приключите с дефинирането на огледалото, трябва да натиснете CTRL-Z, за да завършите дефиницията на конфигурацията.

Сесийният номер просто ви позволява да създавате няколко различни монитора, работещи едновременно. Ако използвате същия номер на сесия в следваща команда, ще отмените оригиналната следа и ще я замените с новата спецификация. Диапазоните на портовете се дефинират с тире („-“) и последователност от портове са разделени със запетаи („,“).

Последният елемент в командния ред за изходния порт (портът, който трябва да се следи) е спецификацията дали превключвателят трябва да репликира предадените пакети от това пристанище, или до това пристанище, или и двете.

Настройте SPAN на CatOS превключватели

По-новите серии Catalyst се доставят с по-нова операционна система, наречена CatOS, вместо по-старата IOS операционна система. Командите, използвани за настройка на огледално огледало SPAN в тези превключватели, са малко по-различни. С тази операционна система създавате огледално изображение само с една команда, вместо с две.

зададен диапазон [rx | tx | и двете] [inpkts] [изучаване на ] [мултикаст] [филтър] [Създаде]

Изходните портове се определят от първия елемент в тази команда, който е частта „src_mod / src_ports“. Втори идентификатор на порт в командата автоматично се чете като порт назначение - тоест порт, към който е прикачен sniffer на пакета. The „rx | tx | и двете”Елемент казва на ключа да репликира предадените пакети от пристанището, или до пристанището, или и двете.

Има и команда set span за изключване на огледалното предаване:

set span disabled [dest_mod / dest_port | всички]

Настройте SPAN на комутатори Catalyst Express 500 и Catalyst Express 520

Ако имате комутатор Catalyst Express 500 или Catalyst Express 520, не въвеждате настройките на SPAN в операционната система. За да комуникирате с превключвателя и да промените неговите настройки, трябва да инсталирате Cisco Network Assistant (CNA). Този софтуер за управление на мрежата е безплатен и работи в Windows среда. Следвайте тези стъпки, за да активирате SPAN на превключвателя.

  1. Влезте в превключвателя чрез интерфейса на CNA.
  2. Изберете Smartports опция в CNA меню. Това ще покаже графика, представяща порт порт на превключвателя.
  3. Кликнете върху порта, към който искате да свържете sniffer за пакети и изберете Промени опция. Това ще покаже изскачащ прозорец.
  4. Изберете Диагностика в роля списък и изберете пристанището, което ще следи трафика му от източник падащ списък. Ако искате да наблюдавате конкретно VLAN, изберете го от Вградете VLAN списък. Ако не целите просто да гледате трафик за VLAN, оставете тази стойност по подразбиране. Кликнете върху Добре за да запазите настройките.
  5. Кликнете върху Добре и тогава Приложи в Smartports екран.
  6. Един проблем при метода на CNA е, че софтуерът работи само на версии на Windows до Windows 7.

Мониторинг на мрежовия трафик

Определянето на SPAN порта на вашия превключвател е само половината от задачата за улавяне на мрежовия трафик. Процедурите, обяснени по-горе, ще се репликират и изпращат до определен порт на превключвателя. След това трябва да свържете компютър към този порт и да поставите на него някакъв софтуер за анализ на трафика, за да съхранявате и анализирате тези пакети.

Можете да разберете повече за софтуера за анализ на трафика в статията 9 най-добри снайпериращи пакети и мрежови анализатори за 2018 г.. Трябва също да знаете, че широкото огледално пристанище може да генерира много данни, които ще заемат място за съхранение, така че се опитайте да бъдете избирателни по отношение на портовете, които наблюдавате, и не позволявайте процеса на заснемане на пакети да работи твърде дълго.

Системи за мониторинг на трафика на Cisco

Пълното улавяне и съхранение на пакети може да ви създаде проблеми с поверителността на данните. Въпреки че по-голямата част от трафика, преминаващ във вашата мрежа, ще бъде кодиран, ако е предназначен за външни сайтове, не целият вътрешен трафик ще бъде кодиран. Освен ако вашата организация не е решила да внесе допълнителна сигурност за имейлите, трафикът по пощата около вашата мрежа няма да бъде кодиран по подразбиране.

Като алтернативна техника за анализ на трафика можете да разгледате използването на NetFlow. Това е система за съобщения, която е активирана на всички устройства на Cisco и ще препраща само заглавките на пакетите към централен монитор. Можете да прочетете за мрежовите монитори, които събират NetFlow данни в статията 10 най-добри безплатни и премиум анализатори и колектори NetFlow.

След като разполагате с цялата информация под ръка за всички възможности за мониторинг на трафика на вашите превключватели на Cisco, ще бъдете в по-добра позиция да решите кой метод за заснемане на пакети да използвате.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

13 − = 12

Adblock
detector