Catalyst資料包監控SPAN/RSPAN與配置(轉)
在構建交換園區網的時候,我們經常用一些抓包工具對資料包進行分析,進行入侵檢測.本文以Catalyst 3550/3750/4000(native IOS)/6500(native IOS)為例,從理論到配置,講述如果實現這一功能.如有不足或錯誤之處,歡迎讀者指正與交流.
一.什麼是交換埠分析:
交換式埠分析器(SPAN)分析經過某個本地埠或VLAN的流量資訊.SPAN傳送一份流量的複製給連線安全裝置的交換機埠.注意,一旦啟用了SPAN,VSPAN或RSPAN,目標埠的STP*作就被禁止,可能會造成環路.另外,配置RSPAN之前要先定義一個RSPAN專用的VLAN.如果在VTP伺服器上配置了RSPAN VLAN,那麼VTP伺服器自動將正確的資訊傳播給其他中間交換機;否則要確保每臺中間交換機都配置的有RSPAN VLAN.
SPAN的3種模式:
1.SPAN:源埠和目標埠都處於同一交換機,並且源埠可以是一個或多個交換機埠.
2.基於VLAN的交換式埠分析器(VSPAN):SPAN的一種變體,源埠不是物理埠,而是VLAN.
3.遠端交換式埠分析器(RSPAN):源埠和目標埠處於不同的交換機.
二.配置步驟:
配置SPAN和VSPAN的步驟如下:
1.定義SPAN會話的源埠,對於Catalyst 3550交換機,會話數只支援兩條,即1和2.還可以定義監聽流量的方向,預設監聽雙向流量.如果需要多個源埠,重複該步驟:
Aiko(config)#monitor session {session-number} source {interface interface|vlan vlan-id} [rx|tx|both]
2.定義SPAN會話的目標埠,要確保目標埠和源埠處於同一VLAN,並且每條SPAN會話只能有一個目標埠,還可以定義封裝方式:
Aiko(config)#monitor session {session-number} destination {interface interface} [encapsulation {dot1q|isl}]
3.限制要監視的VLAN.可以定義多個VLAN,以逗號或連字元相連.可選:
Aiko(config)#monitor session {session-number} filter vlan {vlan-list}
配置RSPAN的步驟如下:
1.建立RSPAN專用的VLAN:
Aiko(config)#vlan {vlan-id}
2.定義該VLAN為RSPAN VLAN:
Aiko(config-vlan)#remote-span
3.定義源交換機的源埠.對於Catalyst 3550交換機,會話數只支援兩條,即1和2,還可以定義監聽流量的方向,預設監聽雙向流量:
Aiko(config)#monitor session {session-number} source {interface interface|vlan vlan-id} [rx|tx|both]
4.定義源交換機的目標埠:
Aiko(config)#monitor session {session-number} destination remote vlan {rspan-vlan-id}
5.定義目標交換機的源埠:
Aiko(config)#monitor session {session-number} destination remote vlan {rspan-vlan-id}
6.定義目標交換機的目標埠:
Aiko(config)#monitor session {session-number} destination {interface interface|vlan vlan-id} [rx|tx|both]
三.使用RSPAN監聽交換機A連線伺服器的端的例項:
交換機A配置如下:
!
vlan 925
remote-span
monitor session 1 source interface FastEthernet1/1 both
monitor session 1 destination remote vlan 925
!
交換機B配置如下:
!
vlan 925
remote-span
!
交換機C配置如下:
!
vlan 925
remote-span
monitor session 1 source remote vlan 925
monitor session 1 destination interface Fastethernet 2/2
!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955377/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 配置CACTI監控MySQL資料庫狀態(5)增加MySQL監控模板MySql資料庫
- oracle資料庫監控優化與線上重組(轉貼)Oracle資料庫優化
- 配置CACTI監控MySQL資料庫狀態(4)配置cactiMySql資料庫
- Zabbix5.0 配置 ODBC 監控 Oracle 資料庫Oracle資料庫
- Munin監控的安裝與配置
- 配置CACTI監控MySQL資料庫狀態(2)安裝cacti相關軟體包MySql資料庫
- oracle資料庫效能監控的SQL(轉)Oracle資料庫SQL
- 配置CACTI監控MySQL資料庫狀態(3)配置apache模組MySql資料庫Apache
- 資料庫監控資料庫
- MySQL資料庫與Nacos搭建監控服務MySql資料庫
- 資料庫效能監控資料庫
- 監控資料庫活動資料庫
- 前端資料監控到底在監控什麼?前端
- MySQL監控-Datadog資料庫監控調研MySql資料庫
- 監控長時間執行的查詢(監控資料庫效能的SQL ) -- 轉資料庫SQL
- jpcap安裝與配置、資料包攔截PCA
- zabbix監控系統的安裝與配置
- 伺服器監控系統部署與配置伺服器
- [轉]監控Oracle資料庫的常用shell指令碼Oracle資料庫指令碼
- 監控Oracle資料庫的常用shell指令碼(轉)Oracle資料庫指令碼
- catalyst支援unicode的重要配置Unicode
- 監控採集上報和儲存監控資料策略
- 系統監控&JVM監控指標資料查詢JVM指標
- activeMQ JMS監控配置MQ
- 運維監控丨16條常用的Kafka看板監控配置與告警規則運維Kafka
- KAFKA監控一條龍:史上最強Kafka看板+監控配置與告警規則Kafka
- 配置CACTI監控MySQL資料庫狀態(1)準備工作MySql資料庫
- 資料庫繁忙程度監控資料庫
- 資料庫監控軟體資料庫
- SQL Server資料庫監控SQLServer資料庫
- 資料庫監控指令碼資料庫指令碼
- 前端相關資料監控前端
- SQLserver 監控資料檔案SQLServer
- 監控Oracle資料庫方法Oracle資料庫
- 監控資料庫指令碼資料庫指令碼
- zabbix監控oracle資料庫Oracle資料庫
- 【轉載】監控Oracle資料庫的常用shell指令碼Oracle資料庫指令碼
- MySQL 5.5半同步複製的配置與監控MySql