www.SAMURAJ-cz.com 

14.12.2017 Lýdie Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN

Středa, 15.07.2009 11:52 | Samuraj - Petr Bouška |
Tento článek popisuje velice užitečnou, a na konfiguraci jednoduchou funkci, která zajišťuje kopírování veškerého provozu z jednoho (nebo více) portu switche na jiný. To využijeme, když potřebujeme analyzovat síťový provoz některého zařízení, když chceme do sítě připojit IDS/IPS systém nebo i v některých dalších případech.

Občas nastane situace, že potřebujeme vědět jaká komunikace přichází/odchází na nějaké síťové zařízení. Pro analýzu síťového provozu máme (například) známý a dobrý program Wireshark (původně Ethereal). Ten sice existuje ve verzích pro řadu operačních systémů, ale ne vždy máme možnost na monitorované zařízení instalovat. Proto se hodí situace, kdy si veškerý provoz na daném portu switche zrcadlíme (kopírujeme) na jiný port, kde připojíme analyzátor (třeba PC s nainstalovaným Wiresharkem).

Pouze na okraj pár poznámek k analýze provozu. Síťová karta standardně zahazuje veškerý unicast provoz, který není určen pro ni (podle cílové MAC adresy). Wireshark přepíná síťovou kartu do tzv. promiskuitního módu (promiscuous mode), kdy nevybírá provoz, ale vše odesílá vyšší vrstvě/procesoru ke zpracování. Protože ale používáme switche, tak se ke stanici dostane převážně provoz určený jí.

Druhou standardní vlastností síťové karty je, že odstraňuje informaci o zařazení do VLANy, když předává rámec vyšší vrstvě. Takže když monitorujeme trunk port, tak nevidíme Ethernet rámec rozšířený o 802.1q tag. Existují však metody, jak zachytávat pakety včetně VLAN tagů, více popsáno v článku VLAN capture setup.

Jinou možností je, že chceme analyzovat provoz v celé síti nebo její části (například v určité VLANě) z důvodů detekce a předcházení útokům. Můžeme tedy kopírovat provoz jedné/více VLAN z řady switchů na jeden port, kde je připojena sonda IDS/IPS.

Pro výše popsané situace použijeme metodu, které se říká Port Mirroring nebo u firmy Cisco Switched Port Analyzer (SPAN) či Remote Switched Port Analyzer (RSPAN). SPAN funguje v rámci jednoho switche, kdy jeden zdrojový (monitorovaný) port, více portů nebo celou VLAN zrcadlí na cílový (monitorující) port. RSPAN umožňuje přeposílat provoz z více switchů.

Pozn.: Monitorující port pro SPAN již neumožňuje připojenému zařízení komunikovat, pouze na něj kopíruje veškerou komunikaci.

Konfigurace v Cisco IOSu

Při konfiguraci vytváříme monitorovací session. Pro SPAN se jedná o jednu session, která obsahuje asociaci cílového portu se zdrojovým portem nebo VLANou. Pro RSPAN se jedná o jednu RSPAN zdrojovou session, která spojuje zdrojové porty nebo VLANy s RSPAN VLAN, a jednu RSPAN cílovou session, která je na jiném switchi a spojuje RSPAN VLAN s cílovým portem.

Nová konfigurace nepřepisuje původní, občas je tedy třeba starou konfiguraci vymazat.

SWITCH(config)#no monitor session all

Konfigurace SPAN

Pro lokální SPAN konfigurujeme jednu session, takže musíme zadat stejné číslo pro source i destination. Číslo session může být 1 až 66, ale můžeme konfigurovat maximálně 2 session pro switch. Jako source můžeme zadat interface nebo vlan, případně několik portů či VLAN (které nesmíme kombinovat) pomocí , a -. Jako destination můžeme zadat port nebo skupinu portů.

SWITCH(config)#monitor session 1 source interface g1/0/10
SWITCH(config)#monitor session 1 destination interface g2/0/1

U source session můžeme také specifikovat směr provozu, který chceme monitorovat. Jde o rx - přijímaná provoz, tx - odesílaný provoz, nebo both - oba, což je defaultní hodnota.

SWITCH(config)#monitor session 2 source vlan 100, 150 rx

Standardně se nemonitorují L2 protokoly, jako CDP, VTP, DTP, STP, PAgP. Pakety se také posílají netagované (odstraňuje se informace o zařazení do VLANy). Můžeme to změnit pomocí encapsulation replicate u destination session.

SWITCH(config)#monitor session 2 destination interface g1/0/5 encapsulation replicate 

Pokud monitorujeme provoz na některých portech, tak jej ještě můžeme omezit pouze na určité VLANy přidáním řádku.

SWITCH(config)#monitor session 1 filter vlan 100, 150

Konfigurace RSPAN

Pro RSPAN se používá RSPAN VLAN pomocí které se přenáší veškerý monitorovaný provoz mezi switchi. Vlastnosti popsané u SPAN jsou stejné pro RSPAN, takže zde popíšu pouze to, co přibývá.

Nejprve musíme vytvořit RSPAN VLAN na všech switchích, které se budou účastnit RSPAN. Pro konfiguraci můžeme využít VTP.

SWITCH(config)#vlan 999
SWITCH(config-vlan)#name monitoring-rspan
SWITCH(config-vlan)#remote span

Následně vytvoříme source session na zdrojových switchích a destination session na cílovém.

SWITCH1(config)#monitor session 1 source interface g1/0/10,g1/0/20
SWITCH1(config)#monitor session 1 destination remote vlan 999
SWITCH2(config)#monitor session 2 source remote vlan 999
SWITCH2(config)#monitor session 2 destination interface g1/0/1

Pro RSPAN nemůžeme použít encapsulation replicate protože se číslo VLANy přepisuje číslem RSPAN VLANy.

Zobrazení informací

Informace o všech, nebo jedné určité, monitorovací session.

SWITCH#show monitor
SWITCH#show monitor session 1
zobrazeno: 18535krát | Komentáře [1]

Autor:

Související články:

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Honza

    Zdravím. Dá se ještě koupit obyčejný malý 4 portový LAN HUB (ne switch)?? K notebooku třeba? Nikde jsem nic nenašel. Nebo nejaký malý levný switch, který umí přepnutí do HUB nebo port mirroring?

    Čtvrtek, 24.02.2011 09:35 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách