CISCO交换机的数据监控_第1页
CISCO交换机的数据监控_第2页
CISCO交换机的数据监控_第3页
CISCO交换机的数据监控_第4页
CISCO交换机的数据监控_第5页
免费预览已结束,剩余9页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、CISCO 交换机的数据监控网络入侵检测技术已成为网络防护的重要手段之一, 入侵检测技术的基础是对网络中数据的收集, 目前的方法主要有安放探 针设备、采用共享式 Hub 以及利用网络设备本身提供的数据监控功能 等。在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该 是利用网络设备的自身功能进行数据收集。我们在实际的网络集成工作中经常会使用 Cisco 公司Catalyst 系列交换机, 这里就此类设备监控功能的配置进行介绍, 希望 能够对网络管理人员以及安全防护的实施有一定的帮助(本文以 Catal yst4000 系列交换机为例)。配置 SPAN 对话( SPANSession)基本

2、功能通过设置 SPAN 对话能够对本交换机端口或整个 VLAN 的数据流进行监视, 被监控的数据流可以由协议分析设备进行分析处 理。工作方式SPAN 对话由一个目的端口和一组源端口组成,它将一个或多个 VLAN 上的一个或多个源端口的数据包复制到目的端口上。SPAN 不影响源端口的正常工作, 也不会影响正常的交换机操作。 在交 换网络中可以配置多个 SPAN 对话,只有当目的端口可操作,同时源 端口或源 VLAN 中的任意一个端口活动时才可激活 SPAN 对话。配置命令将被监视的端口或 VLAN 配置为源端口,将接收被复 制数据包的端口设置为目的端口。setspansrc_mod/src_po

3、rts|src_vlandest_mod/d est_portrx|tx|bothfiltervlaninpktsenable|disablelearninge nable|disablecreate配置说明src_mod/src_ports: 源模块 / 端口号。 它们可以存在于 任何 VLAN 中,也可以配置一个或多个 VLAN 作为源端口 (src_vlans) , 此时该 VLAN 中的所有端口作为 SPAN 对话中的源端口。一个端口可 以配置为多个 SPAN 对话的源端口dest_mod/dest_port: 目的模块 /端口号。 每个 SPAN对话中只有一个目的端口,同一个端口不能

4、作为多个 SPAN 对话的目 的端口,一个目的端口不能被配置为源端口,活动的目的端口不参与 S panningTree 。rx|tx|both: 通过源端口的流量可以分为进入 ( ingres s)、外出( egress )、双向( both )三类,可以在 SPAN 对话中配置 监视的是哪种类型的数据包。当监视整个 VLAN 的数据时只能为双方 向的数据流。filtervlan:TrunkVLAN 过滤,6.3(1) 以后的版本可以 对源端口为 Trunk 的端口进行 VLAN 限制过滤,只允许指定 VLAN 的 流量被复制到目的端口。inpktsenable|disable: 缺省情况下目

5、的端口被激 活后将不接收进入的数据包,造成目的端口不能与其他设备进行通信, 可以通过配置允许进行转发, 此时发送的数据包在本端口所属的 VLAN 内进行交换。此目的端口将不参与本 VLAN 的 SpanningTree 。learningenable|disable: 当允许目的端口进行转 发时, 可以设置允许从目的端口学习源 MAC 地址,此项只影响与目的端口相连的设备。 缺省时为 enable ,但当配置 inpktsenable 时应同时 配置 learningenable 。create: 采用 create 可以产生新的 SPAN 对话,最多 可以同时运行 5 个 SPAN 对话。1

6、.SPAN 对话只能监视本交换机内的数据包。2. 交换机的 sc0 接口不能配置为 SPAN 源端口。3. EtherChannel 端口不能作为 SPAN 目的端口。4. 在进行 SPAN 对话配置时, 如果目的端口的 Trunki ng 模式为“ On ”或“ Nonegotiate”SP,A则N 包将以原 Trunking配置的封装格式进行转发,同时这个目的端口将停止 Trunking 。配置例子:例 1 :配置 port2/5(theSPANsource) 的出入双向数据包被 复制到 port2/10(theSPANdestination) 。Console>(enable)se

7、tspan2/52/10Console>(enable)showspanDestination:Port2/10AdminSource:Port2/5OperSource:NoneDirection:transmit/receiveIncomingPackets:disabledLearning:enabledFilter:-Status:activeTotallocalspansessions:1Console>(enable)例 2 : 配置 VLAN522 和 523 为 SPANsource ,port2/1 为SPANdestination:Console>(ena

8、ble)setspan522 5232/1Console>(enable)showspanDestination:Port2/1AdminSource:VLAN522 523OperSource:Port2/1-2Direction:transmit/receiveIncomingPackets:disabledLearning:enabledFilter:-Status:activeTotallocalspansessions:1Console>(enable)禁止 SPANsetspandisabledest_mod/dest_port|all 通过禁止 目的端口可以清除 SP

9、AN 对话。例如:Console>(enable)setspandisable2/3Thiscommandmaydisableyourspansession(s).Doyouwanttocontinue(y/n)n?yDisabledPort2/3tomonitortransmit/receivetraffic ofPortIncomingPacketsdisabled.Learningenabled.Console>(enable)注:以上命令适用于 set 命令集的 Catalyst 系列交换 机,对一些 IOS 命令的交换机如 Catalyst2950 、 3500 等,其命

10、令有 所不同。配置 RSPAN目前许多局域网环境是由多台交换机组成的, SPAN对话只能对本交换机内的数据进行捕获, 而其他交换机上的数据则无法 获得。 Cisco 公司针对这种情况开发了远程 SPAN(RSPAN )功能,能 够对远端交换机的数据进行监视。 目前能够实现 RSPAN 功能的交换机 局限在 Cisco4000 、6000 、2948G 、2980G 上,且软件版本要求为 6. 3(1) 或以后, 在整个端到端路径中不允许有其他类型的交换机以及其他 厂商的交换机, 这也是目前实施 RSPAN 的一个很大的限制。下面介绍 一下 RSPAN 的配置。工作方法RSPAN 具有 SPAN

11、 的所有特征,同时又具有跨越多 个交换机进行监视的功能。配置命令1. 配置 RSPANVLAN ,在 VTPenabled 的情况下 ,在一 个交换机上进行设置就可以传播到 VTPdomain 。setvlanvlan_numrspan2. 配置 RSPAN 对话的源端口setrspansourcemod/ports.|vlans.rspan_vlan reflectormod/portrx|tx|bothfiltervlans.create3. 配置 RSPAN 对话的目的端口setrspandestinationmod_num/port_numrspan_vlaninpktsenable|

12、disablelearningenable|disablecreate此配置在目的端口所在的设备上进行,与 SPAN 配置 命令大体相同,但需指出与目的端口相关联的 rspan_vlan 。注意事项1. 在 RSPANsession 中 traffic 类型可以不同 (ingress、 egress 或 both) ,但对于同一个交换机上的所有源端口必须相同。2. RSPANsessions 与 SPANsessions 可以共存,最多5 个。3. 对于 RSPAN ,可以在多个交换机上分布源端口和目的端口。作为反射端口的端口不能作为源或目的端口。4.SPAN 能够监视所有网络数据流,包括多播

13、以及桥协议数据单元 (BPDU) , RSPAN 不支持对 BPDU 的监视。配置例子1. 配置 VLAN500 作为 RSPANVLANConsole>(enable)setvlan500rspanvlan500configurationsuccessful2. 配置 RSPAN 对话的源端口指定 RSPANVLAN 为 500 ,反射端口为 2/34 ,监视 源端口 2/3 的接收方向数据。Console>(enable)setrspansource2/3500reflector2/34rxRspanType:SourceDestination:-Reflector:Port2

14、/34RspanVlan:500AdminSource:Port2/3Direction:receiveIncomingPackets:-Learning:-Filter:-Status:activeConsole>(enable)2001May0213:22:17%SYS-5-SPAN_CFGSTATECHG:remotespansourcesessionactiveforremotespanvlan500配置 RSPAN 对话目的端口配置 port3/1 作为 RSPAN 目的端口, RSPANVLAN 为 500Console>(enable)setrspandestinat

15、ion3/1500RspanType:DestinationDestination:Port3/1RspanVlan:500AdminSource:-OperSource:-Direction:-IncomingPackets:disabledLearning:enabledFilter:-Status:activeConsole>(enable)禁止 RSPAN 对话setrspandisablesourcerspan_vlan|allsetrspandisabledestinationmod_num/port_num|all禁止所有允许的源对话Console>(enable)s

16、etrspandisablesourceall Thiscommandwilldisableallremotespansourcesession(s). Doyouwanttocontinue(y/n)n?y Disabledmonitoringofallsource(s)ontheswitchforremotespan. Console>(enable)通过 rspan_vlan 号,禁止一个源对话 :Console>(enable)setrspandisablesource100Disabledmonitoringofallsource(s)ontheswitchforrspan_vl

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论