18. Зеркалирование трафика

Описание

  • Switch Port Analyzer - зеркалирование трафика определенного порта

    • Можно зеркалировать как входящий, так и исходящий трафик

    • Удобно использовать в сочетании со снифферами или системами IDS

  • Терминология:

    • SPAN Source Port: порт, через который проходит интересующий трафик

    • SPAN Destination Port: порт, куда отправляется копия трафика

  • Разновидности:

    • SPAN: Source и Destination порты находятся на одном коммутаторе

    • RSPAN: Source и Destination порты находятся на разных коммутаторах, зеркалируемый трафик помечается 802.1Q меткой специального SPAN VLAN

    • ERSPAN: Source и Destination порты находятся на разных коммутаторах, зеркалируемый трафик инкапсулируется в туннель GRE (только в IOS XE)

Настройка SPAN

  • Конфигурация:

Switch(config)#monitor session 1 source interface gi0/1
Switch(config)#monitor session 1 destination interface gi0/1

  • Диагностика:

Switch#show monitor session all
Session 1
----------
Type                      : Local Session
Source ports              :
  Both                    : Gi0/1
Destination ports         : Gi0/2
  Encapsulation           : Native
    Ingress   :   Disabled

RSPAN

  • Source и Destination порты находятся на разных коммутаторах

  • Зеркалируемый трафик передается с меткой 802.1Q SPAN VLAN

  • MAC learning в этом VLAN необходимо отключать

  • Настройка:

Switch1(config)#vlan 100
Switch1(config-vlan)#remote-span
Switch1(config)#monitor session 1 source interface gi0/1
Switch1(config)#monitor session 1 destination vlan 100
Switch1(config)#do show monitor session 1
Session 1
----------
Type                      : Remote Source Session
Source ports              :
  Both                    : Gi0/1
Dest RSPAN VLAN           : 100
Switch1(config)#vlan 100
Switch1(config-vlan)#remote-span
Switch1(config)#monitor session 2 source vlan 100
Switch1(config)#monitor session 2 destination interface gi0/2
Switch1(config)#do show monitor session 2
Session 2
----------
Type                      : Remote Destination Session
Source RSPAN VLAN         : 100
Destination ports         : Gi0/2
  Encapsulation           : Native
    Ingress   :   Disabled

Ограничения SPAN

  • На destination порту конфигурация интерфейса не применяется

  • В одной сессии может быть несколько однотипных source и один destination

  • Есть ограничение по количеству сессий (до 64)

  • Destination порт нельзя использовать в нескольких сессиях, source - можно

Previous17. Private VLANNext19. Storm Control

Last updated