Span rspan что это
Span rspan что это
На многих коммутаторах cisco реализованы технологии SPAN и RSPAN позволяющие зеркалировать траффик с порта на порт или с vlan на порт удаленного коммутатора и т.п.
Port mirroring (Зеркалиирование порта) — процесс копирования пакетов с порта на другой порт в пределах одного или нескольких коммутаторов.
Настройка SPAN на cisco
Зеркалирование траффика с порта на порт
Для зеркалирования только входящего трафиика добавляем в «rx».
Для зеркалирования только исходящего трафиика добавляем «tx».
Можно зеркалировать траффик с нескольких портов
Таким образом через SPAN VLAN можно передавать зеркалированный траффик между портами одного коммутатора.
Для зеркалирования траффика с vlan на порт указываем не интерфейс а влан.
Таким образом через SPAN VLAN можно передавать зеркалированный траффик определенной VLAN на порт коммутатора.
Настройка RSPAN на cisco
Рассмотрим пример работы RSPAN. Допустим у нас есть 2 коммутатора (SW1 и SW2) соединеных между собой транковыми портами. Нам требуется передать зеркальный траффик VLAN 50 с коммутатора SW1 на порт Gi0/1 коммутатора SW2 используя RSPAN VLAN 100.
1. Создаем RSPAN VLAN 100 на коммутаторах (SW1 и SW2) в котором будем передавать траффик.
2. Создаем сессию мониторинга на коммутаторе SW1
Таким образом через RSPAN VLAN можно передавать зеркалированный траффик между двумя коммутаторами.
Команды диагностики SPAN и RSPAN
На последок приведу несколько команд для диагностики настроеных monitor session.
1. Просмотр SPAN monitor session
2. Просмотр RSPAN monitor session
3. Просмотр всех настроенных monitor sesion
На этом все. Комментируем, подписываемся ну и всем пока:)
1″ :pagination=»pagination» :callback=»loadData» :options=»paginationOptions»>
02. RSPAN
2.2. Конфигурация RSPAN
Команда
Описание
! В режиме конфигурации VLAN
Назначить VLAN в качестве remote-span VLAN. Команда no удаляет эту конфигурацию.
2. Выбрать порт (CPU) в качестве источника зеркала:
Команда
Описание
monitor session source
no monitor session source
! В режиме глобальной конфигурации
3. Выбрать порт в качестве назначения зеркала:
Команда
Описание
monitor session destination interface
no monitor session destination interface
! В режиме глобальной конфигурации
4. Выбрать reflector порт:
Команда
Описание
monitor session reflector-port
no monitor session reflector-port
! В режиме глобальной конфигурации
Выбрать интерфейс в качестве reflector порта. Команда no отменяет выбор.
5. Задать remote VLAN для мониторинговой сессии:
Команда
Описание
monitor session remote vlan
no monitor session remote vlan
! В режиме глобальной конфигурации
2.3. Пример конфигурации RSPAN
Пример 1
Конфигурация коммутатора Switch A:
Конфигурация коммутатор Switch B:
Пример 2
Серверы мониторинга “Sniffer 1” и “Sniffer 2” а также ПК пользователя подключены к коммутатору “Switch A” к портам к портам 1/0/8, 1/0/9 и 1/0/1 соответственно. Порт 1/0/7 на коммутаторе не занят. Для мониторинга требуется зеркалировать трафик с порта ПК пользователя одновременно на оба сервера.
SPAN — Switch Port Analyzer. RSPAN — Remote Switch Port Analyzer. Теоретические основы.
В многих сетевых коммутаторах есть возможность зеркалировать трафик, скажем с одного порта, на другой, или например с VLAN указанного, на порт, где находится анализатор трафика, либо какое-то ПО.
В Cisco эта технология называется SPAN — Switch Port Analyzer и RSPAN — Remote Switch Port Analyzer. Также читаем о настройке SPAN/RSPAN.
Для чего эта технология может использоваться?
Ну в первую очередь, например для того, чтоб просмотреть трафик на каком-то порту, для анализа того, что передается в сети (вдруг мы что-то забыли настроить и там рассылается то, что не нужно, ну и т.п.).
Так же может понадобиться например для записи VOIP. Берем VLAN Voice переправляем весь трафик на определенный интерфейс, ну а там ПО, записывает все разговоры.
Еще одной из причин использовать зеракалирование трафика, например для систем IPS/IDS.
Судя по примерам, достаточно приятная и полезная функция, не так ли?
Теперь более подробно поговорим об этой технологии.
Различают две технологии SPAN это сам по себе SPAN, который работает в пределах одного коммутатора, и RSPAN, который может зеркалировать и передавать трафик между коммутаторов. (Когда у нас в сети несколько коммутаторов в цепочке, нам не нужно идти к этому коммутатору, подключаться к нему, настраивать порт мониторинга и сливать трафик. Вместо этого мы настраиваем RSPAN и передаем трафик на порт удаленного коммутатора, в общем куда нам хочется 🙂 ).
Давайте рассмотрим графически топологию SPAN и RSPAN.
Думаю что комментарии к этим топологиям излишни. Я уже описал все выше.
Базовые знания о SPAN и RSPAN.
Опишу тот минимум, который необходим для понимания технологии SPAN. Понимание этого позволит избежать вопросов по конфигурированию (которое будет рассмотрено немного ниже).
Для того чтоб «заставить» SPAN работать, необходимо сделать две вещи.
Что касается RSPAN, тут немного все по другому.
Source описывается так же, либо порт/порты, либо VLAN/Vlan’ы. А вот то, куда отправлять этот трафик, по другому.
Делается это на основе специального RSPAN VLAN, а не отдельный порт, как это делается в SPAN. (конкретные примеры рассмотрим ниже, когда будем настраивать все непосредственно на коммутаторах).
Порт, который сконфигурирован для приема зеркалированного трафика, не может входить в VLAN, который настроен как Source (источник трафика).
Перед тем как перейти к практике, давайте поговорим об ограничениях и некоторых условиях, связанных с SPAN/RSPAN.
Порт приемника зеркалированного трафика имеют ряд ограничений, такие как:
Это то, что касалось ограничений, теперь давайте поговорим о условиях.
SPAN и RSPAN поддерживает два вида трафика: исходящий и входящий. По умолчанию в SPAN/RSPAN попадают оба типа. Но можно сконфигурировать устройство так, что будет мониториться только входящий, или только исходящий трафик.
По умолчанию Layer 2 фреймы, такие как CDP, spanning tree, BPDU, VTP,DTP и PagP игнорируются и не передаются на Destination Port, но можно настроить устройство так, чтоб эти фреймы передавались. Для этого необходимо использовать команду encapsulation replicate.
В этой статье мы освоили теоретическую часть. В следующей статьей будем заниматься практикой SPAN/RSPAN.
SPAN/RSPAN — Настройка
В прошлой статье, я рассказывал о теоретических основах таких технологий Cisco как SPAN и RSPAN.
Сегодня же мы будем знакомиться с этими технологиями на практике.
Что нам понадобится?
Коммутатор Cisco, хост с каким-нибудь сниффером, например wireshark, чтоб мы могли посмотреть трафик, который присылается на destination port.
Настройку буду осуществлять на Cisco Catalyst 2960.
Вся настройка проходит в режиме глобальной конфигурации (conf t).
Начнем с малого, а именно с простой настройки SPAN.
Допустим, нужно получать траифк с порта f0/34 (source) на порт f0/33 (destination). Попробуем настроить 🙂
ASW(config)#monitor session 1 source interface f0/34
ASW(config)#monitor session 1 destination interface f0/33
Вот собственно и все. Самый просто вариант настройки, когда нам необходимо с какого-то порта снять и прослушать трафик.
Помните, когда вы примените настройку для destination port у вас пропадет доступ к коммутатору (так как порт будет работать только для приема зеркалированного трафика), поэтому делать это лучше непосредственно возле коммутатора, на отдельном хосте. Например, ноутбук.
Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с порта source. В моем случае, на f0/34 порте «висит» ПК, с IP адресом 10.0.5.12.
Wireshark видит данные с этим IP, значит все работает как надо.
Помним, что по умолчанию, зеркалируется трафик как входящий так и исходящий на source port.
Для того, чтобы ограничить трафик, например только входящим, нужно сделать следующее:
ASW(config)#monitor session 1 source interface f0/34 rx
RX как раз и отвечает за то, что зеркалироваться будет трафик только входящий на данный интерфейс.
Если нам нужен только исходящий трафик, нужно сделать так:
ASW(config)#monitor session 1 source interface f0/34 tx
В нашем примере, зеркалируется трафик только с одного порта, но нам ничего не мешает сделать зеркалирование с двух и более, для этого просто добавляем команды с соответствующими интерфейсами:
ASW(config)#monitor session 1 source interface f0/34
ASW(config)#monitor session 1 source interface f0/35
ASW(config)#monitor session 1 destination interface f0/33
Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на destination port.
Теперь давайте представим, что нужно зеркалировать транковый порт (в теоретической части мы с вами определились, что это делать можно). И хотим чтоб Layer 2 протоколы ходили, такие как CDP,DTP и другие.
Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим образом:
ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate
ASW(config)#monitor session 1 destination interface f0/33
Если взглянуть на настройку, то можно увидеть только одно отличие, это присутствие нового параметра encapsulation replicate, который определяет как раз то, что мы будем видеть в трафике фреймы такие как CDP, DTP, и так далее.
Помним о том, что если настроно так как выше, и g0/1 является транком, то данные будут зеркалироваться со всех VLAN этого транка.
Для того, чтобы «вычеркнуть» не нужные нам VLAN воспользуем фильтрацией.
ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate
ASW(config)#monitor session 1 filter vlan 1-5, 111
ASW(config)#monitor session 1 destination interface f0/33
Здесь мы видим дополнительную команду monitor session с параметром filter vlan. Что же он значит?
Filter vlan означает то, что указанные далее номера vlan, не будут включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5 означает 1,2,3,4,5), а можно просто через запятую перечислять номера VLAN.
Если нам необходимо использовать источник не порт а VLAN, например 5, необходимо сделать так:
ASW(config)#monitor session 1 source vlan 5
так же, через запятую можно перечислить список vlan.
С SPAN пожалуй все. Теперь разберемся с RSPAN.
Поставим себе задачу.
Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 — только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо зазеркалировать трафик VLAN 15, оба типа трафика.
Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это было описано в теоретических основах SPAN/RSPAN).
Перейдем к настройке.
1. Разбираемся с ASW1.
Создаем VLAN для RSPAN
ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)
Создаем сессию для мониторинга:
ASW1(config)#monitor session 1 source vlan 10 rx
ASW1(config)#monitor session 1 source vlan 20 tx
ASW1(config)#monitor session 1 source 30
ASW1(config)#monitor session 1 destination remote vlan 100
2. Разбираемся с ASW2.
Так же для начала создаем RSPAN VLAN.
Создаем сессию мониторинга (необязательно номер сессий должен совпадать с другими коммутаторами)
ASW2(config)#monitor session 1 source vlan 15
ASW2(config)#monitor session 1 destination remote vlan 100
3. Теперь собственно нужно настроить ASW, порт f0/1, на котором находится наш хост с wireshark (ну или для каких-то других целей, voip record, etc).
Так же необходимо создать RSPAN VLAN.
Укажем source vlan (наш rspan vlan)
ASW(config)#monitor session 1 source remote vlan 100
И укажем, порт, куда «сливать» весь трафик.
ASW(config)#monitor session 1 destination interface f0/1
Вот собственно и все, наша задача выполнена.
Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем случае, на 100 мегабитный интерфейс может придти трафика больше чем он сможет обработать, нужно это иметь ввиду и не забывать об этом.
Последняя команда на последок, которая облегчит жизнь администратору
SPAN session number
all Show all SPAN sessions
local Show only Local SPAN sessions
range Show a range of SPAN sessions in the box
remote Show only Remote SPAN sessions
С помощью нее, можно быстро найти ошибку, которую допустили при конфигурировании, в общем рекомендую 🙂
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Пример настройки SPAN/RSPAN/ERSPAN
Ищете возможность анализировать сетевой трафик/отправлять его на систему записи телефонных разговоров? Изи. Коммутаторы Cisco (да и многие другие) дают возможность копировать пакеты с определенного порта или VLAN и отправлять эти данные на другой порт для последующего анализа (Wireshark, например).
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Кстати, этот функционал полезен при использовании IDS (Intrusion Detection System) систем в целях безопасности. Мы уже рассказывали теоретические основы SPAN/RSPAN, поэтому, сегодняшняя статья будет посвящена практике настройке.
Про настройку SPAN
В рамках обычной SPAN сессии захват (копирование) сетевого трафика происходит с порта источника (source port) и отправляется на порт назначения (destination port). Обратите внимание на пример ниже: мы сделаем SPAN – сессию с порта fa 0/1 и отправим данные на порт fa 0/5:
Важно! SPAN – сессия может работать только в рамках одного коммутатора (одного устройства).
Просто, не правда ли? В рамках данной конфигурации весь трафик с порта fa 0/1 будет скопирован на порт fa 0/5.
Интереснее: пример RSPAN
Идем вперед. Более продвинутая реализация зеркалирования трафика это RSPAN (Remote SPAN). Эта фича позволяет вам зеркалировать трафик между различными устройствами (коммутаторами) по L2 через транковые порты. Копия трафика будет отправляться в удаленный VLAN между коммутаторами, пока не будет принята на коммутаторе назначения.
На самом деле, это легко. Давайте разберемся на примере: как показано на рисунке, мы хотим копировать трафик с коммутатора №1 (порт fa 0/1) и отправлять трафик на коммутатор №2 (порт fa 0/5). В примере показано прямое транковое подключение между коммутаторами по L2. Если в вашей сети имеется множество коммутаторов между устройствами источника и назначения – не проблема.
Таким образом, весь трафик с интерфейса fa 0/1 на локальном коммутаторе (источнике) будет отправлен в vlan 100, и, когда коммутатор получатель (remote) получит данные на 100 VLAN он отправит их на порт назначения fa 0/5. Такие дела.
Party Hard: разбираемся с ERSPAN
Как показано ниже, между коммутатором источником и коммутатором получателем устанавливается GRE – туннель (между IP – адресами машин). Опять же, мы хотим отправить трафик с порт fa 0/1 на порт fa 0/5.
Траблшутинг
Мониторинг трафика в указанном VLAN:
Мониторинг входящего или только исходящего трафика:
Посмотреть конфигурацию сессии зеркалирования:
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Полезно?
Почему?
😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.
😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.