CISCO交换机的数据监控.docx

1、CISCO交换机的数据监控CISCO交换机的数据监控网络入侵检测技术已成为网络防护的重要手段之一，入侵检测技术的基础是对网络中数据的收集，目前的方法主要有安放探针设备、采用共享式Hub以及利用网络设备本身提供的数据监控功能等。在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该是利用网络设备的自身功能进行数据收集。我们在实际的网络集成工作中经常会使用Cisco公司Catalyst系列交换机，这里就此类设备监控功能的配置进行介绍，希望能够对网络管理人员以及安全防护的实施有一定的帮助（本文以Catalyst4000系列交换机为例）。配置SPAN对话（SPANSession)基本功能通过设置S

2、PAN对话能够对本交换机端口或整个VLAN的数据流进行监视，被监控的数据流可以由协议分析设备进行分析处理。工作方式SPAN对话由一个目的端口和一组源端口组成，它将一个或多个VLAN上的一个或多个源端口的数据包复制到目的端口上。SPAN不影响源端口的正常工作，也不会影响正常的交换机操作。在交换网络中可以配置多个SPAN对话，只有当目的端口可操作，同时源端口或源VLAN中的任意一个端口活动时才可激活SPAN对话。配置命令将被监视的端口或VLAN配置为源端口，将接收被复制数据包的端口设置为目的端口。setspansrc_mod/src_ports|src_vlandest_mod/dest_port

3、rx|tx|bothfiltervlaninpktsenable|disablelearningenable|disablecreate配置说明src_mod/src_ports:源模块/端口号。它们可以存在于任何VLAN中，也可以配置一个或多个VLAN作为源端口(src_vlans)，此时该VLAN中的所有端口作为SPAN对话中的源端口。一个端口可以配置为多个SPAN对话的源端口。dest_mod/dest_port:目的模块/端口号。每个SPAN对话中只有一个目的端口，同一个端口不能作为多个SPAN对话的目的端口，一个目的端口不能被配置为源端口，活动的目的端口不参与SpanningTree

4、。rx|tx|both:通过源端口的流量可以分为进入（ingress）、外出（egress）、双向（both）三类，可以在SPAN对话中配置监视的是哪种类型的数据包。当监视整个VLAN的数据时只能为双方向的数据流。filtervlan:TrunkVLAN过滤，6.3(1)以后的版本可以对源端口为Trunk的端口进行VLAN限制过滤，只允许指定VLAN的流量被复制到目的端口。inpktsenable|disable:缺省情况下目的端口被激活后将不接收进入的数据包，造成目的端口不能与其他设备进行通信，可以通过配置允许进行转发，此时发送的数据包在本端口所属的VLAN内进行交换。此目的端口将不参与本V

5、LAN的SpanningTree。learningenable|disable:当允许目的端口进行转发时，可以设置允许从目的端口学习源MAC地址，此项只影响与目的端口相连的设备。缺省时为enable，但当配置inpktsenable时应同时配置learningenable。create:采用create可以产生新的SPAN对话，最多可以同时运行5个SPAN对话。注意1.SPAN对话只能监视本交换机内的数据包。2.交换机的sc0接口不能配置为SPAN源端口。3.EtherChannel端口不能作为SPAN目的端口。4.在进行SPAN对话配置时，如果目的端口的Trunking模式为“On”或“No

6、negotiate”，则SPAN包将以原Trunking配置的封装格式进行转发，同时这个目的端口将停止Trunking。配置例子：例1：配置port2/5(theSPANsource)的出入双向数据包被复制到port2/10(theSPANdestination)。Console(enable)setspan2/52/10Console(enable)showspanDestination:Port2/10AdminSource:Port2/5OperSource:NoneDirection:transmit/receiveIncomingPackets:disabledLearning:en

7、abledFilter:-Status:active-Totallocalspansessions:1Console(enable)例2：配置VLAN522和523为SPANsource，port2/1为SPANdestination:Console(enable)setspan5225232/1Console(enable)showspanDestination:Port2/1AdminSource:VLAN522523OperSource:Port2/1-2Direction:transmit/receiveIncomingPackets:disabledLearning:enabledF

8、ilter:-Status:active-Totallocalspansessions:1Console(enable)禁止SPANsetspandisabledest_mod/dest_port|all通过禁止目的端口可以清除SPAN对话。例如：Console(enable)setspandisable2/3Thiscommandmaydisableyourspansession(s).Doyouwanttocontinue(y/n)n?yDisabledPort2/3tomonitortransmit/receivetrafficofPortIncomingPacketsdisabled.

9、Learningenabled.Console(enable)注：以上命令适用于set命令集的Catalyst系列交换机，对一些IOS命令的交换机如Catalyst2950、3500等，其命令有所不同。配置RSPAN目前许多局域网环境是由多台交换机组成的，SPAN对话只能对本交换机内的数据进行捕获，而其他交换机上的数据则无法获得。Cisco公司针对这种情况开发了远程SPAN（RSPAN）功能，能够对远端交换机的数据进行监视。目前能够实现RSPAN功能的交换机局限在Cisco4000、6000、2948G、2980G上，且软件版本要求为6.3(1)或以后，在整个端到端路径中不允许有其他类型的交换

10、机以及其他厂商的交换机，这也是目前实施RSPAN的一个很大的限制。下面介绍一下RSPAN的配置。工作方法RSPAN具有SPAN的所有特征，同时又具有跨越多个交换机进行监视的功能。配置命令1.配置RSPANVLAN，在VTPenabled的情况下,在一个交换机上进行设置就可以传播到VTPdomain。setvlanvlan_numrspan2.配置RSPAN对话的源端口setrspansourcemod/ports.|vlans.rspan_vlanreflectormod/portrx|tx|bothfiltervlans.create3.配置RSPAN对话的目的端口setrspandesti

11、nationmod_num/port_numrspan_vlaninpktsenable|disablelearningenable|disablecreate此配置在目的端口所在的设备上进行，与SPAN配置命令大体相同，但需指出与目的端口相关联的rspan_vlan。注意事项1.在RSPANsession中traffic类型可以不同(ingress、egress或both)，但对于同一个交换机上的所有源端口必须相同。2.RSPANsessions与SPANsessions可以共存，最多5个。3.对于RSPAN，可以在多个交换机上分布源端口和目的端口。作为反射端口的端口不能作为源或目的端口。4

12、.SPAN能够监视所有网络数据流，包括多播以及桥协议数据单元(BPDU)，RSPAN不支持对BPDU的监视。配置例子1.配置VLAN500作为RSPANVLANConsole(enable)setvlan500rspanvlan500configurationsuccessful2.配置RSPAN对话的源端口指定RSPANVLAN为500，反射端口为2/34，监视源端口2/3的接收方向数据。Console(enable)setrspansource2/3500reflector2/34rxRspanType:SourceDestination:-Reflector:Port2/34RspanV

13、lan:500AdminSource:Port2/3Direction:receiveIncomingPackets:-Learning:-Filter:-Status:activeConsole(enable)2001May0213:22:17%SYS-5-SPAN_CFGSTATECHG:remotespansourcesessionactiveforremotespanvlan500配置RSPAN对话目的端口配置port3/1作为RSPAN目的端口，RSPANVLAN为500Console(enable)setrspandestination3/1500RspanType:Destina

14、tionDestination:Port3/1RspanVlan:500AdminSource:-OperSource:-Direction:-IncomingPackets:disabledLearning:enabledFilter:-Status:activeConsole(enable)禁止RSPAN对话setrspandisablesourcerspan_vlan|allsetrspandisabledestinationmod_num/port_num|all禁止所有允许的源对话:Console(enable)setrspandisablesourceallThiscommandw

15、illdisableallremotespansourcesession(s).Doyouwanttocontinue(y/n)n?yDisabledmonitoringofallsource(s)ontheswitchforremotespan.Console(enable)通过rspan_vlan号，禁止一个源对话:Console(enable)setrspandisablesource100Disabledmonitoringofallsource(s)ontheswitchforrspan_vlan100.Console(enable)禁止所有目的对话:Console(enable)setrspandisabledestinationallThiscommandwilldisableallremotespandestinationsession(s).Doyouwanttocontinue(y/n)n?yDisabledmonitoringofremotespantrafficforallrspandestinationports.Console(enable)