以太网交换机设置进行端口侦听

来源:比特网  
2012/8/6 16:21:00
在交换以太网的环境下,一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下,我们可能会需要进行这样的侦听,如:协议分析、流量分析、入侵检测。为此我们可以设置思科交换机的SPAN(SwitchedPortAnalyzer交换端口分析器)特性,或早期的“端口镜像”、“监控端口” 功能。



本文关键字: 交换机

在交换以太网的环境下,一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下,我们可能会需要进行这样的侦听,如:协议分析、流量分析、入侵检测。为此我们可以设置思科交换机的SPAN(SwitchedPortAnalyzer交换端口分析器)特性,或早期的“端口镜像”、“监控端口” 功能。

侦听的对象可以是一个或多个以太网交换机端口,或者整个VLAN。如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端 口”)在同一台交换机上,我们只需配置SPAN;如果不在同一台交换机上,需要配置RSPAN(RemoteSPAN)。

不同的以太网交换机对SPAN有 不同的限制,如290_0xL交换机中源端口和目标端口必须在同一VLAN、某些交换机不支持RSPAN等等,详见设备文档。在配置SPAN的时候,我们需 要提供的参数是源端口或VLAN号以及目标端口。

4000/6000CatOS交换机:

setspan6/176/19//SPAN:源端口为6/17目标端口为6/19

2950/3550/4000IOS/6000IOS交换机:

monitorsession1local//SPAN

monitorsession1sourceinterfacefastethernet0/17both//源端口,也可以是某个VLAN

monitorsession1destinationinterfacefastethernet0/19//目标端口

2900/350_0xL交换机:

interfacefastethernet0/19//目标端口

portmonitorfastethernet0/17//源端口

1900交换机:(或使用菜单[M]Monitoring)

monitor-portmonitored0/17//源端口(0/17和0/18端口)

monitor-portmonitored0/18

monitor-portport0/19//目标端口

monitor-port//开始监控

在配置RSPAN的时候,我们首先要定义一个类型为RSPAN的VLAN。在普通VLAN上如果源主机和目标主机都在同一台以太网交换机上,则它们之间的单播通讯不需要通过TRUNK传递到别的以太网交换机,而RSPANVLAN需要在TRUNK上转发这样的通讯,以保证监控机能够侦听到。

在源交换机上,需设置使被侦听的端口或VLAN把流量转发到RSPANVLAN上(如果是运行IOS的交换机,需要另外设置一个端口作为反射端口);在目标交 换机上,需设置把RSPANVLAN中的信息转发到连接监控主机的目标端口。

IOS交换机,如3550:

3550(config)#vlan900//建立RSPANVLAN

3550(config-vlan)#remote-span

monitorsession1remote//源交换机

monitorsession1sourceinterfacefastethernet0/17both//源端口

monitorsession1destinationremotevlan900reflector-portfastethernet0/20//目标RSPANVLAN,反射端口

monitorsession2remote//目标交换机

monitorsession2sourceremotevlan900//RSPANVLAN

monitorsession2destinationinterfacefastethernet0/19//目标端口

CatOS交换机,如6500:

setvlan900rspan//建立RSPANVLAN

setrspansource4/1-2900//源交换机

setrspandestination4/19900//目标交换机

最近一次配置完RSPAN之后,有用户反映:部分网段出现严重丢包现象。仔细检查,发现部分以太网交换机的上联端口负载很重。再分析,原来在两 台中心以太网交换机上启用了一个RSPAN进程,RSPANVLAN上的流量很大,达300M。

由于VTP域中没有启用Pruning功能,这个 RSPANVLAN的流量出现在所有的TRUNK上,造成了阻塞。把RSPANVLAN从这些TRUNK上修剪掉之后,网络恢复了正常。SPAN功能的出 现,使保护交换机不被非法控制变得更为重要。

因为假如黑客控制了一台主机和部分以太网交换机,他将能够使用SPAN/RSPAN和Sniffer窃听任何 在网络上传递的信息。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918