1.基本概念
SPAN技術主要是用來監控交換機上的數據流,分爲兩種類型,本地SPAN(Local Switched Port Analyzer)和遠程SPAN(Remote SPAN).
我們一般說SPAN指的就是本地的,遠程的一般管它叫RSPAN。
這些SPAN技術可以把交換機上某些想要被監控端口(也叫受控端口)的數據流COPY(也說MIRROR)一份,發送給連接在監控端口上的數據流分析設備,比如IDS或是裝了SNIFFER工具的主機。受控端口和監控端口可以在同一臺交換機上(本地SPAN),也可以在不同的交換機上(RSPAN)。
注意:本地SPAN必須在一臺交換機上用,RSPAN必須不在一臺交換機上用!
*下文的SPAN如無特殊強調則同時指本地和遠程的*
2.SPAN監控數據流類型
SPAN可監控的數據流類型分爲三種;
inbound SPAN 受控端口的接收流量。
outbound SPAN 受控端口的發送流量。
Both 一個受控端口的接收和發送流量。
3.SPAN端口類型
Source Port--SPAN源端口,也叫monitored port即被監控端口(受控端口)
受控端口可以是實際的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN則包括此VLAN中的所以物理端口,受控端口如果是以太信道則包括組成此以太信道的所有物理端口,如果受控端口是一個TRUNK幹道端口,則此TRUNK端口上承載的所有VLAN流量都會受到監控,也可以使用filter vlan 參數進行調整,只對filter vlan 中指定的VLAN數據流量做監控。
Destination Port--SPAN目的端口,也就是monitoring port-即監控端口(連監控設備用的)。
監控端口只能是單獨的一個實際物理端口,一個監控端口同時只能在一個SPAN中使用,監控端口不參與其它的二層協議如:
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP)等.
缺省情況下監控端口不會轉發除SPAN Session以外的任何其它的數據流,也可以通過設置ingress參數,打開監控端口的二層轉發功能,比如當連接CISCO IDS的時會有這種需求,此時IDS不僅要接 收SPAN Session的數據流,IDS本身在網絡中還會與其它設備有通訊流量,所以要打開監控端口的二層轉發功能。
*反正你就記着如過把一個端口錯誤的設置爲監控端口了,那麼它就不能正常的進行除SPAN外的所有通信了*
監控端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
4.Reflector Port--反射端口
*反射端口只在RSPAN中使用*與RSPAN中的受控端口在同一臺交換機上(監控端口不在這臺交換機上),是用來將本地的受控端口數據流轉發到RSPAN中在另一臺交換機上的遠程監控端口的方法,反射端口也只能是一個實際的物理端口。
*反射端口不能屬於任何一個VLAN*
*RSPAN中還要使用一個專用的VLAN來轉發流量*,反射端口會使用這個專用VLAN將數據流通過TRUNK端口發送給其它的交換機,遠程交換機再通過此專用VLAN將數據流發送到監控端口上的分析儀。
在使用RSPAN VLAN的時候,所有參與RSPAN的交換機應在同一個VTP域中,不能用VLAN 1,也不能用1002-1005,這是保留給令牌環和FDDI的,如果是2-1001的標準VLAN,則只要在VTP Server上創建即可(將交換機VTP模式設爲Transparent後全部手工創建也可以),其它的交換機會自動學到,如果是1006-4094的擴展VLAN,則需要在所有交換機上創建此專用VLAN。
反射端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
5.SPAN的3種模式:
1.SPAN:源端口和目標端口都處於同一交換機,並且源端口可以是一個或多個交換機端口.
2.基於VLAN的交換式端口分析器(VSPAN):SPAN的一種變體,源端口不是物理端口,而是VLAN.
3.遠程交換式端口分析器(RSPAN):源端口和目標端口處於不同的交換機.
4. ERSPAN ---- Enhanced Remoted SPAN ---- 增強SPAN
6.需要注意的問題
監控端口不參與很多通信!並會對其他一些通信產生影響!反射端口影響小些,但也會有問題。大部分錯誤都是由這個引起的。
利用SPAN監控VLAN時,只能監控VLAN中所有活動端口接收的流量,如果監控端口也屬於屬於此VLAN,則此端口不在監控範圍內。
利用SPAN監控VLAN時,不監控VLAN間的路由數據,比如我開個SPAN監控一臺三層交換機某個VLAN的inbound方向的數據流(也只能是這個方向),當一個數據流被從其他VLAN路由到此VLAN時,此數據流不在監控範圍內。
配置了端口安全的端口(如最大地址學習數等)不能設置爲監控端口。
案例實驗:本地端口鏡像(SPAN):
拓撲圖:
SW配置:
[sw1]mirroring-group 1 local #本地端口鏡像組
[sw1]mirroring-group 1 mirroring-port Ethernet 1/0/10 Ethernet 1/0/20 both #監控鏡像源端口的輸入輸出
[sw1]mirroring-group 1 monitor-port e1/0/24 #設置e1/0/24端口爲本地鏡像組的目的端口
[sw1]dis mirroring-group 1 #查看顯示鏡像組信息
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/10 both
Ethernet1/0/20 both
monitor port: Ethernet1/0/24
PC-A(交換機代替)配置:只需配置一個ip地址,telnet的23端口打開即可。
PC-A]dis cu
#
sysname PC-A
local-user admin
password simple admin
service-type ftp
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.2.10 255.255.255.0
PC-B(防火牆代替)配置:同樣是一個ip地址,telnet的23端口打開。
<PC-B>dis cu
#
sysname PC-B
#
firewall packet-filter enable
firewall packet-filter default permit
#
undo insulate
#
local-user admin
password simple admin
service-type telnet
#
interface Ethernet0/0
ip address 192.168.2.20 255.255.255.0
#
firewall zone trust
add interface Ethernet0/0
set priority 85
#
PC-A telnet PC-B測試:
<PC-A>telnet 192.168.2.20
Trying 192.168.2.20 ...
Press CTRL+K to abort
Connected to 192.168.2.20 ...
********************************************************************************
* Copyright(c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
Login authentication
Username:admin
Password:
<PC-B>
我們的IPS或者IDS通過抓包軟件獲取數據包就是能夠檢測到鏡像源端口的通信。
遠程端口鏡像(RSPAN)
拓撲圖:
SW3源交換機配置:
<SW3>dis cu
#
sysname SW3
#
mirroring-group 1 remote-source #定義SW3交換機爲遠程源鏡像組
#
vlan 1
#
vlan 10 #創建VLAN 10
remote-probe vlan enable #定義VLAN 10爲remote-probe VLAN
#
interface Ethernet1/0/1
port link-type trunk #配置e1/0/1爲trunk端口
port trunk permit vlan 1 10 #配置trunk端口允許remote-probe VLAN報文通過
#
interface Ethernet1/0/5
duplex full
speed 100
mirroring-group 1 reflector-port #配置e1/0/5端口爲遠程反射端口
#
interface Ethernet1/0/10
mirroring-group 1 mirroring-port inbound #監控e1/0/10遠程鏡像源端口的輸入報文
#
interface Ethernet1/0/20
mirroring-group 1 mirroring-port outbound #監控e1/0/20遠程鏡像源端口的輸出報文
#
interface NULL0
#
mirroring-group 1 remote-probe vlan 10 #配置遠程源鏡像的remote-probe VLAN
查看顯示遠程源鏡像組配置
<SW3>dis mirroring-group remote-source
mirroring-group 1:
type: remote-source
status: active
mirroring port:
Ethernet1/0/10 inbound
Ethernet1/0/20 outbound
reflector port: Ethernet1/0/5
remote-probe vlan: 10
SW2中間交換機的配置:
<SW2>dis cu
#
sysname SW2
#
vlan 10
remote-probe vlan enable #配置VLAN 10爲remote-probe VLAN
#
interface Ethernet1/0/1
port link-type trunk #配置e1/0/1爲trunk端口
port trunk permit vlan 1 10 #使當前trunk端口允許remote-probe VLAN報文通過
#
interface Ethernet1/0/24
port link-type trunk #配置e1/0/1爲trunk端口
port trunk permit vlan 1 10 #使當前trunk端口允許remote-probe VLAN報文通過
SW1目的交換機的配置:
<SW1>dis cu
#
sysname SW1
#
mirroring-group 1 remote-destination #配置遠程目的鏡像組
#
vlan 10
remote-probe vlan enable #定義VLAN 10爲remote-probe VLAN
#
interface Ethernet1/0/1
port link-type trunk #配置e1/0/1端口爲trunk端口
port trunk permit vlan 1 10 #使當前trunk端口允許remote-probe VLAN報文通過
#
interface Ethernet1/0/24
port access vlan 10
mirroring-group 1 monitor-port #配置e1/0/24爲遠程鏡像的目的端口
#
mirroring-group 1 remote-probe vlan 10 #配置VLAN 10爲遠程目的鏡像組的remote-probe VLAN
查看並顯示遠程目的鏡像組的配置:
[SW1]dis mirroring-group remote-destination
mirroring-group 1:
type: remote-destination
status: active
monitor port: Ethernet1/0/24
remote-probe vlan: 10