Skip to content


Port mirroring в Cisco Catalyst

Есть задача: проанализировать трафик для определенного сетевого устройства. При этом доступа на это устройство у нас нет, либо анализ сильно затруднен даже если такой доступ есть. Зато если имеется доступ на коммутатор, к которому это устройство подключено, то можно организовать зеркалирование (mirroring) трафика с порта, куда включено исследуемое устройство, на другой порт, куда мы можем подключить, к примеру, ноутбук с анализатором трафика (сниффером) таким как tcpdump или wireshark. В Cisco это называется SPAN (Switched Port Analyser). Пусть, для примера, анализируемое устройство подключено к 1-му порту коммутатора, а наш ноутбук – во 2-ой порт. Тогда для коммутаторов серий Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 и 3750-E конфигурация будет выглядеть так:

  1. Switch>configure terminal
  2. Switch(config)#monitor session 1 source interface Fa0/1
  3. Switch(config)#monitor session 1 destination interface Fa0/2
  4. Switch(config)#^Z

В результате весь трафик с 1-го порта можно будет увидеть на 2-ом порту, как будто у нас не коммутатор, а старый добрый хаб (концентратор). Просмотр конфигурации:

  1. Switch#show monitor session 1
  2. Session 1
  3. Source Ports:
  4.     RX Only:       None
  5.         TX Only:       None
  6.         Both:          Fa0/1
  7. Destination Ports: Fa0/2

Особенности и ограничения:

  • Коммутаторы Catalyst 2950 позволяют иметь только одну активную SPAN-сессию и могут зеркалировать только порты (но не VLAN-ы).
  • Коммутаторы Catalyst 3550, 3560, 3750 поддерживают до двух одновременных SPAN-сессий и могут зеркалировать как порты, так и VLAN-ы.
  • Коммутаторы Catalyst 3750 поддерживают размещение source- и destination-портов на любых компонентах стека.
  • Разрешён только один destination-порт на одну SPAN-сессию, и один и тот же порт не может быть destination-портом для нескольких SPAN-сессий.
  • На сниффере в описанной выше конфигурации невозможно увидеть некорректные фреймы, которые возникли на участке от устройства, подключенного в Fa0/1, до коммутатора, поскольку коммутатор отбросит такие фреймы после того, как они попадут на ingress порт (Fa0/1), не будет сохранять их в буфере и они не дойдут до порта Fa0/2. Если есть подозрение, что устройство, подключенное к Fa0/1, формирует некорректные фреймы, то сниффер и это устройство должны быть подключены к хабу, а не к коммутатору, так как хаб не выполняет никаких проверок на наличие ошибок.
.

Размещено в категории Cisco. Теги: .

Комментариев: 1

Чтобы быть всегда в курсе здесь происходящего, Вы можете подписаться на RSS feed для комментариев на эту заметку.

  1. Alex V said

    А есть еще и RSPAN=)

Some HTML is OK

(required)

(required, but never shared)

, или ответить через trackback.

Страница 1 из 11