Menu Close

Odchytávanie sieťovej komunikácie na prepínačoch Cisco Catalyst

admin 0 Comments

Pre potreby analýzy sieťovej komunikácie (napríklad VoIP) v prípade, že nemáme prístup ku koncovým systémom (desktop/server) je možné použiť možnosti, ktoré ponúkajú moderné prepínače. V prípade Cisco prepínačov máme na výber možnosť využiť viaceré techniky:

  • Local Switched Port Analyzer (SPAN), tzv. zrkadlenie portov.
  • Remote SPAN

    • SPAN VLAN (VSPAN)

Local SPAN (Switched Port Analyzer)

Pri technike SPAN sú rámce vstupujúce/vystupujúce cez určité porty (tzv. zdrojové (source interface)/port)), alebo porty priraqdené do VLAN, kopírované (zrkadlené) na cieľový port, na ktorom je pripojený host s bežiacim sieťovým analyzátorom (wireshark, tcpdump a podobne) alebo hw analyzér samotný. SPAN umožňuje mirrorovať prevádzku len v rámci daného jedného prepínača.

Príklad

Monitoruj, čo odosiela klient na port efa 0/2 a pošli to na fa0/3:

 

Konfigurácia, je v našom prípade pre Cat2960 jednoduchá:

!enables config mode 
Switch#configure terminal
Switch(config)#
! This configures interface Fast Ethernet 0/2 as source port.
Switch(config)#monitor session 1 source interface fa0/2
! This configures interface Fast Ethernet 0/3 as destination port.
Switch(config)#monitor session 1 destination interface fastethernet 0/3
Switch(config)#

Pozor však, PC s Wiresharkom na porte fa 0/3 nedokáže komunikovať, je len monitor.

V prípade, že PC na port Fa0/3, kde sa robí mirrorovanie má komunikovať, treba cieľový port konfigurovať následovne:

monitor session 1 destination interface fa0/4 ingress vlan 1

Overenie:

Switch#show monitor session 1 
Session 1
--------
Source Ports:
EX Only: None
TX Only: None
Both: Fa0/1
Destination Ports: Fa0/3

Remote SPAN

Predchádzajúca technika SPAN je limitovaná pre jeden prepínač, na ktorom sa musia nachádzať aj zdrojový aj cieľový port. V prípade, že cieľový port (monitorovacia stanica) je na inom prepínači, alebo máme sledované zdroje na viac prepínačoch je technika SAPN nepoužiteľná a preto musíme použiť techniku Remote SPAN. Remote SPAN umožňuje kopírovať rámce zo vstupných portov alebo VLAN na cieľový port na inom prepínači. Mirorovaná prevádzka je posielaná cez špeciálnu RSPAN VLAN (musíme mať teda aj funkčné trunk-y), ktorá je vytvorená a dedikovaná len pre danú RSPAN reláciu. Cieľový port na cieľovom prpeínači je vždy fyzický port prepínača. Všetky medziľahlé prepínače musia poznať RSPAN VLAN

Príklad

SwitchA(config)#vlan 999
SwitchA(config-vlan)#remote-span
SwitchA(config-vlan)#name SPAN_VLAN
SwitchA(config-vlan)#exit
! This configures interface Fast Ethernet 0/1 as source port.
SwitchA(config)#monitor session 1 source interface fa0/1
! This configures vlan 999 as Remote VLAN SPAN.
Switch(config)#monitor session 1 destination remote vlan 999

Medziľahlé prepínače musia poznať RSPAN VLAN.

 

Cieľový prepínač:

SwitchD(config)#vlan 999
SwitchD(config-vlan)#remote-span
SwitchD(config-vlan)#name SPAN_VLAN
SwitchD(config-vlan)#exit
SwitchD(config)#monitor session 1 source remote vlan 999
SwitchD(config)#monitor session 1 destination interface fa 0/2

 

Záver

Detailné informácie o nastavení všetkých parametrov, obmedzenia pre SPAN a RSPAN porty, počet monitor relácii a podobne je potrebné konzultovať s príslušnou dokumentáciou k danému prepínaču.

Rate this post
Tweet
Pin
Share
0 Shares

Leave a Reply

Your email address will not be published. Required fields are marked *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.