Občas nastane situace, že potřebujeme vědět jaká komunikace přichází/odchází na nějaké síťové zařízení. Pro analýzu síťového provozu máme (například) známý a dobrý program Wireshark (původně Ethereal). Ten sice existuje ve verzích pro řadu operačních systémů, ale ne vždy máme možnost na monitorované zařízení instalovat. Proto se hodí situace, kdy si veškerý provoz na daném portu switche zrcadlíme (kopírujeme) na jiný port, kde připojíme analyzátor (třeba PC s nainstalovaným Wiresharkem).
Pouze na okraj pár poznámek k analýze provozu. Síťová karta standardně zahazuje veškerý unicast provoz, který není určen pro ni (podle cílové MAC adresy). Wireshark přepíná síťovou kartu do tzv. promiskuitního módu (promiscuous mode), kdy nevybírá provoz, ale vše odesílá vyšší vrstvě/procesoru ke zpracování. Protože ale používáme switche, tak se ke stanici dostane převážně provoz určený jí.
Druhou standardní vlastností síťové karty je, že odstraňuje informaci o zařazení do VLANy, když předává rámec vyšší vrstvě. Takže když monitorujeme trunk port, tak nevidíme Ethernet rámec rozšířený o 802.1q tag. Existují však metody, jak zachytávat pakety včetně VLAN tagů, více popsáno v článku VLAN capture setup.
Jinou možností je, že chceme analyzovat provoz v celé síti nebo její části (například v určité VLANě) z důvodů detekce a předcházení útokům. Můžeme tedy kopírovat provoz jedné/více VLAN z řady switchů na jeden port, kde je připojena sonda IDS/IPS.
Pro výše popsané situace použijeme metodu, které se říká Port Mirroring nebo u firmy Cisco Switched Port Analyzer (SPAN) či Remote Switched Port Analyzer (RSPAN). SPAN funguje v rámci jednoho switche, kdy jeden zdrojový (monitorovaný) port, více portů nebo celou VLAN zrcadlí na cílový (monitorující) port. RSPAN umožňuje přeposílat provoz z více switchů.
Pozn.: Monitorující port pro SPAN již neumožňuje připojenému zařízení komunikovat, pouze na něj kopíruje veškerou komunikaci.
Konfigurace v Cisco IOSu
Při konfiguraci vytváříme monitorovací session. Pro SPAN se jedná o jednu session, která obsahuje asociaci cílového portu se zdrojovým portem nebo VLANou. Pro RSPAN se jedná o jednu RSPAN zdrojovou session, která spojuje zdrojové porty nebo VLANy s RSPAN VLAN, a jednu RSPAN cílovou session, která je na jiném switchi a spojuje RSPAN VLAN s cílovým portem.
Nová konfigurace nepřepisuje původní, občas je tedy třeba starou konfiguraci vymazat.
SWITCH(config)#no monitor session all
Konfigurace SPAN
Pro lokální SPAN konfigurujeme jednu session, takže musíme zadat stejné číslo pro source i destination. Číslo session
může být 1 až 66, ale můžeme konfigurovat maximálně 2 session pro switch. Jako source
můžeme zadat interface
nebo vlan
, případně několik portů či VLAN (které nesmíme kombinovat) pomocí ,
a -
. Jako destination
můžeme zadat port nebo skupinu portů.
SWITCH(config)#monitor session 1 source interface g1/0/10 SWITCH(config)#monitor session 1 destination interface g2/0/1
U source session můžeme také specifikovat směr provozu, který chceme monitorovat. Jde o rx
- přijímaná provoz, tx
- odesílaný provoz, nebo both
- oba, což je defaultní hodnota.
SWITCH(config)#monitor session 2 source vlan 100, 150 rx
Standardně se nemonitorují L2 protokoly, jako CDP, VTP, DTP, STP, PAgP. Pakety se také posílají netagované (odstraňuje se informace o zařazení do VLANy). Můžeme to změnit pomocí encapsulation replicate
u destination session.
SWITCH(config)#monitor session 2 destination interface g1/0/5 encapsulation replicate
Pokud monitorujeme provoz na některých portech, tak jej ještě můžeme omezit pouze na určité VLANy přidáním řádku.
SWITCH(config)#monitor session 1 filter vlan 100, 150
Konfigurace RSPAN
Pro RSPAN se používá RSPAN VLAN pomocí které se přenáší veškerý monitorovaný provoz mezi switchi. Vlastnosti popsané u SPAN jsou stejné pro RSPAN, takže zde popíšu pouze to, co přibývá.
Nejprve musíme vytvořit RSPAN VLAN na všech switchích, které se budou účastnit RSPAN. Pro konfiguraci můžeme využít VTP.
SWITCH(config)#vlan 999 SWITCH(config-vlan)#name monitoring-rspan SWITCH(config-vlan)#remote span
Následně vytvoříme source session na zdrojových switchích a destination session na cílovém.
SWITCH1(config)#monitor session 1 source interface g1/0/10,g1/0/20 SWITCH1(config)#monitor session 1 destination remote vlan 999 SWITCH2(config)#monitor session 2 source remote vlan 999 SWITCH2(config)#monitor session 2 destination interface g1/0/1
Pro RSPAN nemůžeme použít encapsulation replicate
protože se číslo VLANy přepisuje číslem RSPAN VLANy.
Zobrazení informací
Informace o všech, nebo jedné určité, monitorovací session.
SWITCH#show monitor SWITCH#show monitor session 1
Zdravím. Dá se ještě koupit obyčejný malý 4 portový LAN HUB (ne switch)?? K notebooku třeba? Nikde jsem nic nenašel. Nebo nejaký malý levný switch, který umí přepnutí do HUB nebo port mirroring?