端口鏡像span、rspan(華爲)
RSPAN (Remote Switched Port Analyzer,遠程交換端口分析),即遠程端口鏡像,遠程端口鏡像(RSPAN)是本地端口鏡像(SPAN)的擴展,突破了被鏡像端口和鏡像端口必須在同一臺交換機上的限制,使被鏡像端口和鏡像,端口可以跨越網絡中的多個設備,從而方便網管人員對遠程交換機設備進行管理。
在我們的網絡中,最爲可靠的設備要數防火牆了,通過我們的精心配製安全方案,他確實能給我們帶來不錯的效果,但這還是遠遠不夠的,像不經過防火前的***它還是無能爲力的(來自內部網絡的***、不經過防火牆直接通過電話線等上網的主機有可能就成爲了別人***的跳板主機),一種叫做數據驅動式的***(內含邏輯炸彈),內網主機下載下來攜帶病毒***的文件包,還有一些加密後的***,這些都是防火牆無能爲力的,這時我們可以使用一種叫做ids的檢測機制,它重在檢測沒有什麼防禦功能,升級後的ids叫做ips,相比ids它重在防禦,當別人***它是它會做出迴應常見的ids有:hids、session-wall、snort這些都是軟件,需要安裝在主機上,使用起來既麻煩價格又不便宜,還有一種網絡ids叫做nids,它只需要安裝在網絡設備上便可做到對數據的檢測,但是它往往不能做到對全網信息的檢測(交換機是點到點通訊),在交換機上有一種概念叫端口鏡像span便可以解決這個問題。
端口鏡像,需要在交換機上設置鏡像的源端口(被檢測數據來時所經過的端口)和目標端口(鏈接檢測設備的端口),但這只是對檢測設備所連接的交換機數據的檢測,對於網絡上的其他交換的數據檢測我們要採用rspan(遠程的交換端口分析),我們只需要在網絡中心的交換機上連接一臺檢測設備便可以做到對全網信息的檢測。
Rspan中各個交換機和交換機端口的作用:
本地端口鏡像配置命令:
創建端口鏡像組
mirroring-group group-id local
進入鏡像目的端口的以太
interface interface-type interface-number
定義當前端口爲鏡像目的端口
monitor-port
進入鏡像源端口的以太網
interface interface-type interface-number
配置鏡像源端口,同時指定被鏡像報文的方向
mirroring-port { inbound |outbound | both }
或者用這種方法:
創建端口鏡像組
mirroring-group group-id local
配置鏡像目的端口
mirroring-group group-id
monitor-port monitor-port
配置鏡像源端口,同時指定被鏡像報文的方向
mirroring-group group-id
mirroring-port mirroring-port-list { both | inbound | outbound }
下面是一個本地端口span鏡像案例:
實驗設備:
二層交換機sw
兩個防火牆作pc
檢測設備是一臺linux主機安裝有wireshark
參考配置:
在linux安裝一個wireshark抓包工具,當做sw上的檢測設備
[sw]dis mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/10 both
Ethernet1/0/20 both
monitor port: Ethernet1/0/2
在pc2上建一個ftp服務器並建立用戶:
[pc2]ftp server enable
[pc2]local-user user1
[pc2-luser-user1]password 123456
[pc2-luser-user1]service-type ftp
從pc1上登錄pc2的ftp服務器:
在檢測設備上檢測到登錄信息:
接下來是rspan的一個小案例:
基本配置命令:
源交換機上的配置過程
創建 Remote-probe vlan
vlan vlan-id
定義當前VLAN 爲Remote-probe VLAN
remote-probe vlan enable
進入與中間交換機或目的交換機相連的端口視圖
interface interface-type interface-number
配置當前端口類型爲 Trunk
port link-type trunk
port trunk permit vlan remote-probe-vlan-id
配置遠程源鏡像組
mirroring-group group-id remote-source
配置遠程鏡像源端口
mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound }
配置遠程反射端口
mirroring-group group-id reflector-port reflector-port
配置遠程源鏡像組的remote-probe vlan
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
中間交換機配置過程:
創建 Remote-probe vlan
vlan vlan-id
定義當前VLAN 爲Remote-probe VLAN
remote-probe vlan enable
進入與中間交換機或目的交換機相連的端口視圖
interface interface-type interface-number
配置當前端口類型爲 Trunk
port link-type trunk
port trunk permit vlan remote-probe-vlan-id
目的交換機上配置過程:
創建 Remote-probe vlan
vlan vlan-id
定義當前VLAN 爲Remote-probe VLAN
remote-probe vlan enable
進入與中間交換機或目的交換機相連的端口視圖
interface interface-type interface-number
配置當前端口類型爲 Trunk
port link-type trunk
port trunk permit vlan remote-probe-vlan-id
配置遠程目的鏡像組
mirroring-group group-id remote-destination
配置遠程鏡像目的端口
mirroring-group group-id monitor-port monitor-port
配置遠程源鏡像組的 remote-probe vlan
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
實驗拓撲:
實驗目的:
檢測設備能檢測到pc1訪問pc2的數據
參考配置:
目的交換機:
中間交換機:
源交換機:
抓包測試結果:
