Посібник з дзеркального відображення портів на перемикачах Cisco (SPAN)

Посібник з дзеркального відображення портів на перемикачах Cisco (SPAN)

SPAN – аналізатор комутованих портів, який доступний на деяких комутаторах Cisco Catalyst. Ви можете використовувати SPAN на:

  • Catalyst Express серії 500/520
  • Каталізатор 1900 Серія
  • Серія Catalyst 2900XL
  • Каталізатор серії 2940
  • Каталізатор 2948G-L2, 2948G-GE-TX, 2980G-A
  • Каталізатор серії 2950
  • Каталізатор серії 2955
  • Каталізатор серії 2960
  • Каталізатор серії 2970
  • Серія Catalyst 3500 XL
  • Серія Catalyst 3550
  • Серія Catalyst 3560 / 3560E / 3650X
  • Серія Catalyst 3750 / 3750E / 3750X
  • Серія метро Catalyst 3750
  • Серія Catalyst 4500/4000
  • Каталізатор серії 4900
  • Каталізатор серії 5500/5000
  • Каталізатор серії 6500/6000

Примітка. Процес налаштування відрізняється для кожної моделі.

Що таке СПАН?

Засіб SPAN дозволяє підключити sniffer пакетів до комутатора. Без SPAN, sniffer підбирає лише широкомовні повідомлення, оскільки комутатор закриває ланцюг між двома комунікаційними пристроями, блокуючи sniffer, приєднаний до іншого порту. З SPAN, весь трафік, що проходить через порт, реплікується і відправляється в порт sniffer. Цей процес відомий як “дзеркальне відображення”.

Система SPAN є можливість контролювати один порт або багато портів. Можна також визначити напрямок руху до цього порту. Варіант SPAN під назвою RSPAN (Remote Switch Port Analyzer) дозволяє контролювати трафік між комутаторами. Параметр RSPAN недоступний на всіх комутаторах Catalyst – комутатори Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 та 2900XL не мають функції RSPAN.

Ви можете встановити SPAN для моніторингу порту VLAN, а також можна вказати, що він повинен контролювати весь трафік VLAN. Потрібно пояснити трохи термінології. Терміни “джерело“І”пункт призначення,”, Які зазвичай використовуються в мережах, мають дещо інше значення в межах SPAN. Тут “джерелом” є будь-який порт, а не джерело трафіку. Термін “призначення” в SPAN відноситься до порту, до якого підключений sniffer пакетів; це не означає призначення трафіку, що контролюється.

Налаштуйте SPAN на перемикачі

Cisco рекомендує різні методи налаштування дзеркального відображення порту за допомогою SPAN відповідно до версії комутатора Catalyst. Ці кроки просто перенаправлять копії пакетів трафіку на той порт, до якого ви підключаєте свій пристрій. Настройка дзеркального відображення порту не зберігатиме та не аналізує трафік. Ви можете використовувати будь-яке програмне забезпечення для мережевого аналізу для обробки пакетів, що надсилаються на ваш пристрій.

Налаштуйте SPAN на перемикачах IOS

Для цих моделей комутаторів потрібно зайти в операційну систему пристрою і написати команду, щоб вказати порт SPAN і порт для моніторингу. Це завдання реалізується двома рядками команд. Потрібно вкажіть джерело, що означає порт, який буде реплікувати свій трафік, та інше дає номер порту, до якого підключений sniffer – це лінія призначення.

монітор джерела сеансу [інтерфейс | віддалений | vlan] [rx | tx | обидва] контролювати інтерфейс призначення сеансу

Після закінчення визначення дзеркала вам потрібно натиснути CTRL-Z, щоб закінчити визначення конфігурації.

Номер сеансу просто дозволяє створити кілька різних моніторів, що працюють одночасно. Якщо ви використовуєте той самий номер сеансу в наступній команді, ви скасуєте початковий слід і заміните його новою специфікацією. Діапазони портів визначаються тире (“-“), а послідовність портів розділяється комами (“,”).

Останній елемент командного рядка для вихідного порту (порт, який слід контролювати) – це специфікація того, чи повинен перемикач повторювати передані пакети з того порту, або до того порту, або і те й інше.

Налаштуйте SPAN на перемикачах CatOS

Більш недавні діапазони Catalyst поставляються з новою операційною системою, яка називається CatOS, замість старої операційної системи IOS. Команди, які використовуються для налаштування дзеркального відображення SPAN в цих перемикачах, дещо відрізняються. За допомогою цієї операційної системи ви створюєте дзеркальне відображення лише з однією командою замість двох.

встановити проміжок [rx | tx | обидва] [inpkts] [навчання] [багатоадресна передача] [фільтр] [створити]

Порти джерела визначаються першим елементом цієї команди, який є частиною “src_mod / src_ports”. Другий ідентифікатор порту в команді автоматично зчитується як порт призначення – тобто порт, до якого приєднано sniffer пакету. “rx | tx | і те й інше“Елемент повідомляє комутатору для копіювання переданих пакетів з порту, або до порту, або і те й інше.

Існує також встановлена ​​команда span для відключення дзеркального відображення:

встановити відключення [dest_mod / dest_port | всі]

Налаштуйте SPAN на комутаторах Catalyst Express 500 та Catalyst Express 520

Якщо у вас є комутатор Catalyst Express 500 або Catalyst Express 520, ви не вводите настройки SPAN в операційній системі. Для того, щоб зв’язатися з комутатором і змінити його настройки, вам потрібно встановити Cisco Network Assistant (CNA). Це програмне забезпечення для управління мережею безкоштовне і працює в середовищі Windows. Виконайте ці дії, щоб активувати SPAN на комутаторі.

  1. Увійдіть в комутатор через інтерфейс CNA.
  2. Виберіть Смартпорти варіант у CNA меню. На цьому відобразиться графіка, що представляє портовий масив комутатора.
  3. Клацніть на порт, до якого потрібно підключити sniffer пакету, і виберіть Змінити варіант. Це відобразить спливаюче вікно.
  4. Виберіть Діагностика в Роль списку та виберіть порт, який буде контролювати його трафік, з Джерело випадаючий список. Якщо ви хочете спеціально контролювати мережу VLAN, виберіть її з пункту Інгрес VLAN список. Якщо ви не прагнете просто спостерігати за трафіком для VLAN, залиште це значення за замовчуванням. Натисніть на добре щоб зберегти налаштування.
  5. Натисніть на добре і потім Застосувати в Смартпорти екран.
  6. Одна з проблем методу CNA полягає в тому, що програмне забезпечення працює лише у версіях Windows до Windows 7.

Моніторинг мережевого трафіку

Визначення порту SPAN на вашому комутаторі – це лише половина завдання збору мережевого трафіку. Вище описані процедури отримають копії пакетів та відправлення на певний порт на комутаторі. Далі потрібно підключити комп’ютер до цього порту та покласти на нього деяке програмне забезпечення для аналізу трафіку, щоб зберігати та аналізувати ці пакети.

Детальніше про програмне забезпечення для аналізу трафіку ви можете дізнатись у статті 9 кращих снайперів пакетів та мережевих аналізаторів за 2018 рік. Також слід пам’ятати, що велике дзеркальне відображення порту може генерувати багато даних, які займають місця для зберігання, тому намагайтеся бути вибірковими щодо портів, які ви відстежуєте, і не дозволяйте процесу захоплення пакетів працювати занадто довго.

Системи контролю трафіку Cisco

Повне захоплення та зберігання пакетів може зіткнутися з проблемами конфіденційності даних. Хоча більша частина трафіку, який проходить у вашій мережі, буде зашифрована, якщо він призначений для зовнішніх сайтів, не весь внутрішній трафік буде зашифрований. Якщо ваша організація не вирішила застосувати додаткову безпеку для електронних листів, поштовий трафік у вашій мережі не буде зашифровано за замовчуванням..

В якості альтернативної методики аналізу трафіку ви можете розглянути можливість використання NetFlow. Це система обміну повідомленнями, яка включена на всіх пристроях Cisco, і вона буде пересилати лише заголовки пакетів на центральний монітор. Про мережеві монітори, які збирають дані NetFlow, ви можете прочитати у статті 10 кращих безкоштовних та преміальних аналізаторів та колекціонерів NetFlow.

Після того, як у вас буде вся інформація під рукою про всі можливості контролю трафіку ваших комутаторів Cisco, ви зможете вирішити, який метод захоплення пакетів використовувати.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me