SPAN釋義:
SPAN技術我們可以把交換機上某些想要被監控端口(以下簡稱受控端口)的數據流COPY或MIRROR一 份,發送給連接在監控端口上的流量分析儀,比如CISCO的IDS或是裝SNIFFE工具的PC受控端口和 監控端口可以在同一臺交換機上的,那就是本地SPAN。
背景環境:
防火牆,這是大家提到安全時候想到的第一個詞,最爲可靠的設備要數防火牆了,通過我們的精心配製安全方案,他確實能給我們帶來不錯的效果,但這還是遠遠不夠的,因爲防火牆是針對進入網絡時候進行檢測的,一種叫做數據驅動式的***(內含邏輯炸彈),內網主機下載下來攜帶病毒***的文件包,還有一些加密後的***,這些都是防火牆無能爲力的而如果在網絡內有了不正常的情況,防火牆也無能爲力,此時就需要在網絡內有進行監控的服務,所以防火牆是有侷限性的,所以我們就結合一下端口鏡像。
端口鏡像在我們的網絡中,在交換機上有一種概念叫端口鏡像span便可以解決這個問題。端口鏡像,需要在交換機上設置鏡像的源端口(被檢測數據來時所經過的端口)和目標端口(鏈接檢測設備的端口),但這只是對檢測設備所連接的交換機數據的檢測,對於網絡上的其他交換的數據檢測我們要採用rspan(遠程的交換端口分析),我們只需要在網絡中心的交換機上連接一臺檢測設備便可以做到對全網信息的檢測。
本地端口鏡像配置命令:
創建端口鏡像組 mirroring-group group-id local
進入鏡像目的端口的以太 interface interface-type interface-number
定義當前端口爲鏡像目的端口 monitor-port
進入鏡像源端口的以太網 interface interface-type interface-number
配置鏡像源端口,同時指定被鏡像報文的方向 mirroring-port { inbound |outbound | both }
或者用這種方法:創建端口鏡像組 mirroring-group group-id local
配置鏡像目的端口 mirroring-group group-idmonitor-port monitor-port
配置鏡像源端口,同時指定被鏡像報文的方向 mirroring-group group-idmirroring-port mirroring-port-list { both |inbound | outbound }
下面是一個本地端口鏡像案例: [sw]dis mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/10 bothEthernet1/0/20 bothmonitor port: Ethernet1/0/2在pc2上建一個ftp服務器並建立用戶:
[pc2]ftp server enable[pc2]local-user user1
[pc2-luser-user1]password 123456[pc2-luser-user1]service-type ftp
從pc1上登錄pc2的ftp服務器:
在檢測設備上檢測到登錄信息:
這個就是本地span,可以看出我們檢測到了交換機上的數據流,看到賬號,密碼沒,嘿嘿!
利用這個我們就可以隨時隨地檢測網絡上的流量,進行安全控制。
好的,我們下期做RSPAN。