cisco 远程端口镜像 cisco 2960 端口镜像

发布时间:2018年04月10日 19:50:17分享人:爱情缺氧来源:互联网8
一.什么是交换端口分析:

交 换式端口分析器(SPAN)分析经过某个本地端口或VLAN的流量信息.SPAN发送一份流量的拷贝给连接安全设备的交换机端口.注意,一旦启用了 SPAN,VSPAN或RSPAN,目标端口的STP*作就被禁止,可能会造成环路.另外,配置RSPAN之前要先定义一个RSPAN专用的VLAN.如 果在VTP服务器上配置了RSPANVLAN,那么VTP服务器自动将正确的信息传播给其他中间交换机;否则要确保每台中间交换机都配置的有 RSPANVLAN.

SPAN的3种模式:

1.SPAN:源端口和目标端口都处于同一交换机,并且源端口可以是一个或多个交换机端口.

2.基于VLAN的交换式端口分析器(VSPAN):SPAN的一种变体,源端口不是物理端口,而是VLAN.

3.远程交换式端口分析器(RSPAN):源端口和目标端口处于不同的交换机.

二.配置步骤:

配置SPAN和VSPAN的步骤如下:

1.定义SPAN会话的源端口,对于Catalyst3550交换机,会话数只支持两条,即1和2.还可以定义监听流量的方向,默认监听双向流量.如果需要多个源端口,重复该步骤:

Aiko(config)#monitorsession{session-number}source{interfaceinterface|vlanvlan-id}[rx|tx|both]

2.定义SPAN会话的目标端口,要确保目标端口和源端口处于同一VLAN,并且每条SPAN会话只能有一个目标端口,还可以定义封装方式:

Aiko(config)#monitorsession{session-number}destination{interfaceinterface}[encapsulation{dot1q|isl}]

3.限制要监视的VLAN.可以定义多个VLAN,以逗号或连字符相连.可选:

Aiko(config)#monitorsession{session-number}filtervlan{vlan-list}

配置RSPAN的步骤如下:

1.创建RSPAN专用的VLAN:

Aiko(config)#vlan{vlan-id}

2.定义该VLAN为RSPANVLAN:

Aiko(config-vlan)#remote-span

3.定义源交换机的源端口.对于Catalyst3550交换机,会话数只支持两条,即1和2,还可以定义监听流量的方向,默认监听双向流量:

Aiko(config)#monitorsession{session-number}source{interfaceinterface|vlanvlan-id}[rx|tx|both]

4.定义源交换机的目标端口:

Aiko(config)#monitorsession{session-number}destinationremotevlan{rspan-vlan-id}

5.定义目标交换机的源端口:

Aiko(config)#monitorsession{session-number}destinationremotevlan{rspan-vlan-id}

6.定义目标交换机的目标端口:

Aiko(config)#monitorsession{session-number}destination{interfaceinterface|vlanvlan-id}[rx|tx|both]

三.使用RSPAN监听交换机A连接服务器的端的实例:

交换机A配置如下:

!

vlan925

remote-span

monitorsession1sourceinterfaceFastEthernet1/1both

monitorsession1destinationremotevlan925

!

交换机B配置如下:

!

vlan925

remote-span

!

交换机C配置如下:

!

vlan925

remote-span

monitorsession1sourceremotevlan925

monitorsession1destinationinterfaceFastethernet2/2

!

另实例:

1、Cat2900XL/3500XL

2900XL(config)#interface fastethernet 0/24

//进入接口配置模式下

2900XL(config)#port monitor fastethernet 0/1

//配置f0/1为被监视得端口

2900XL(config)#port monitor fastethernet 0/2

//配置f0/2为被监视得端口

通过上面得配置就可以把进出f0/1和

f0/2两个端口得流量镜像到f0/24

通过

show port monitor可以参看交换机得SPAN配置情况

2、Cat2950/3550/3750

3550(config)#monitor session 1 source interface f0/1 - 3 rx

//指定SPAN session组号为1,源端口为f0/1-f0/3,对进这三个端口的流量

//rx-->指明是进端口得流量,tx-->出端口得流量 both 进出得流量

3550(config)#monitor session 1 destination interface f0/4

//指定监视端口为f0/4

3、Cat4000/6500 with CatOS

set span命令

cat4k#set span 1/2 1/3

//把1/2得流量镜像到1/3

4、Cat4500/6500 with IOS

同2--Cat2950/3550/3750

方法四:VACL

VACL=VLAN ACL=Security ACL

只能在Cat6500上使用

CatOS:

c6509 (enable) set security acl ip MyCap permit tcp any any eq 443

c6509 (enable) set security acl ip MyCap permit tcp any eq 443 any

c6509 (enable) set security acl ip MyCap permit ip any any capture

//排除所有访问443端口的流量,其他流量都是感兴趣的

c6509 (enable) commit security acl MyCap

//定义一个security ACL的name

c6509 (enable) set security acl map MyCap 100,101

//把security ACL应用到vlan 100和101上

c6509 (enable) set security acl capture-ports 3/1

//把capture的流量镜像到3/1端口上

IOS:

c6509(config)# access-list 100 permit ip any any

c6509(config)# vlan access-map MyCap 10

c6509(config-access-map)# match ip address 100

c6509(config-access-map)# action forward capture

c6509(config)# vlan filter MyCap vlan-list 200 , 201

c6509(config)# interface gi3/1

c6509(config-if)# switchport capture

=================================================

先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发

出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。Cisco的SPAN

分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像

整个或数个VLAN到一个目的端口。

配置方法:

1. SPAN

(1) 创建SPAN源端口

monitor session session_number source interface interface-id [, | -] [both | rx | tx]

**session_number,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。

**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,

连续的用“-”连接。

**[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。

(2)创建SPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL

[ingress]} | ingress vlan vlan id]

**一样的我就不说了。

**session_number要和上面的一致。

**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。

**[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封

装,其他VLAN封装,ISL则全部封装。

2.VSPAN

(1)创建VSPAN源VLAN

monitor session session_number source vlan vlan-id [, | -] rx

**一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。

(2)创建VSPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**和SPAN的一样。

3.RSPAN

RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port )
cisco 远程端口镜像 cisco 2960 端口镜像

,在由反射端口将其通过网络转发到目的交换机中的VLAN上(一般情况下,这个VLAN是专为镜像而设的,不要作为客户端接入所用),再在目

的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN被使用,该镜像专用VLAN的信息会被转发到所有的VLAN

主干上,造成网络带宽的浪费,因此要配置VLAN修剪(pruning),另外RSPAN也可以镜像VLAN。

(1)在源交换机上创建RSPAN源端口

**同SPAN或VSPAN

(2)在源交换机上创建VSPAN反射端口和目的VLAN

monitor session session_number destination remote vlan vlan-id reflector-port interface

**vlan-id 目的交换机上转为镜像而设的VLAN

**reflector-port interface源交换机上的镜像端口

(3)在目的交换机上创建VSPAN源VLAN

monitor session session_number source remote vlan vlan-id

**vlan-id就是上面的镜像专用VLAN

(4)在目的交换机上创建VSPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**同SPAN

4.其他

(1)端口镜像的过滤,端口镜像是可以做Filter的。

monitor session session_number filter vlan vlan-id [, | -]

**指定源端口进入的流量中,属于哪些VLAN的可以从目的端口发出去。

(2)删除镜像

no monitor session {session_number | all | local | remote}

**session_number指定会话号,all是所有镜像,local是本地镜像,remote是远程镜像。

(3)镜像的目的端口不能正常收发数据,因此不能再作为普通端口使用,可以连接一些网络分析和安全设备,例如装有sniifer的计算机或者Cisco IDS设备。

  
思科 console 速度 

爱华网本文地址 » http://www.aihuau.com/a/25101011/78301.html

更多阅读

GPSGATE怎么设置GPS共享端口 精 gpsgate pc破解版

GPSGATE怎么设置GPS共享端口 精——简介在我们用GPS的时候有时候需要共享几个端口GPS端口,那么怎么用GPSgate共享呢!这里说一下GPSgate设置端口共享的方法!GPSGATE怎么设置GPS共享端口 精——工具/原料?GPSgate?CNT?GPSGPSGATE怎

80端口映射不出去 微信公众号80端口映射

最近需要进行远程监控,所以新购买一个硬盘录像机,需要的端口是9000和80,在硬盘录像机上已经设置好,在TP-LINK R402路由器中设置了转发规则 9000和 80端口映射,DMZ主机也启用了,登录花生壳,有免费域名 dzhzgm.gicp.net所有设置完毕以后,在外

cisco ios 升级方法和TFTP的用法 cisco ap ios升级

cisco ios 升级方法和TFTP的用法升级方法:现总结归纳出CISCO路由器IOS映像升级的几种方法,供广大网络爱好者或同仁参考。在介绍CISCO路由器IOS升级方法前,有必要对Cisco路由器的存

linux打开telnet端口 如何确定tcp客户端

远程TELNET登录需要主机打开23端口。方法如下:sudo nc -lp 23 &(打开23端口,即telnet)netstat -an | grep 23 (查看是否打开23端口)验证为OK即通过。可以从其它环境中通过telnet来登录终端了。========================以上的方法好像

声明:《cisco 远程端口镜像 cisco 2960 端口镜像》为网友爱情缺氧分享!如侵犯到您的合法权益请联系我们删除