Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN

Občas nastane situace, že potřebujeme vědět jaká komunikace přichází/odchází na nějaké síťové zařízení. Pro analýzu síťového provozu máme (například) známý a dobrý program Wireshark (původně Ethereal). Ten sice existuje ve verzích pro řadu operačních systémů, ale ne vždy máme možnost na monitorované zařízení instalovat. Proto se hodí situace, kdy si veškerý provoz na daném portu switche zrcadlíme (kopírujeme) na jiný port, kde připojíme analyzátor (třeba PC s nainstalovaným Wiresharkem).

Pouze na okraj pár poznámek k analýze provozu. Síťová karta standardně zahazuje veškerý unicast provoz, který není určen pro ni (podle cílové MAC adresy). Wireshark přepíná síťovou kartu do tzv. promiskuitního módu (promiscuous mode), kdy nevybírá provoz, ale vše odesílá vyšší vrstvě/procesoru ke zpracování. Protože ale používáme switche, tak se ke stanici dostane převážně provoz určený jí.

Druhou standardní vlastností síťové karty je, že odstraňuje informaci o zařazení do VLANy, když předává rámec vyšší vrstvě. Takže když monitorujeme trunk port, tak nevidíme Ethernet rámec rozšířený o 802.1q tag. Existují však metody, jak zachytávat pakety včetně VLAN tagů, více popsáno v článku VLAN capture setup.

Jinou možností je, že chceme analyzovat provoz v celé síti nebo její části (například v určité VLANě) z důvodů detekce a předcházení útokům. Můžeme tedy kopírovat provoz jedné/více VLAN z řady switchů na jeden port, kde je připojena sonda IDS/IPS.

Pro výše popsané situace použijeme metodu, které se říká Port Mirroring nebo u firmy Cisco Switched Port Analyzer (SPAN) či Remote Switched Port Analyzer (RSPAN). SPAN funguje v rámci jednoho switche, kdy jeden zdrojový (monitorovaný) port, více portů nebo celou VLAN zrcadlí na cílový (monitorující) port. RSPAN umožňuje přeposílat provoz z více switchů.

Pozn.: Monitorující port pro SPAN již neumožňuje připojenému zařízení komunikovat, pouze na něj kopíruje veškerou komunikaci.

Konfigurace v Cisco IOSu

Při konfiguraci vytváříme monitorovací session. Pro SPAN se jedná o jednu session, která obsahuje asociaci cílového portu se zdrojovým portem nebo VLANou. Pro RSPAN se jedná o jednu RSPAN zdrojovou session, která spojuje zdrojové porty nebo VLANy s RSPAN VLAN, a jednu RSPAN cílovou session, která je na jiném switchi a spojuje RSPAN VLAN s cílovým portem.

Nová konfigurace nepřepisuje původní, občas je tedy třeba starou konfiguraci vymazat.

SWITCH(config)#no monitor session all

Konfigurace SPAN

Pro lokální SPAN konfigurujeme jednu session, takže musíme zadat stejné číslo pro source i destination. Číslo session může být 1 až 66, ale můžeme konfigurovat maximálně 2 session pro switch. Jako source můžeme zadat interface nebo vlan, případně několik portů či VLAN (které nesmíme kombinovat) pomocí , a -. Jako destination můžeme zadat port nebo skupinu portů.

SWITCH(config)#monitor session 1 source interface g1/0/10
SWITCH(config)#monitor session 1 destination interface g2/0/1

U source session můžeme také specifikovat směr provozu, který chceme monitorovat. Jde o rx - přijímaná provoz, tx - odesílaný provoz, nebo both - oba, což je defaultní hodnota.

SWITCH(config)#monitor session 2 source vlan 100, 150 rx

Standardně se nemonitorují L2 protokoly, jako CDP, VTP, DTP, STP, PAgP. Pakety se také posílají netagované (odstraňuje se informace o zařazení do VLANy). Můžeme to změnit pomocí encapsulation replicate u destination session.

SWITCH(config)#monitor session 2 destination interface g1/0/5 encapsulation replicate 

Pokud monitorujeme provoz na některých portech, tak jej ještě můžeme omezit pouze na určité VLANy přidáním řádku.

SWITCH(config)#monitor session 1 filter vlan 100, 150

Konfigurace RSPAN

Pro RSPAN se používá RSPAN VLAN pomocí které se přenáší veškerý monitorovaný provoz mezi switchi. Vlastnosti popsané u SPAN jsou stejné pro RSPAN, takže zde popíšu pouze to, co přibývá.

Nejprve musíme vytvořit RSPAN VLAN na všech switchích, které se budou účastnit RSPAN. Pro konfiguraci můžeme využít VTP.

SWITCH(config)#vlan 999
SWITCH(config-vlan)#name monitoring-rspan
SWITCH(config-vlan)#remote span

Následně vytvoříme source session na zdrojových switchích a destination session na cílovém.

SWITCH1(config)#monitor session 1 source interface g1/0/10,g1/0/20
SWITCH1(config)#monitor session 1 destination remote vlan 999
SWITCH2(config)#monitor session 2 source remote vlan 999
SWITCH2(config)#monitor session 2 destination interface g1/0/1

Pro RSPAN nemůžeme použít encapsulation replicate protože se číslo VLANy přepisuje číslem RSPAN VLANy.

Zobrazení informací

Informace o všech, nebo jedné určité, monitorovací session.

SWITCH#show monitor
SWITCH#show monitor session 1

Související články:

Cisco IOS

• Cisco IOS 1 - úvod, příkaz show [08.03.2007 13:00]
• Cisco IOS 2 - verze, upgrade a záloha IOSu [16.03.2007 14:28]
• Cisco IOS 3 - nastavení interface/portu - access, trunk, port security [09.04.2007 11:09]
• Cisco IOS 4 - reset, password recovery [25.04.2007 17:34]
• Cisco IOS 5 - komunikace se switchem [16.05.2007 16:15]
• Cisco IOS 6 - úvodní konfigurace switche [08.06.2007 17:31]
• Cisco IOS 7 - konfigurace VLAN, VTP [18.06.2007 14:12]
• Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
• Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
• Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
• Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS [10.10.2007 14:38]
• Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce [24.10.2007 16:42]
• Cisco IOS 13 - DHCP služby na switchi [06.01.2008 11:24]
• Cisco IOS 14 - tipy pro běžnou práci [29.02.2008 08:15]
• Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů [13.03.2008 09:43]
• Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
• Cisco IOS 17 - více switchů jako Stack - technologie StackWise [29.07.2008 20:27]
• Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy [24.12.2008 11:50]
• Cisco QoS 1 - úvod do Quality of Service a DiffServ [18.01.2009 13:31]
• Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
• Cisco QoS 3 - omezování rychlosti - Policing, Shaping [01.02.2009 12:20]
• Cisco QoS 4 - garance rychlosti - řazení do front - Queuing [08.02.2009 13:13]
• Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS [14.02.2009 14:55]
• Cisco QoS 6 - praktické příklady použití QoSu [28.02.2009 16:33]
• TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
• TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
• Cisco Routing 1 - obecné vlastnosti směrovacích protokolů [20.03.2009 14:43]
• Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
• Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
• Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
• Cisco IOS 19 - Private VLAN a Protected Port [20.05.2009 18:41]
• Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
• Cisco Routing 6 - srovnání routovacích protokolů [28.04.2009 16:27]
• Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05]
• Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
• Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
• Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
• Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN [15.07.2009 11:52] právě čtete
• Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory [15.09.2009 17:09]
• Cisco QoS 7 - doplňující informace [05.11.2009 09:31]