Hướng dẫn về phản chiếu cổng trên thiết bị chuyển mạch của Cisco (SPAN)

Hướng dẫn về phản chiếu cổng trên thiết bị chuyển mạch của Cisco (SPAN)

SPAN là Trình phân tích cổng chuyển đổi có sẵn trên một số Thiết bị chuyển mạch Cisco Catalyst. Bạn có thể sử dụng SPAN trên:

  • Dòng Catalyst Express 500/520
  • Dòng xúc tác 1900
  • Dòng xúc tác 2900XL
  • Dòng xúc tác 2940
  • Xúc tác 2948G-L2, 2948G-GE-TX, 2980G-A
  • Dòng xúc tác 2950
  • Dòng xúc tác 2955
  • Dòng xúc tác 2960
  • Dòng xúc tác 2970
  • Dòng xúc tác 3500 XL
  • Dòng xúc tác 3550
  • Dòng xúc tác 3560 / 3560E / 3650X
  • Dòng xúc tác 3750 / 3750E / 3750X
  • Catalyst 3750 Dòng Metro
  • Dòng xúc tác 4500/4000
  • Dòng xúc tác 4900
  • Dòng xúc tác 5500/5000
  • Dòng xúc tác 6500/6000

Lưu ý: Quá trình thiết lập là khác nhau cho mỗi mô hình.

SPAN là gì?

Tiện ích SPAN cho phép bạn kết nối một trình thám thính gói với một công tắc. Nếu không có SPAN, trình thám thính sẽ chỉ nhận các tin nhắn quảng bá vì công tắc sẽ đóng một mạch giữa hai thiết bị giao tiếp, khóa sniffer được gắn vào một cổng khác. Với SPAN, tất cả lưu lượng truy cập qua cổng được sao chép và gửi đến cổng sniffer. Quá trình này được gọi là phản chiếu.

Hệ thống SPAN là có thể giám sát một cổng hoặc nhiều cổng. Cũng có thể xác định hướng lưu lượng đến cổng đó. Một biến thể trên SPAN, được gọi là RSPAN (Bộ phân tích cổng chuyển đổi từ xa) cho phép bạn giám sát lưu lượng giữa các công tắc. Tùy chọn RSPAN không có sẵn trên tất cả các thiết bị chuyển mạch Catalyst – Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 và 2900XL, don don có tính năng RSPAN.

Bạn có thể đặt SPAN để giám sát một cổng Vlan và bạn cũng có thể chỉ định rằng nó sẽ giám sát tất cả lưu lượng Vlan. Một thuật ngữ nhỏ cần được giải thích. Các điều khoảnnguồnNơi Đến,Các loại thường được sử dụng trong mạng có ý nghĩa hơi khác nhau trong SPAN. Ở đây, nguồn dữ liệu trên mạng là bất kỳ cổng nào, không phải là nguồn gốc của lưu lượng. Thuật ngữ điểm đến điểm trực tiếp trong SPAN dùng để chỉ cổng mà trình thám thính gói được kết nối với; Nó không có nghĩa là đích của lưu lượng được giám sát.

Thiết lập SPAN trên công tắc

Cisco khuyến nghị các phương pháp khác nhau để thiết lập phản chiếu cổng với SPAN theo phiên bản của công tắc Catalyst. Các bước này sẽ chỉ chuyển hướng các bản sao của gói lưu lượng đến cổng mà bạn kết nối với thiết bị của mình. Thiết lập phản chiếu cổng sẽ không lưu trữ hoặc phân tích lưu lượng. Bạn có thể sử dụng bất kỳ phần mềm phân tích mạng nào để xử lý các gói được gửi đến thiết bị của bạn.

Thiết lập SPAN trên các công tắc iOS

Đối với các kiểu chuyển đổi này, bạn cần truy cập vào hệ điều hành của thiết bị và đưa ra lệnh để chỉ định cổng SPAN và cổng cần giám sát. Nhiệm vụ này được thực hiện bởi hai dòng lệnh. Một người cần phải chỉ định nguồn, có nghĩa là cổng sẽ được nhân rộng lưu lượng và cổng kia đưa ra số cổng mà trình thám thính được kết nối với – đây là dòng đích.

giám sát nguồn phiên [giao diện | từ xa | vlan] [rx | tx | cả hai] giám sát giao diện đích phiên

Khi bạn đã xác định xong gương, bạn cần nhấn CTRL-Z để kết thúc định nghĩa cấu hình.

Số phiên chỉ cho phép bạn tạo một số màn hình khác nhau chạy cùng lúc. Nếu bạn sử dụng cùng một số phiên trong một lệnh tiếp theo, bạn sẽ hủy theo dõi ban đầu và thay thế nó bằng thông số kỹ thuật mới. Phạm vi cổng được xác định bằng dấu gạch ngang (Nhận – Lần) và một chuỗi các cổng được phân tách bằng dấu phẩy (Nhận, Lần).

Phần tử cuối cùng trong dòng lệnh cho cổng nguồn (cổng cần giám sát) là thông số kỹ thuật của việc chuyển đổi có nên sao chép các gói được truyền không từ cảng đó, hoặc là đến cảng đó, hoặc là cả hai.

Thiết lập SPAN trên các công tắc CatOS

Các phạm vi Catalyst gần đây hơn được cung cấp với một hệ điều hành mới hơn, được gọi là CatOS, thay vì hệ điều hành iOS cũ hơn. Các lệnh được sử dụng để thiết lập phản chiếu SPAN trong các công tắc này hơi khác một chút. Với hệ điều hành này, bạn tạo phản chiếu chỉ bằng một lệnh thay vì hai.

đặt nhịp [rx | tx | cả hai] [inpkts] [học tập ] [phát đa hướng] [bộ lọc] [tạo nên]

Các cổng nguồn được xác định bởi phần tử đầu tiên trong lệnh này, đó là phần src_mod / src_ports. Một mã định danh cổng thứ hai trên lệnh được tự động đọc là cổng đích – nghĩa là cổng mà trình thám thính gói được đính kèm. Các “rx | tx | cả haiPhần tử dẹt nói với công tắc để sao chép các gói được truyền từ cảng, hoặc là đến cảng, hoặc là cả hai.

Ngoài ra còn có một lệnh span thiết lập để tắt phản chiếu:

đặt span vô hiệu hóa [Dest_mod / Dest_port | all]

Thiết lập SPAN trên các công tắc Catalyst Express 500 và Catalyst Express 520

Nếu bạn có công tắc Catalyst Express 500 hoặc Catalyst Express 520, bạn không nên nhập cài đặt SPAN tại hệ điều hành. Để giao tiếp với công tắc và thay đổi cài đặt của nó, bạn cần cài đặt Trợ lý mạng Cisco (CNA). Phần mềm quản lý mạng này là miễn phí và chạy trên môi trường Windows. Thực hiện theo các bước sau để SPAN hoạt động trên công tắc.

  1. Đăng nhập vào chuyển đổi thông qua giao diện CNA.
  2. Chọn Thể thao thông minh trong tùy chọn CNA thực đơn. Điều này sẽ hiển thị một đồ họa đại diện cho mảng cổng của công tắc.
  3. Bấm vào cổng mà bạn muốn kết nối gói sniffer với và chọn Sửa đổi Lựa chọn. Điều này sẽ hiển thị một cửa sổ bật lên.
  4. Lựa chọn Chẩn đoán bên trong Vai trò liệt kê và chọn cổng sẽ theo dõi lưu lượng truy cập từ Nguồn danh sách thả xuống. Nếu bạn muốn theo dõi cụ thể một Vlan, hãy chọn nó từ Nhập Vlan danh sách. Nếu bạn không muốn xem lưu lượng truy cập cho Vlan, hãy để mặc định giá trị này. Bấm vào đồng ý để lưu các thiết lập.
  5. Bấm vào đồng ý và sau đó Ứng dụng bên trong Thể thao thông minh màn.
  6. Một vấn đề với phương pháp CNA là phần mềm chỉ chạy trên các phiên bản Windows cho đến Windows 7.

Giám sát lưu lượng mạng

Nhận cổng SPAN được xác định trên thiết bị chuyển mạch của bạn chỉ là một nửa nhiệm vụ nắm bắt lưu lượng mạng. Các quy trình được giải thích ở trên sẽ nhận được các gói được sao chép và gửi đến một cổng cụ thể trên công tắc. Tiếp theo bạn cần kết nối một máy tính với cổng đó và đặt một số phần mềm phân tích lưu lượng truy cập để lưu trữ và phân tích các gói này.

Bạn có thể tìm hiểu thêm về phần mềm phân tích lưu lượng trong bài viết 9 trình thám thính gói và phân tích mạng tốt nhất cho năm 2018. Bạn cũng nên lưu ý rằng phản chiếu cổng mở rộng có thể tạo ra nhiều dữ liệu sẽ chiếm dung lượng lưu trữ, vì vậy hãy cố gắng chọn lọc về các cổng mà bạn giám sát và don don để quá trình bắt gói tin chạy quá lâu.

Hệ thống giám sát giao thông của Cisco

Thu thập và lưu trữ gói đầy đủ có thể khiến bạn gặp vấn đề về bảo mật dữ liệu. Mặc dù hầu hết lưu lượng truy cập trên mạng của bạn sẽ được mã hóa, nhưng nếu nó được dành cho các trang bên ngoài, không phải tất cả lưu lượng truy cập nội bộ sẽ được mã hóa. Trừ khi tổ chức của bạn quyết định triển khai bảo mật bổ sung cho email, lưu lượng thư trên mạng của bạn sẽ không được mã hóa theo mặc định.

Là một kỹ thuật phân tích lưu lượng thay thế, bạn có thể cân nhắc sử dụng NetFlow. Đây là một hệ thống nhắn tin được kích hoạt trên tất cả các thiết bị của Cisco và nó sẽ chỉ chuyển tiếp các tiêu đề của gói đến một màn hình trung tâm. Bạn có thể đọc về các màn hình mạng thu thập dữ liệu NetFlow trong bài viết 10 nhà phân tích và sưu tập NetFlow miễn phí và cao cấp nhất.

Khi bạn có tất cả thông tin trong tầm tay về tất cả các khả năng giám sát lưu lượng của các thiết bị chuyển mạch Cisco, bạn sẽ ở vị trí tốt hơn để quyết định sử dụng phương pháp chụp gói nào.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me