คำแนะนำเกี่ยวกับการมิเรอร์พอร์ตบนสวิตช์ Cisco (SPAN)

SPAN เป็นตัววิเคราะห์พอร์ต Switched ที่มีอยู่ในสวิตช์ Cisco Catalyst บางตัว คุณสามารถใช้ประโยชน์ SPAN ได้ที่:

• Catalyst Express 500/520 ซีรี่ส์
• Catalyst 1900 Series
• Catalyst 2900XL Series
• Catalyst 2940 Series
• ตัวเร่งปฏิกิริยา 2948G-L2, 2948G-GE-TX, 2980G-A
• Catalyst 2950 Series
• Catalyst 2955 Series
• Catalyst 2960 Series
• Catalyst 2970 Series
• Catalyst 3500 XL Series
• Catalyst 3550 Series
• Catalyst 3560 / 3560E / 3650X ซีรี่ส์
• Catalyst 3750 / 3750E / 3750X ซีรี่ส์
• Catalyst 3750 Metro Series
• Catalyst 4500/4000 Series
• Catalyst 4900 Series
• Catalyst 5500/5000 ซีรี่ส์
• Catalyst 6500/6000 ซีรี่ส์

หมายเหตุ: กระบวนการตั้งค่าแตกต่างกันสำหรับแต่ละรุ่น.

SPAN คืออะไร?

สิ่งอำนวยความสะดวก SPAN ช่วยให้คุณเชื่อมต่อแพ็กเก็ตดมกลิ่นไปยังสวิตช์ หากไม่มี SPAN sniffer จะรับข้อความออกอากาศเท่านั้นเนื่องจากสวิตช์ปิดวงจรระหว่างอุปกรณ์สื่อสารสองเครื่องปิดการดมกลิ่น sniffer ที่ต่ออยู่กับพอร์ตอื่น ด้วย SPAN, การรับส่งข้อมูลทั้งหมดที่ผ่านพอร์ตจะถูกจำลองแบบและส่งไปยังพอร์ตดมกลิ่น. กระบวนการนี้เรียกว่า “การทำมิเรอร์”

ระบบ SPAN คือ สามารถตรวจสอบพอร์ตเดียวหรือหลายพอร์ต. นอกจากนี้ยังเป็นไปได้ที่จะระบุทิศทางของการจราจรไปยังพอร์ตนั้น รูปแบบของ SPAN ที่เรียกว่า RSPAN (Remote Switch Port Analyzer) ช่วยให้คุณสามารถตรวจสอบการรับส่งข้อมูลระหว่างสวิตช์ได้ ตัวเลือก RSPAN ไม่สามารถใช้ได้กับสวิตช์ Catalyst ทั้งหมด – Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 และสวิตช์ 2900XL ไม่มีคุณสมบัติ RSPAN.

คุณสามารถตั้งค่า SPAN เพื่อตรวจสอบพอร์ต VLAN และคุณสามารถระบุว่าควรตรวจสอบปริมาณข้อมูล VLAN ทั้งหมด ต้องอธิบายคำศัพท์เล็กน้อย เงื่อนไข “แหล่ง” และ“ปลายทาง,” ซึ่งใช้กันทั่วไปในเครือข่ายมีความหมายแตกต่างกันเล็กน้อยภายใน SPAN ที่นี่“ ต้นทาง” คือพอร์ตใด ๆ ไม่ใช่ที่มาของการรับส่งข้อมูล คำว่า “ปลายทาง” ใน SPAN หมายถึงพอร์ตที่แพ็กเก็ตดมกลิ่นเชื่อมต่ออยู่ ไม่ได้หมายถึงปลายทางของปริมาณการใช้งานที่มีการตรวจสอบ.

ตั้งค่า SPAN บนสวิตช์

Cisco แนะนำวิธีการที่แตกต่างกันในการตั้งค่าการมิเรอร์พอร์ตด้วย SPAN ตามรุ่นของสวิตช์ Catalyst ขั้นตอนเหล่านี้จะเบี่ยงเบนสำเนาของแพ็กเก็ตทราฟฟิกไปยังพอร์ตที่คุณเชื่อมต่ออุปกรณ์ของคุณ การตั้งค่าการมิเรอร์พอร์ตจะไม่เก็บหรือวิเคราะห์ทราฟฟิก คุณสามารถใช้ซอฟต์แวร์วิเคราะห์เครือข่ายเพื่อประมวลผลแพ็กเก็ตที่ส่งไปยังอุปกรณ์ของคุณ.

ตั้งค่า SPAN บนสวิตช์ IOS

สำหรับสวิตช์รุ่นเหล่านี้คุณต้องไปที่ระบบปฏิบัติการของอุปกรณ์และออกคำสั่งเพื่อระบุพอร์ต SPAN และพอร์ตที่จะตรวจสอบ งานนี้ดำเนินการโดยคำสั่งสองบรรทัด หนึ่งต้องการที่จะ ระบุแหล่งที่มา, ซึ่งหมายถึงพอร์ตที่จะมีปริมาณข้อมูลจำลองแบบและอื่น ๆ ให้หมายเลขพอร์ตที่เชื่อมต่อกับดมกลิ่น – นี่คือบรรทัดปลายทาง.

มอนิเตอร์แหล่งเซสชัน รีโมต vlan] [rx | tx | ทั้ง]
ตรวจสอบอินเตอร์เฟสปลายทางเซสชัน

เมื่อคุณกำหนดกระจกเสร็จแล้วคุณต้องกด CTRL-Z เพื่อสิ้นสุดการกำหนดค่า.

หมายเลขเซสชันช่วยให้คุณสามารถสร้างจอภาพที่แตกต่างกันหลายตัวทำงานพร้อมกัน หากคุณใช้หมายเลขเซสชันเดียวกันในคำสั่งที่ตามมาคุณจะยกเลิกการติดตามดั้งเดิมและแทนที่ด้วยข้อกำหนดใหม่. ช่วงพอร์ตถูกกำหนดโดยเส้นประ (“ -“) และลำดับของพอร์ตจะถูกคั่นด้วยเครื่องหมายจุลภาค (“,”).

องค์ประกอบสุดท้ายในบรรทัดคำสั่งสำหรับพอร์ตต้นทาง (พอร์ตที่จะตรวจสอบ) เป็นข้อมูลจำเพาะว่าสวิทช์ควรทำซ้ำแพ็กเก็ตที่ส่งหรือไม่ จากพอร์ตนั้น, หรือ ไปยังพอร์ตนั้น, หรือ ทั้งสอง.

ตั้งค่า SPAN บนสวิตช์ CatOS

ช่วง Catalyst ล่าสุดจะมาพร้อมกับระบบปฏิบัติการรุ่นใหม่ที่เรียกว่า CatOS, แทนระบบปฏิบัติการ IOS รุ่นเก่า คำสั่งที่ใช้ในการตั้งค่าการทำมิเรอร์ SPAN ในสวิตช์เหล่านี้แตกต่างกันเล็กน้อย ด้วยระบบปฏิบัติการนี้คุณสร้างการมิเรอร์ด้วยคำสั่งเดียวแทนที่จะเป็นสองคำสั่ง.

กำหนดช่วง [rx | tx | ทั้งสอง]
[inpkts]
[การเรียนรู้]
[มัลติคาสต์]
[ตัวกรอง]
[สร้าง]

พอร์ตต้นทางถูกกำหนดโดยองค์ประกอบแรกในคำสั่งนี้ซึ่งเป็นส่วน“ src_mod / src_ports” ตัวระบุพอร์ตที่สองในคำสั่งนั้นจะถูกอ่านโดยอัตโนมัติว่าเป็นพอร์ตปลายทาง – นั่นคือพอร์ตที่แพ็กเก็ตดมกลิ่นเชื่อมต่ออยู่ “rx | tx | ทั้งสององค์ประกอบ” บอกสวิตช์เพื่อทำซ้ำแพ็กเก็ตที่ส่ง จากพอร์ต, หรือ ไปยังพอร์ต, หรือ ทั้งสอง.

นอกจากนี้ยังมีคำสั่ง set span เพื่อปิดการมิเรอร์:

กำหนดช่วงปิดการใช้งาน [dest_mod / dest_port | ทั้งหมด]

ตั้งค่า SPAN บนสวิตช์ Catalyst Express 500 และ Catalyst Express 520

หากคุณมีสวิตช์ Catalyst Express 500 หรือ Catalyst Express 520 คุณจะไม่ป้อนการตั้งค่า SPAN ที่ระบบปฏิบัติการ ในการสื่อสารกับสวิตช์และเปลี่ยนการตั้งค่าคุณต้องติดตั้ง ผู้ช่วยเครือข่ายของ Cisco (CNA) ซอฟต์แวร์การจัดการเครือข่ายนี้ฟรีและทำงานบนสภาพแวดล้อม Windows ทำตามขั้นตอนเหล่านี้เพื่อให้ SPAN เปิดใช้งานบนสวิตช์.

1. ล็อกอินเข้าสวิตช์ผ่านอินเตอร์เฟส CNA.
2. เลือก Smartports ตัวเลือกใน CNA เมนู. สิ่งนี้จะแสดงกราฟิกที่แสดงถึงอาร์เรย์พอร์ตของสวิตช์.
3. คลิกที่พอร์ตที่คุณต้องการเชื่อมต่อแพ็คเก็ตดมกลิ่นและเลือก ปรับเปลี่ยน ตัวเลือก หน้าต่างนี้จะแสดงขึ้นมา.
4. เลือก การวินิจฉัย ใน บทบาท รายการและเลือกพอร์ตที่จะตรวจสอบการจราจรจาก แหล่ง รายการแบบหล่นลง หากคุณต้องการมอนิเตอร์ VLAN โดยเฉพาะให้เลือกจาก VLAN ที่เข้ามา รายการ. หากคุณไม่ได้ตั้งใจจะดูปริมาณข้อมูลสำหรับ VLAN ให้ปล่อยค่านี้ไว้ที่ค่าเริ่มต้น คลิกที่ ตกลง เพื่อบันทึกการตั้งค่า.
5. คลิกที่ ตกลง แล้ว ใช้ ใน Smartports จอภาพ.
6. ปัญหาอย่างหนึ่งของวิธีการ CNA คือซอฟต์แวร์จะทำงานเฉพาะกับ Windows รุ่นสูงสุดถึง Windows 7.

ตรวจสอบปริมาณการใช้เครือข่าย

การรับพอร์ต SPAN ที่กำหนดไว้ในสวิตช์ของคุณเป็นเพียงครึ่งหนึ่งของภารกิจในการถ่ายโอนข้อมูลเครือข่าย ขั้นตอนที่อธิบายไว้ข้างต้นจะได้รับแพ็คเก็ตที่จำลองแบบและส่งไปยังพอร์ตเฉพาะบนสวิตช์ คุณต้องเชื่อมต่อคอมพิวเตอร์กับพอร์ตนั้นแล้ววางซอฟต์แวร์วิเคราะห์ปริมาณข้อมูลลงไปเพื่อจัดเก็บและวิเคราะห์แพ็กเก็ตเหล่านี้.

คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับซอฟต์แวร์การวิเคราะห์ปริมาณข้อมูลได้ในบทความ 9 sniffers แพ็คเก็ตที่ดีที่สุดและวิเคราะห์เครือข่ายสำหรับ [year]. คุณควรทราบด้วยว่าการทำมิเรอร์พอร์ตที่กว้างขวางสามารถสร้างข้อมูลจำนวนมากที่จะใช้พื้นที่จัดเก็บดังนั้นลองเลือกเกี่ยวกับพอร์ตที่คุณตรวจสอบและจะไม่ปล่อยให้กระบวนการดักจับข้อมูลทำงานนานเกินไป.

ระบบตรวจสอบปริมาณการใช้งานของ Cisco

การจับและการจัดเก็บแพ็คเก็ตแบบเต็มอาจทำให้คุณประสบปัญหากับการรักษาความลับของข้อมูล แม้ว่าการรับส่งข้อมูลส่วนใหญ่ที่ผ่านเครือข่ายของคุณจะถูกเข้ารหัสหากถูกกำหนดไว้สำหรับไซต์ภายนอกการรับส่งข้อมูลภายในจะไม่ถูกเข้ารหัสทั้งหมด เว้นแต่องค์กรของคุณตัดสินใจที่จะใช้ความปลอดภัยเพิ่มเติมสำหรับอีเมลปริมาณการใช้งานจดหมายในเครือข่ายของคุณจะไม่ถูกเข้ารหัสตามค่าเริ่มต้น.

เป็นเทคนิคการวิเคราะห์ทราฟฟิกทางเลือกคุณสามารถพิจารณาใช้ NetFlow นี่คือระบบส่งข้อความที่เปิดใช้งานบนอุปกรณ์ทั้งหมดของ Cisco และจะส่งต่อเฉพาะส่วนหัวของแพ็คเก็ตไปยังจอภาพส่วนกลาง คุณสามารถอ่านเกี่ยวกับการตรวจสอบเครือข่ายที่รวบรวมข้อมูล NetFlow ได้ในบทความ 10 สุดยอดนักวิเคราะห์และนักสะสม NetFlow ที่ดีที่สุดและฟรี.

เมื่อคุณมีข้อมูลทั้งหมดเพียงแค่ปลายนิ้วคุณเกี่ยวกับความสามารถในการตรวจสอบปริมาณข้อมูลทั้งหมดของสวิตช์ Cisco ของคุณคุณจะอยู่ในตำแหน่งที่ดีกว่าในการตัดสินใจว่าจะใช้วิธีใดในการจับแพ็คเก็ต.