思科交換機映象配置例項介紹
埠映象***port Mirroring***把交換機一個或多個埠***VLAN***的資料映象到一個或多個埠的方法。接下來是小編為大家收集的方法,希望能幫到大家。
:
埠映象的目的
由於部署 IDS 產品需要監聽網路流量***網路分析儀同樣也需要***,但是在目前廣泛採用的交換網路中監聽所有流量有相當大的困難,因此需要通過配置交換機來把一個或多個埠***VLAN***的資料轉發到某一個埠來實現對網路的監聽。
埠映象的功能
監視到進出網路的所有資料包,供安裝了監控軟體的管理伺服器抓取資料,如網咖需提供此功能把資料發往公安部門審查。而企業出於資訊保安、保護公司機密的需要,也迫切需要網路中有一個埠能提供這種實時監控功能。在企業中用埠映象功能,可以很好的對企業內部的網路資料進行監控管理,在網路出現故障的時候,可以做到很好地故障定位。
...
More...
埠映象***port Mirroring***把交換機一個或多個埠***VLAN***的資料映象到一個或多個埠的方法。
埠映象的目的
由於部署 IDS 產品需要監聽網路流量***網路分析儀同樣也需要***,但是在目前廣泛採用的交換網路中監聽所有流量有相當大的困難,因此需要通過配置交換機來把一個或多個埠***VLAN***的資料轉發到某一個埠來實現對網路的監聽。
埠映象的功能
監視到進出網路的所有資料包,供安裝了監控軟體的管理伺服器抓取資料,如網咖需提供此功能把資料發往公安部門審查。而企業出於資訊保安、保護公司機密的需要,也迫切需要網路中有一個埠能提供這種實時監控功能。在企業中用埠映象功能,可以很好的對企業內部的網路資料進行監控管理,在網路出現故障的時候,可以做到很好地故障定位。
***備註:交換機把某一個埠接收或傳送的資料幀完全相同的複製給另一個埠;其中被複制的埠稱為映象源埠,複製的埠稱為映象目的埠。***
埠映象的別名
埠映象通常有以下幾種別名:
●Port Mirroring 通常指允許把一個埠的流量複製到另外一個埠,同時這個埠不能再傳輸資料。
●Monitoring Port 監控埠
●Spanning Port 通常指允許把所有埠的流量複製到另外一個埠,同時這個埠不能再傳輸資料。
●SPAN port 在 Cisco 產品中,SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 埠不支援傳輸資料。
●Link Mode port這樣,這些流量就可以被一個特殊的裝置監控。它對發現和修理故障有很大的幫助。
埠映象工作原理:
SPAN***Switched Port Analyzer***的作用主要是為了給某種網路分析器提供網路資料流。
它既可以實現一個VLAN中若干個源埠向一個監控埠映象資料,也可以從若干個VLAN向一個臨控埠映象資料。源埠的5號埠上流轉的所有資料流均被映象至10號監控埠,而資料分析裝置通過監控埠接收了所有來自5號埠的資料流。值得注意的是,源埠和映象埠必須位於同一臺交換機上***但也有例外,如Catalyst 6000系列交換機***;而且SPAN並不會影響源埠的資料交換,它只是將源埠傳送或接收的資料包副本傳送到監控埠。
在SPAN任務過程中,使用者可以通過引數控制,來指明需要監控的資料流種類;還可以將一個或多個端、口、一個或多個VLAN作為源埠,並將從這些埠中傳送或接收的單向或雙向資料流傳送至監控埠。在Catalyst 4006交換機中,最多可以配置6個單向的SPAN任務:2個輸入資料流監控、4個輸出資料流監控。一個雙向SPAN任務實際上包含一個單向輸入和一個單向輸出。而且不僅僅二層交換埠可作為源埠,Catalyst 4006上的三層路由埠也可設定為源埠。
SPAN 任務不會影響交換機的正常工作。當一個SPAN任務被建立後,根據交換機所處的不同的狀態或操作,任務會處於啟用或非啟用狀態,同時系統會將其記入日誌。通過“show monitor session”命令可顯示SPAN的當前狀態。
如果遇到系統重新啟動的情況,在目的埠初始化結束之前,SPAN任務將處於非啟用狀態。目的埠***監控埠***可以是交換機上的任意一個交換或路由埠。當一個目的埠處於啟用狀態時,任何傳送到該埠且與SPAN任務無關的資料包將會被丟棄。
一個目的埠只能處於一個SPAN任務中。當一個埠被配製成目的埠後就不能再成為源埠,同時冗餘鏈路埠也不能成為SPAN的目的埠。特別需要指出的是,如果一個 Trunk埠被配置成為SPAN的目的埠,則其Trunk功能也將自動停止。
源埠又可以稱作被監控埠。在一個SPAN任務中,可以有一個或多個源埠,而且可以根據使用者需要設定為輸入方向、輸出方向或雙向,但無論哪種情況,在一個SPAN任務中,所有源埠的被監控方向都必須是一致的。
在Catalyst 4006交換機上的VLAN也可以整體設定為源埠,這意味著被指定VLAN中的所有埠均為當前SPAN任務中的源埠。
Trunk埠可以單獨設為源埠,也可以與非Trunk埠一起被設定為源埠,但要注意的是,在監控埠不會識別來自Trunk埠針對不同VLAN的資料封裝格式,換句話說,在監控埠收到的資料包將無法辨明是來自哪個VLAN。
SPAN資料流主要分為三類:
***1***輸入資料流***Ingress SPAN***:指被源埠接收進來,其資料副本傳送至監控埠的資料流;
***2***輸出資料流***Egress SPAN***:指從源埠傳送出去,其資料副本傳送至監控埠的資料流;
***3***雙向資料流***Both SPAN***:即為以上兩種的綜合。
基於VLAN的SPAN是以一個或幾個VLAN作為監控物件,其中的所有埠均為源埠,與基於埠的SPAN類似,基於VLAN的SPAN也分為輸入資料流、輸出資料流和雙向資料流監控三種類型。
在配置基於VLAN的SPAN任務過程中,應注意幾點:
***1***Trunk埠可以包含在源埠中;
***2***針對雙向SPAN任務,如果在源VLAN中的兩個源埠之間有資料交換,則每一個數據包將有兩個副本被轉發至映象埠;
***3***對有多個源VLAN的SPAN任務來說,如果某個源VLAN被刪除掉,則該VLAN也將從源VLAN列表中刪除;
***4***處於非啟用狀態的VLAN無法參與SPAN任務;
***5***對於一個設定為輸入資料流監控的源VLAN來說,來自其他VLAN的路由資訊資料包不會被映象;此外,從設定為輸出資料流監控的VLAN向其他VLAN傳送出的路由資訊資料包也同樣不會被映象。換句話說,基於VLAN的SPAN任務只對進出二層交換埠的資料包進行映象,而不映象VLAN之間的路由資訊。
所有網間傳輸的非路由資料包,包括組播包和BPDU***橋接協議資料單元***包,都可以使用SPAN任務進行映象。
在一些SPAN任務的配置下,會出現同一個SPAN源埠資料包的多個副本被髮送到 SPAN監控埠的情況。正像前面提到的那樣,在一個雙向SPAN任務中,假設a1和a2為源埠,d1為目的埠,如果a1與a2之間有資料包傳輸,則在a1傳向a2的資料包將會被傳送到d1兩次,反之亦然。
映象埠建立方法
Cisco CATALYST交換機埠監聽配置
Cisco CATALYST交換機分為兩 種,在CATALYST家族中稱偵聽埠為分析端 口***analysis port***。1、Catalyst 2900XL/3500XL/2950系列交換機埠監聽配 置 ***基於CLI***
以下命令配置埠監聽:
port monitor
例 如,F0/1和F0/2、F0/3同屬VLAN1,F0/1監聽F0/2、F0/3埠:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
port monitor VLAN1
2、Catalyst 4000,5000 and 6000系列交換機埠監聽配 置 ***基於IOS***
以下命令配置埠監聽:
set span
例如,模組1中埠1和埠2同屬VLAN1,埠3在VLAN2,埠4和5在VLAN2,埠2監聽端 口1和3、4、5,
set span 1/1,1/3-5 1/2
2950/3550/3750
格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_mnumber/port_number
//rx-->指明是進埠得流量,tx-->出埠得流量 both 進出得流量
for example:
第一條映象,將第一模組中的源埠為1-10的映象到埠12上面;
#monitor session 1 source interface 1/1-10 both
#monitor session 1 destination interface 1/12
第二條映象,將第二模組中的源埠為13-20的映象到埠24上面;
#monitor session 2 source interface 2/13-20 both
#monitor session 2 destination interface 2/24
當有多條映象、多個模組時改變其中的引數即可。
Catalyst 2950 3550不支援port monitor
C2950#configure terminal
C2950***config***#
C2950***config***#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950***config***#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.