《CISCO交换机的数据监控(18)(1)(修订-编写)新修订》由会员分享,可在线阅读,更多相关《CISCO交换机的数据监控(18)(1)(修订-编写)新修订(20页珍藏版)》请在金锄头文库上搜索。
1、CISCO交换机的数据监控 网络技术已成为网络防护的重要手段之一,入 侵检测技术的基础是对网络中数据的收集,目前的方法主要有安放探针 设备、采用共享式Hub以及利用网络设备本身提供的数据监控功能等。 在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该是 利用网络设备的自身功能进行数据收集。 我们在实际的网络集成工作中经常会使用Cisco 公司 Catalyst系列交换机,这里就此类设备监控功能的配置进行介绍,希 望能够对网络管理人员以及安全防护的实施有一定的帮助(本文以 Cat alyst4000系列交换机为例)。 配置 SPAN 对话( SPAN Session) 基本功能 通过设置
2、 SPAN 对话能够对本交换机端口或整个VLAN 的数据流进行监视,被监控的数据流可以由协议分析设备进行分析处 理。 工作方式 SPAN 对话由一个目的端口和一组源端口组成,它将一 个或多个 VLAN上的一个或多个源端口的数据包复制到目的端口上。SP AN不影响源端口的正常工作,也不会影响正常的交换机操作。在交换 网络中可以配置多个SPAN 对话,只有当目的端口可操作,同时源端口 或源 VLAN中的任意一个端口活动时才可激活SPAN 对话。 配置命令 将被监视的端口或VLAN配置为源端口, 将接收被复制 数据包的端口设置为目的端口。 set span src_mod/src_ports | s
3、rc_vlan dest_m od/dest_port rx | tx | both filter vlan inpkts enable | disable learning enable | disable create 配置说明 src_mod/src_ports: 源模块 / 端口号。它们可以存在 于任何 VLAN中,也可以配置一个或多个VLAN作为源端口 (src_vlans), 此时该 VLAN中的所有端口作为SPAN 对话中的源端口。 一个端口可以配 置为多个 SPAN 对话的源端口。 dest_mod/dest_port: 目的模块 / 端口号。每个SPAN 对话中只有一个目的端
4、口,同一个端口不能作为多个SPAN 对话的目的 端口,一个目的端口不能被配置为源端口,活动的目的端口不参与Spa nning Tree 。 rx | tx | both: 通过源端口的流量可以分为进入 (ingress )、外出( egress )、双向( both )三类,可以在SPAN 对话 中配置监视的是哪种类型的数据包。当监视整个VLAN的数据时只能为 双方向的数据流。 filter vlan: Trunk VLAN过滤, 6.3(1) 以后的版 本可以对源端口为Trunk 的端口进行 VLAN限制过滤, 只允许指定 VLAN 的流量被复制到目的端口。 inpkts enable |
5、disable: 缺省情况下目的端 口被激活后将不接收进入的数据包,造成目的端口不能与其他设备进行 通信,可以通过配置允许进行转发,此时发送的数据包在本端口所属的 VLAN内进行交换。此目的端口将不参与本VLAN的 Spanning Tree 。 learning enable | disable: 当允许目的端口 进行转发时, 可以设置允许从目的端口学习源MAC 地址,此项只影响与 目的端口相连的设备。缺省时为enable ,但当配置 inpkts enable时 应同时配置 learning enable。 create: 采用 create可以产生新的SPAN 对话,最 多可以同时运行5
6、 个 SPAN 对话。 注意 1. SPAN 对话只能监视本交换机内的数据包。 2. 交换机的 sc0 接口不能配置为SPAN 源端口。 3. EtherChannel端口不能作为SPAN 目的端口。 4. 在进行 SPAN 对话配置时,如果目的端口的Trunki ng 模式为“ On ” 或“Nonegotiate ”,则 SPAN 包将以原 Trunking 配 置的封装格式进行转发,同时这个目的端口将停止Trunking 。 配置例子: 例 1: 配置 port 2/5 (the SPAN source) 的出入双向数据 包被复制到 port 2/10 (the SPAN destina
7、tion)。 Console (enable) set span 2/5 2/10 Console (enable) show span Destination : Port 2/10 Admin Source : Port 2/5 Oper Source : None Direction : transmit/receive Incoming Packets: disabled Learning : enabled Filter : - Status : active - Total local span sessions: 1 Console (enable) 例 2: 配置 VLAN 5
8、22和 523 为 SPAN source, port 2/1 为 SPAN destination: Console (enable) set span 522523 2/1 Console (enable) show span Destination : Port 2/1 Admin Source : VLAN 522523 Oper Source : Port 2/1-2 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Filter : - Status : active - Total
9、 local span sessions: 1 Console (enable) 禁止 SPAN set span disable dest_mod/dest_port | all 通 过禁止目的端口可以清除SPAN 对话。 例如: Console (enable) set span disable 2/3 This command may disable your span session(s). Do you want to continue (y/n) n? y Disabled Port 2/3 to monitor transmit/receive traffic of Port I
10、ncoming Packets disabled. Learning enabled. Console (enable) 注:以上命令适用于set 命令集的 Catalyst系列交换 机,对一些 IOS 命令的交换机如Catalyst2950 、3500 等,其命令有所 不同。 配置 RSPAN 目前许多局域网环境是由多台交换机组成的,SPAN 对 话只能对本交换机内的数据进行捕获,而其他交换机上的数据则无法获 得。 Cisco 公司针对这种情况开发了远程SPAN (RSPAN )功能,能够对 远端交换机的数据进行监视。目前能够实现RSPAN 功能的交换机局限在 Cisco4000 、6000
11、、2948G 、2980G上,且软件版本要求为6.3(1) 或以后, 在整个端到端路径中不允许有其他类型的交换机以及其他厂商的交换 机,这也是目前实施RSPAN 的一个很大的限制。下面介绍一下RSPAN 的配置。 工作方法 RSPAN 具有 SPAN 的所有特征,同时又具有跨越多个交 换机进行监视的功能。 配置命令 1. 配置 RSPAN VLAN,在 VTP enabled 的情况下 , 在一 个交换机上进行设置就可以传播到VTP domain。 set vlan vlan_num rspan 2. 配置 RSPAN 对话的源端口 set rspan source mod/ports. |
12、vlans. rs pan_vlan reflector mod/port rx | tx | both filter vlan s. create 3. 配置 RSPAN 对话的目的端口 set rspan destination mod_num/port_num rspa n_vlan inpkts enable | disable learning enable | disab le create 此配置在目的端口所在的设备上进行,与 SPAN 配置命 令大体相同,但需指出与目的端口相关联的rspan_vlan 。 注意事项 1. 在 RSPAN session 中 traffic类型可
13、以不同 (ingr ess、egress 或 both) ,但对于同一个交换机上的所有源端口必须相同。 2. RSPAN sessions与 SPAN sessions 可以共存,最 多 5 个。 3. 对于 RSPAN ,可以在多个交换机上分布源端口和目 的端口。作为反射端口的端口不能作为源或目的端口。 4. SPAN 能够监视所有网络数据流,包括多播以及桥 协议数据单元 (BPDU),RSPAN 不支持对 BPDU 的监视。 配置例子 1. 配置 VLAN500作为 RSPAN VLAN Console (enable) set vlan 500 rspan vlan 500 config
14、uration successful 2. 配置 RSPAN 对话的源端口 指定 RSPAN VLAN 为 500,反射端口为 2/34 ,监视源端 口 2/3 的接收方向数据。 Console (enable) set rspan source 2/3 500 ref lector 2/34 rx Rspan Type : Source Destination : - Reflector : Port 2/34 Rspan Vlan : 500 Admin Source : Port 2/3 Direction : receive Incoming Packets: - Learning :
15、 - Filter : - Status : active Console (enable) 2001 May 02 13:22:17 %SYS-5-SPAN_CFGSTATECHG: remote span source session active for remote span vlan 500 配置 RSPAN 对话目的端口 配置 port 3/1 作为 RSPAN 目的端口, RSPAN VLAN 为 500 Console (enable) set rspan destination 3/1 500 Rspan Type : Destination Destination : Po
16、rt 3/1 Rspan Vlan : 500 Admin Source : - Oper Source : - Direction : - Incoming Packets: disabled Learning : enabled Filter : - Status : active Console (enable) 禁止 RSPAN 对话 set rspan disable source rspan_vlan | all set rspan disable destination mod_num/port_num | all 禁止所有允许的源对话: Console (enable) set rspan disable source all This command will disable all remo
