-
CISCO
交换机的数据监控
网络入侵检测技术已成为网络防护的重要手段之一,
入侵检测技术的基础是对网
络中数据的收集,
目前的方法主要有安放探
针设备、采用共享式
Hub
以及利用网络设备本身提供的数据监控功能
等。
在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该
是利用网络设备的自身功能进行数据收集。
我们在实际的网络集成工作中经常会使用
Cisco
公司
Catalyst
系列交换机,
这里就此类设
备监控功能的配置进行介绍,
希望
能够对网络管理人员以及安全
防护的实施有一定的帮助(本文以
Catal
yst4000<
/p>
系列交换机为例)。
配置
SPAN
对话(
SPANSession)
基本功能
通过设置
< br>SPAN
对话能够对本交换机端口或整个
VLA
N
的数据流进行监视,
被监控的数据流可以由协
议分析设备进行分析处
理。
工作方式
SPAN
< br>对话由一个目的端口和一组源端口组成,它将
一个或多个
VLAN
上的一个或多个源端口的数据包复制到目的端口上。
S
PAN
不影响源端口的正常工作,
也不会影响正常的交换机操作
。
在交
换网络中可以配置多个
SPAN
对话,只有当目的端口可操作,同时源
端口或源
VLAN
中的任意一个端口活动时才可激活
SPAN<
/p>
对话。
配置命令
将被监视的端口或
VLAN
配置为源端口,将接收被复
制数据包的
端口设置为目的端口。
setspan{src_mod/s
rc_ports|src_vlan}dest_mod/d
est_port[rx
|tx|both][filtervlan][inpkts{enable|disable}][lear
ning{e
nable|disable}][create]
配置说明
src_mod/src_
ports:
源模块
/
端口号。
它们可以存在于
任何
VLAN
中,
也可以配置一个或多个
VLAN
< br>作为源端口
(src_vlans)
,
< br>此时该
VLAN
中的所有端口作为
SPAN
对话中的源端口。一个端口可
以配置为多个
SPAN
对话的源端口。
dest_mod/dest_port:
目的模块
/
端口号。
每个
SPAN
对话中只有一个目的端口,同一个端口不能作为多个
SPAN
对话的目
的端口,一个目的端口不能被配置为源端口,活动的目的端口不参与
S
panningTree
。
< br>
[rx|tx|both]:
通过源端口的流量可以分
为进入
(
ingres
s
)、外出(
egress
)、双向(
both
)三类,可以在
SPAN
对话中配置
监视的是哪种类型的数据包。当监视整个
VLA
N
的数据时只能为双方
向的数据流。
[filtervlan]:TrunkVLAN
过滤,
6.3(1)
以后的版本可以
对源端口为
Trunk
的端口进行
VLAN
限制过滤,只允许指定
VLAN
的
流量被复制到目的端口。
[inpkts{enab
le|disable}]:
缺省情况下目的端口被激
活后将不
接收进入的数据包,造成目的端口不能与其他设备进行通信,
可以通过配置允许进行转发
,
此时发送的数据包在本端口所属的
VLAN
< br>内进行交换。此目的端口将不参与本
VLAN
的
SpanningTree
。
[learning{enable|disable}]:
当允许目的端口进
行转
发时,
可以设置允许从目的端口学习源
MAC
地址,
此项只影响与目的
端
口相连的设备。
缺省时为
enable
,
但当配置
inpktsenable
时应同时
配置
learningenable
< br>。
[create]:
采用<
/p>
create
可以产生新的
SPAN
对话,
最多
可以同时运行
< br>5
个
SPAN
对话。
注意
对话只能监视本交换机内的数据包。
2.
交换机的
sc0
< br>接口不能配置为
SPAN
源端口。
hannel
端口不能作为
SPA
N
目的端口。
4.
< br>在进行
SPAN
对话配置时,
如
果目的端口的
Trunki
ng
模式为
“On”或“Nonegotiate”,则
SPAN
包将以原
Trunking
配置的封装格式进行转发,同时这个目的端口
将停止
Trunking
。
配置例子:
例
1
:
配置
port2/5(theSPANsource)
的出入双向数据包被
复制到
port2/10(th
eSPANdestination)
。
Console>(enable)setspan2/52/10
Console>(enable)showspan
Destination:Port2/10
AdminSource:Port2/5
OperSource:None
Direction:transmit/receive
IncomingPackets:disabled
Learning:enabled
Filter:-
Status:active
-----------------------------
Totallocalspansessions:1
Console>(enable)
例
2
:
配置
VLAN522
和
523
为
SPANsource
,
port2/1
为
SPANdesti
nation:
Console>(enable)setspan522
-
5232/1
Console>(enable)showspan
Destination:Port2/1
AdminSou
rce:VLAN522
-
523
OperSource:Port2/1-2
Direction:transmit/receive
IncomingPackets:disabled
Learning:enabled
Filter:-
Status:active
----------------
Totallocalspansessions:1
Console>(enable)
禁止
SPAN