Monitor session cisco: Настройка зеркалирования SPAN и RSPAN на cisco

Содержание

Настройка зеркалирования SPAN и RSPAN на cisco

На многих коммутаторах cisco реализованы технологии SPAN и RSPAN позволяющие зеркалировать траффик с порта на порт или с vlan на порт удаленного коммутатора и т.п.

Port mirroring (Зеркалиирование порта) — процесс копирования пакетов с порта на другой порт в пределах одного или нескольких коммутаторов.

Настройка SPAN на cisco

SPAN (Switch Port Analyzer) — Локальное зеркалирование используется для копирования траффика с порта или vlan на другой порт этого же коммутатора.

Зеркалирование траффика с порта на порт

R(config)# monitor session 1 source interface Gi0/X
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X — порт с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Для зеркалирования только входящего трафиика добавляем в «rx».

R(config)#monitor session 1 source interface f0/34 rx

Для зеркалирования только исходящего трафиика добавляем «tx».

R(config)#monitor session 1 source interface f0/34 rx

Можно зеркалировать траффик с нескольких портов

R(config)# monitor session 1 source interface Gi0/X1
R(config)# monitor session 1 source interface Gi0/X2
...
R(config)# monitor session 1 source interface Gi0/Xn
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X1..Gi0/Xn — порты с которых будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик между портами одного коммутатора.

Для зеркалирования траффика с vlan на порт указываем не интерфейс а влан.

R(config)# monitor session 1 source vlan 100
R(config)# monitor session 1 destination interface Gi0/Y

vlan 100 — номер vlan с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик определенной VLAN на порт коммутатора.

Настройка RSPAN на cisco

RSPAN (Remote Switch Port Analyzer) — Удаленное зеркалирование используется для копирования траффика с порта или vlan на порт удаленного коммутатора.

Рассмотрим пример работы RSPAN. Допустим у нас есть 2 коммутатора (SW1 и SW2) соединеных между собой транковыми портами. Нам требуется передать зеркальный траффик VLAN 50 с коммутатора SW1 на порт Gi0/1 коммутатора SW2 используя RSPAN VLAN 100.

1. Создаем RSPAN VLAN 100 на коммутаторах (SW1 и SW2) в котором будем передавать траффик.

На SW1

SW1(config)#vlan 100
SW1(config-vlan)#remote-span

На SW2

SW2(config)#vlan 100
SW2(config-vlan)#remote-span

2. Создаем сессию мониторинга на коммутаторе SW1

На SW1

SW1(config)#monitor session 1 source vlan 50
SW1(config)#monitor session 1 destination remote vlan 100

vlan 50 — номер vlan который будем зеркалировать

На SW2

SW2(config)#monitor session 1 source remote vlan 100
SW2(config)#monitor session 1 destination interface Gi0/1

Gi0/1 — номер порта в который будет сливаться весь зеркальный траффик.

Таким образом через RSPAN VLAN можно передавать зеркалированный траффик между двумя коммутаторами.

Команды диагностики SPAN и RSPAN

На последок приведу несколько команд для диагностики настроеных monitor session.

1. Просмотр SPAN monitor session

show monitor session local

2. Просмотр RSPAN monitor session

show monitor session remote

3. Просмотр всех настроенных monitor sesion

show monitor session all

На этом все. Комментируем, подписываемся ну и всем пока:)

Зеркалирование трафика — Xgu.ru

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Зеркалирование трафика — функция коммутатора, предназначенная для перенаправления трафика с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование).

Может использоваться:

  • при поиске неисправностей, для того чтобы проанализировать трафик с помощью анализатора,
  • для перенаправления трафика на анализ системе обнаружения вторжений (IDS).

[править] Зеркалирование трафика на коммутаторах HP ProCurve

[править] Локальное зеркалирование трафика на коммутаторах HP ProCurve

Порт на котором находится DHCP-сервер и порт на который зеркалируется трафик должны быть в одном VLAN.

Указание порта на который будет зеркалироваться трафик:

sw5(config)# mirror-port 12

Настройка интерфейса на котором находится DHCP-сервер:

sw5(config)# int eth 11
sw5(eth-11)# monitor

[править] Удаленное зеркалирование трафика на коммутаторах HP ProCurve

Удаленное зеркалирование предполагает передачу трафика через несколько коммутаторов.

Может ли зеркалированный трафик передаваться через устройства, которые не поддерживают удаленное зеркалирование?

Для того чтобы настроить удаленное зеркалирование, необходимо выполнить следующие шаги:

  1. Настройка поддержки jumbo фреймов
  2. Настройка сессии зеркалирования на коммутаторе получателе
  3. Настройка сессии зеркалирования на коммутаторе источнике
  4. Настройка источников зеркалированного трафика

[править] Настройка поддержки jumbo фреймов

При передаче зеркалированного трафика коммутатор добавляет 54 байта заголовка к исходному фрейму. Это может привести к тому, что коммутатор отбросит фрейм, размер которого превышает стандартный Ethernet фрейм.

Для того чтобы зеркалированный трафик дошел до коммутатора получателя необходимо настроить поддержку jumbo фреймов на:

  • коммутаторе источнике;
  • промежуточных коммутаторах на пути передачи зеркалированного трафика;
  • коммутаторе получателе.

Настройка поддержки jumbo фреймов:

switch(config)# vlan 7 jumbo

При включенной поддержке jumbo фреймов, коммутатор может передавать фреймы размером до 9220 байт. Только порты работающие на скорости 1Гб или более могут поддерживать jumbo фреймы.

[править] Настройка сессии зеркалирования на коммутаторе получателе

switch(config)# mirror endpoint ip <src-ip> <src-udp> <dst-ip> port <port-id>
  • <src-ip> — IP-адрес VLAN или подсети в которой зеркалированный трафик входит или выходит из коммутатора источника.
  • <src-udp> — уникальный, не использующийся UDP-порт, который коммутаторы используют для передачи зеркалированного трафика.
  • <dst-ip> — IP-адрес VLAN или подсети в которой зеркалированный трафик входит или выходит из коммутатора получателя. Исходящий порт на коммутаторе получателе должен быть в этом VLAN или подсети.
  • <port-id> — номер порта на коммутаторе получателе, к которому присоединено устройство получающее зеркалированный трафик (например, компьютер с анализатором трафика).

[править] Настройка сессии зеркалирования на коммутаторе источнике

switch(config)# mirror <1-4> [name <name>] remote ip <src-ip> <src-udp> <dst-ip> 

[править] Настройка источников зеркалированного трафика

Источниками трафика могут быть:

  • порт,
  • транк,
  • порты в mesh,
  • VLAN,
  • трафик выделенный ACL.

[править] Пример конфигурации коммутаторов

[править] Зеркалирование трафика на коммутаторах Cisco

Настройка источника трафика:

sw1(config)# monitor session 1 source interface fastethernet 0/10 both

Настройка получателя трафика (порт, к которому подключен анализатор трафика):

sw1(config)# monitor session 1 destination interface fastethernet 0/1

[править] Удаленное зеркалирование (RSPAN)

Настройка удаленного зеркалирования на коммутаторе с которого отправляется трафик:

sw1(config)# monitor session 1 source interface fa 0/10
sw1(config)# monitor session 1 destination remote vlan 100 reflector-port fa 0/1

Настройка удаленного зеркалирования на коммутаторе который получет трафик:

sw2(config)# monitor session 1 source remote vlan 100 
sw2(config)# monitor session 1 destination interface fa 0/8
show monitor

[править] Дополнительная информация

  • SPAN Configuration Example (англ.) — Примеры настройки зеркалирования портов на разных моделях коммутаторов Cisco.

Мини-справочник по командам | cisco

Часто используемые команды для администрирования сетевого оборудования Cisco.

show version
Показывает наименование модели циски, версию IOS, название и местоположение двоичного образа загрузки IOS (обычно во flash: сжатый файл с названием cMMMM-D-EE.NNN-O.F.bin, где MNO цифры, DEF буквы), распределение и размер ОЗУ, размер NVRAM, размер flash, содержимое конфигурационного регистра.

show startup-config


Показывает содержимое конфигурации, которая применяется при загрузке. Можно скопировать эти данные в буфер обмена и сохранить в файл в качестве бэкапа конфигурации. Этот файл потом можно просто вставить (с небольшими оговорками) из буфера обмена в экран консоли, дать команду wr mem, и этим восстановить конфигурацию (многие программы, автоматически сохраняющие и обновляющие конфигурацию, применяют как раз такой метод).

copy startup-config running-config
Отменяет все сделанные (если были) изменения в конфигурации. То же самое произойдет, если выключить/включить питание (перезагрузить устройство).

copy running-config startup-config
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write или write memory.

write
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write memory или copy running-config startup-config.

show flash
Показывает размер, свободное место и содержимое (в виде списка) энергонезависимой памяти, которая работает с точно так же, как диск. На этом диске хранятся файлы, с которых записана IOS и конфигурация циски (startup-config и другие). Файлами можно манипулировать командами IOS.

terminal monitor
Переключает вывод debug-информации с консольного порта (RS232) на консоль, подклю

Глубокий анализ потока трафика с NtopNG

Всем привет! Сегодня немного разовью тему подсчёта трафика и спущусь немного глубже.

Задача

Как всегда, с постановки задачи. Нужно знать кто сколько качает, какая идёт нагрузка на канал. Причём, трафик нужно пропускать без задержек, то есть первоначальный вариант поставить прокси-сервер Squid и кидать веб через него – не пройдёт. Как-то нужно обойтись без дополнительных шлюзов.

Размышления

Раз дополнительный шлюз ставить нельзя, значит пускать трафик через какое-либо устройство тоже не вариант – придётся работать с копией трафика. А то, что нужна детализация в том числе по DNS-именам сайтов, к которым идёт обращение, делает неприемлемым использование NetFlow и Ulog из предыдущей статьи. На счастье ядром сети является Cisco Catalyst 3550, значит можно попробовать снять копию трафика (зеркалирование) и анализировать уже её.

В общем виде сеть выглядит так:

Вся основная сеть не показана (она в правой части). Я решил снять копию трафика с порта, ведущего к провайдеру и послать его на виртуальный сервер через ещё один коммутатор Catalyst3560G, по счастливой случайности оказавшийся возле сервера виртуализации.

Решение проблемы

Далее по шагам опишу, как удалось вполне сносно решить проблему.

Зеркалирование трафика

На коммутаторе, который светит провайдеру:

Послать копию трафика (SPAN) с какого-либо интерфейса на другой – не сложно. Некоторая особенность есть с тем, чтобы послать копию трафика на удалённый коммутатор. Здесь нам будет необходимо использовать RSPAN (Remote).

  1. Создал ещё один VLAN, который помечен для RSPAN, который будет использоваться для копии всего трафика. Также нам понадобится незанятый интерфейс.
  2. В режиме глобальной конфигурации пропишем:
    (config)# vlan 111
    (config-vlan)# remote-span
    (config-vlan)# exit
    (config)# monitor session 2 source interface Fa0/1
    (config)# monitor session 2 destination remote vlan 111 reflector-port Fa0/35

Где Fa0/1 – интерфейс к провайдеру, 111 – номер нашего нового VLAN, а Fa0/35 – незанятый интерфейс для использования RSPAN технологии.

На коммутаторе, который светит к серверу виртуализации:

Здесь принимаем.

  1. Создаём VLAN с тем же номером, помечаем его как используемый для RSPAN:
    (config)# vlan 111
    (config-vlan)# remote-span
    (config-vlan)# exit
    (config)# monitor session 2 source remote vlan 111
    (config)# monitor session 2 destination interface Gi0/40
  2. Подключаем 40-ой порт в сервер виртуализации (например, в порт 5).

Сервер виртуализации

На этом скрине у меня уже настроена RSPAN-сеть (внизу), удалять уже не буду, стрелкой отметил как её создать:

Нажимаем Add Networking.

Создаём именованную сеть для подключения к потоку виртуальных машин.

Зададим имя на VLAN ID. Также разрешим Promiscuous Mode, лишним не будет.

Теперь создаём новую виртуальную машину с двумя сетевыми интерфейсами, один будет в нашей обычной сети (Служебный интерфейс, Интернет, чтобы качать софт и настраивать виртуалку), второй – будет в сети RSPAN (Рабочий интерфейс, слушать весь трафик).

В качестве ОС я выбрал CentOS 7. Про установку и настройку рассказывать не буду особо, что мне потребовалось:

  1. Повесил IP на служебный интерфейс адрес, прописал настройки IP;
  2. Обновил репозитории;
  3. Поставил wget, tcpdump, nano, epel-release;
    Проверил, как льётся трафик:
    # tcpdump -i ens192 -nn
    Бешенный поток трафика полетел, едва успел <Ctrl+C> нажать, всё нормально, поток ловим.
  4. Создал новый репозиторий /etc/yum.repos.d/ntop.repo следующего содержания:
    [ntop]
    name=ntop packages
    baseurl=http://www.nmon.net/centos-stable/$releasever/$basearch/
    enabled=1
    gpgcheck=1
    gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri
    [ntop-noarch]
    name=ntop packages
    baseurl=http://www.nmon.net/centos-stable/$releasever/noarch/
    enabled=1
    gpgcheck=1
    gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri
  5. Установил NtopNG и сервер Redis (нужен для NtopNG)
    # yum update
    # yum install ntopng ntopng-data
    # yum install redis php-pecl-redis
  6. Сконфигурировал /etc/ntopng/ntopng.conf:
    -G=/var/run/ntopng.pid
    -i=ens192
    -w=3000
    -m=19X.XX.XXX.XXX/27
    -n=3

    где -i=ens192 – рабочий интерфейс (куда льётся поток), -w=3000 – порт веб-морды, -m=X.X.X.X/27 “локальная сеть”, -n=3 – тип резолвинга адресов (в конфиге есть комментарии, я отключил резолвинг локальных адресов).
  7. Прописал автозагрузку и запустил службы
    # systemctl start redis.service
    # systemctl enable redis.service
    # systemctl start ntopng.service
    # systemctl enable ntopng.service
  8. Прописываем в файрволле разрешающее правило для доступа к веб-морде:
    # firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 3000 -s 192.168.1.0/24 -j ACCEPT

Обзорчик NtopNG

Система ОЧЕНЬ глобальная, для админа однозначно MUST HAVE! Сочетает в себе функции DPI, IDS что позволяет немного улучшить безопасность всей сети, наблюдая за различными событиями и показателями. Правда есть одно НО. Система коммерческая, бесплатных фичей много, но самый смак конечно же после покупки корпоративной лицензии. Ценник приводить не буду. Дороговато для экспериментатора. Хотя, если кто-то продонатит, я с удовольствием сделаю полный и подробный обзорчик

Окно “Хосты” показывает трафик, соотношение приёма-передачи, количество потоков и т.д. Над таблицей справа есть ряд фильтров. Я вот отфильтровал по локальным адресам (да, хосты можно произвольным образом группировать).

Детальная информация об узле. Адреса различных уровней, трафик, сверху ряд разделов, где можно посмотреть более глубоко подробности по конкретному хосту. Покажу далее.

Разбор различных протоколов! Шикарный функционал, я считаю. Основной трафик конечно же SSL

 

Основные узлы, с которыми ведёт обмен выбранный хост. Красивые диаграммы.

Прикручен GeoIP модуль, может быть полезно в случае определения месоположения пиров.

Есть временная шкала, где можно посмотреть загруженность трафиком хоста или интерфейса в определённый момент времени и увидеть ТОП абонентов, создающих наибольшую загруженность.

Среди обзора потоков мне понравилась возможность выбрать определённый протокол! Я даже нашёл Telnet-сессии. Надо теперь разбираться, что это за фигня Среди протоколов есть также сессии TeamViewer, торренты, ГуглДрайв, Стим и т.д. Интересненько.

Там же есть фильтры, в которых можно увидеть потоки инициированные изнутри или снаружи. Тоже админу может быть интересно.Что-то типа рейтинга по загруженности канала. Вверху идёт линия времени, по интенсивности закраски можно понять загруженность. Справа замазал я IP адреса, так-то оно более наглядно.

Ну и нельзя не упомянуть такой момент, сколько все эти свистульки потребляют. Вот скрин окна top. Честно говоря, весьма прожорливая система, в среднем ест около 50% процессора (в интерфейсе), если браузер закрыть – порядка 5,5%…

Забыл пароль админки

При первом входе (admin:admin) нам предложили сменить пароль админа. Я сменил, но войти не смог ни под старым ни под новым, пришлось сбивать обратно. Как это сделать?

# echo 'newpassword' | md5sum

Получили хеш от пароля ac05b33f4a068ea15350bc25ba40ff2a.

# redis-cli SET ntopng.user.admin.password ac05b33f4a068ea15350bc25ba40ff2a

Мне помогло.

Если понравилась данная статья – ставьте Like! Вступайте в группу, чтобы ничего не пропустить!

Часто используемые команды Cisco — xCat

Часто используемые команды Cisco — xCat Перейти к содержимому

Команды траблшутинга / просмотра

modeКомандаОписание
#show running-configпоказывает текущую конфигурацию устройства
#show startup-configпоказывает стартовую конфигурацию устройства
#show versionПоказывает модель устройства, версию Cisco IOS, серийный номер и много другой информации об устройстве
#show ip interface briefпоказывает статус интерфейсов коммутатора/маршрутизатора
#show ip routeПоказывает таблицу маршрутизации
#show cdp neighborsПоказывает соседей по протоколу CDP
#terminal monitorпоказывает сообщения лога в терминале, при этом полезно переводить каретку в начало строки, что бы не путаться
#show inventoryПоказывает сведения о «железе» установленном в устройство, дополнительных платах, модулях, SFP транссиверах
#show mac address-tableПоказывает мак таблицу устройства, можно использовать для просмотра мак адресов в определенном VLAN или на определенном порту, например: show mac address-table vlan 5 или show mac address-table interface gigabitEthernet 0/1.

Так же с помощью этой команды можно провести поиск по мак адресу, к какому порту или в каком VLAN находится устройство с определенным маком, например: show mac address-table address 12-34-56-78-9a-bc

Или по последним 4 символам адреса, например: show mac address-table | include 9abc

#show processes cpu sortedПоказывает загрузку CPU на устройстве. Выводит строку типа:

CPU utilization for five seconds: 45%/0%; one minute: 48%; five minutes: 46%

Красным цветом выделен процент общей загрузки CPU

Синим цветом выделен процент загрузки CPU прерываниями

Процент загрузки CPU процессами расчитывается по формуле:

процент загрузки CPU прерываниями = процент общей загрузки CPU — процент загрузки CPU прерываниями

#show ip interface briefПоказывает информацию о IP

 

Базовые команды конфигурации

modeКомандаОписание
#erase startup-configочистка конфигурации (возврат к заводским настройкам)
(config)#no service password-recoveryотключение механизма восстановления пароля
(config)#service password-encryptionхеширует все пароли в конфиге (защищает только от того чтобы никто не подглядел их из-за плеча, если конфиг окажется у злоумышленника расшифровать пароль не составит труда)
(config-line)#logging synchronousвозвращает каретку в начало следующей строки, после вывода сообщения лога, вы полняется из конфига линий (line vty 0 4 или line vty 5 15)
(config-line)#transport input sshразрешает доступ только по ssh
# write eraseОчищает стартовую конфигурацию (после перезагрузки устройство загрузится с параметрами по умолчанию)

Команды для работы с файлами и папками

Подробнее о работе с файлами и папками Cisco

modeКомандаОписание
#archive tar /create [имя_архива.tar] [путь к папке]создать архив tar
#dirпросмотр содержимого директории
#show flash:просмотр содержимого директории
#cdпереход в директорию
#mkdirсоздание директории
#copyкопирование файла
#deleteудаление файла или папки
#rmудаление файла или папки
#moreпросмотр содержимого файла
#verifyпроверка контрольной суммы
#

 

We use cookies to ensure that we give you the best experience on our website. If you continue to use this site we will assume that you are happy with it. Ok

monitor_session.html — Cisco

monitor_session.html — Cisco

сеанс монитора

Чтобы создать новую конфигурацию сеанса анализатора коммутируемых портов Ethernet (SPAN) или инкапсулированного удаленного анализатора коммутируемых портов (ERSPAN) для анализа трафика между портами или добавления в существующую конфигурацию сеанса, используйте Монитор сеанса команда. Чтобы очистить сеансы SPAN или ERSPAN, используйте нет форма этой команды.

Монитор сеанса { номер сессии [ закрыть | тип { местный | erspan-source } | все закрыты }

нет сеанса монитора { номер сессии | все } [ закрыть ]

Описание синтаксиса

номер сеанса

SPAN-сеанс для создания или настройки.Диапазон от 1 до 18.

все

Задает применение информации о конфигурации ко всем сеансам SPAN.

закрыть

(Необязательно) Указывает, что выбранный сеанс будет закрыт для мониторинга.

тип

(Необязательно) Задает тип настраиваемого сеанса.

местный

Указывает тип сеанса как локальный.

erspan-source

Создает исходный сеанс ERSPAN.

Командные режимы

Режим глобальной конфигурации

История команд

Выпуск

Модификация

4.0 (0) N1 (1a)

Эта команда была представлена.

4,2 (1) обычн. 1 (1)

Монитор сеанса { номер сессии | все } приостановить команда была отброшена.

Монитор сеанса { номер сессии | все } закрыть и Монитор сеанса { номер сессии | все } тип добавлены команды.

5,0 (2) обычн. 2 (1)

Снято ограничение на количество исходящих (TX) источников в сеансе мониторинга.

5,1 (3) обычн. 1 (1)

Добавлена ​​поддержка ERSPAN.

Правила использования

Чтобы убедиться, что вы работаете с совершенно новым сеансом, вы можете удалить желаемый номер сеанса или все сеансы SPAN.


Примечание Коммутатор Cisco Nexus серии 5000 поддерживает два активных сеанса SPAN. Коммутатор Cisco Nexus 5548 поддерживает четыре активных сеанса SPAN. Когда вы настраиваете более двух сеансов SPAN, первые два сеанса активны. Во время запуска порядок активных сеансов меняется на обратный; последние два сеанса активны. Например, если вы настроили десять сеансов с 1 по 10, где 1 и 2 активны, после перезагрузки будут активны сеансы 9 и 10. Чтобы включить детерминированное поведение, явно приостановите сеансы с 3 по 10 с помощью Монитор сеанса номер сессии закрыть команда.



Примечание Начиная с Cisco NX-OS Release 5.0 (2) N2 (1), ограничение на количество исходящих (TX) источников в сеансе мониторинга было снято. Интерфейсы порт-канал могут быть настроены как исходящие источники.


После создания сеанса ERSPAN вы можете описать сеанс и добавить интерфейсы и VLAN в качестве источников и мест назначения.

Примеры

В этом примере показано, как создать сеанс SPAN:

коммутатор # настроить терминал

коммутатор (конфигурация) # монитор сеанса 2

Коммутатор

(конфигурация) #

В этом примере показано, как войти в режим конфигурации монитора для настройки SPAN-сеанса номер 9 для анализа трафика между портами:

switch (config) # monitor session 9 type local

Коммутатор

(config-monitor) # описание Локальный сеанс SPAN

Коммутатор

(config-monitor) # интерфейс источника Ethernet 1/1

Коммутатор

(config-monitor) # интерфейс назначения Ethernet 1/2

Коммутатор

(config-monitor) # без отключения

В этом примере показано, как настроить любые интерфейсы назначения SPAN в качестве портов монитора SPAN уровня 2 перед активацией сеанса SPAN:

switch (config) # interface ethernet 1/2

Коммутатор

(config-if) # switchport

Коммутатор

(config-if) # монитор коммутатора

Переключатель

(config-if) # без отключения

В этом примере показано, как настроить типичный интерфейс магистрали назначения SPAN:

коммутатор (конфигурация) # интерфейс Ethernet1 / 2

Коммутатор

(config-if) # switchport

Коммутатор

(config-if) # соединительная линия режима switchport

Коммутатор

(config-if) # монитор switchport

коммутатор (config-if) # switchport trunk разрешен vlan 10-12

Переключатель

(config-if) # без отключения

В этом примере показано, как создать сеанс ERSPAN:

коммутатор # настроить терминал

коммутатор (конфигурация) # монитор сеанса 1 типа erspan-source

Коммутатор

(config-erspan-src) #

Связанные команды

Команда

Описание

описание (SPAN, ERSPAN)

Добавляет описание для идентификации сеанса SPAN.

пункт назначения (ERSPAN)

Настраивает IP-порт назначения для пакета ERSPAN.

erspan-id (ERSPAN)

Задает идентификатор потока для сеанса ERSPAN.

ip dscp (ERSPAN)

Устанавливает значение DSCP для пакета ERSPAN.

ip Prec (ERSPAN)

Устанавливает значение приоритета IP для пакета ERSPAN.

ip ttl (ERSPAN)

Устанавливает значение времени жизни (TTL) для пакета ERSPAN.

mtu (ERSPAN)

Устанавливает максимальное значение передачи (MTU) для пакетов ERSPAN.

показать сеанс монитора

Отображает информацию о конфигурации сеанса SPAN.

источник (SPAN, ERSPAN)

Добавляет исходный порт SPAN.

monitor_session.html — Cisco

монитор сеанса

Чтобы создать новую конфигурацию сеанса анализатора коммутируемых портов (SPAN) или добавить к существующей конфигурации сеанса, используйте команду monitor session .Чтобы очистить сеансы SPAN, используйте форму no этой команды.

мониторинг сеанса { номер сеанса [закрыть | введите местный] | все закрыто}

нет сеанса монитора { номер сеанса | все} [закрыто]

Описание синтаксиса

номер сеанса

SPAN-сеанс для создания или настройки. Диапазон от 1 до 18.

все

Задает применение информации о конфигурации ко всем сеансам SPAN.

закрыто

(Необязательно) Указывает, что выбранный сеанс будет закрыт для мониторинга.

тип

(Необязательно) Задает тип настраиваемого сеанса.

местный

Указывает тип сеанса как локальный.


Команда по умолчанию

Нет

Режимы команд

Режим глобальной конфигурации

История команд

Выпуск

Модификация

4.0 (0) N1 (1a)

Эта команда была представлена.

4,2 (1) №1 (1)

Сеанс монитора { номер сеанса | все } приостановить команда была отброшена.

Сеанс монитора { номер сеанса | все } закрыть сеанс монитора и { номер сеанса | все } типа добавлены команды.


Рекомендации по использованию

Чтобы убедиться, что вы работаете с совершенно новым сеансом, вы можете удалить желаемый номер сеанса или все сеансы SPAN.

Примеры

В этом примере показано, как создать сеанс SPAN:

 коммутатор #  настроить терминал  
Коммутатор
 (конфигурация) #  монитор сеанса 2  

В этом примере показано, как войти в режим конфигурации монитора для настройки SPAN-сеанса номер 9 для анализа трафика между портами:

 switch (config) #  monitor session 9 type local  
Коммутатор
 (config-monitor) #  описание Локальный сеанс SPAN  
Коммутатор
 (config-monitor) #  интерфейс источника Ethernet 1/1  
Коммутатор
 (config-monitor) #  интерфейс назначения Ethernet 1/2  
Переключатель
 (config-monitor) #  без выключения  

В этом примере показано, как настроить любые интерфейсы назначения SPAN в качестве портов монитора SPAN уровня 2 перед активацией сеанса SPAN:

 switch (config) #  interface ethernet 1/2  
Коммутатор
 (config-if) #  switchport  
Коммутатор
 (config-if) #  монитор коммутатора  
Переключатель
 (config-if) #  без отключения  

В этом примере показано, как настроить типичный магистральный интерфейс назначения SPAN:

 коммутатор (конфигурация) #  интерфейс Ethernet1 / 2  
Коммутатор
 (config-if) #  switchport  
Коммутатор
 (config-if) #  switchport mode trunk  
Коммутатор
 (config-if) #  монитор коммутатора  
Коммутатор
 (config-if) #  транк switchport разрешен vlan 10-12  
Переключатель
 (config-if) #  без отключения  

Связанные команды

Команда

Описание

показать сеанс монитора

Отображает информацию о конфигурации сеанса SPAN.


Настройка SPAN на коммутаторах Cisco Catalyst

Возможность отслеживать сетевой трафик имеет важное значение, когда дело доходит до устранения неполадок, выполнения аудита безопасности или даже случайной проверки вашей сети на предмет подозрительного трафика.

Раньше, когда возникала необходимость в мониторинге или захвате сетевого трафика, концентратор вводился где-то в сетевом канале, и, благодаря неэффективной конструкции концентратора, он копировал все пакеты, входящие с одного порта, на все остальные порты, что упрощает мониторинг сетевого трафика.Те, кто интересуется основами концентраторов, могут прочитать нашу статью о концентраторах и повторителях.

Конечно, коммутаторы работают по совершенно другому принципу и не реплицируют одноадресные пакеты из каждого порта на коммутаторе, но держат их изолированными, если это не широковещательная или многоадресная рассылка.

К счастью, мониторинг сетевого трафика на коммутаторах Cisco Catalyst — простой процесс и не требует наличия концентратора. Метод Cisco называется Switched Port Analyzer , также известный как SPAN .

Понимание терминологии SPAN
  • Входящий трафик : трафик, поступающий на коммутатор
  • Исходящий трафик : трафик, покидающий коммутатор
  • Порт источника (SPAN) : порт, который отслеживается
  • Source (SPAN) VLAN : VLAN, трафик которой отслеживается
  • Порт назначения (SPAN) : порт, который отслеживает исходные порты. Обычно это точка, к которой подключен анализатор цепей.
  • Remote SPAN ( RSPAN ): когда Исходные порты не расположены на том же коммутаторе, что и порт назначения . RSPAN — это расширенная функция, которая требует специальной VLAN для передачи отслеживаемого трафика и поддерживается не всеми коммутаторами. Объяснение и настройка RSPAN будут рассмотрены в другой статье.

Рис. 1. Сетевая диаграмма выше помогает нам понять терминологию и реализацию SPAN .

Source SPAN Порты отслеживаются на предмет полученного, (RX — входящий), переданного, (TX — исходящего) или двунаправленного (оба) трафика. Трафик, входящий или исходящий из портов Source SPAN , зеркалируется на порт Destination SPAN . Как правило, вы подключаете ПК к сетевому анализатору к порту Destination SPAN и настраиваете его для захвата и анализа трафика.

Объем информации, которую вы можете получить из сеанса SPAN, действительно зависит от того, насколько хорошо захваченные данные могут быть интерпретированы и поняты.Надежный сетевой анализатор не только показывает перехваченные пакеты, но и автоматически диагностирует такие проблемы, как повторная передача TCP, сбои DNS, медленные ответы TCP, сообщения перенаправления ICMP и многое другое. Эти возможности помогают любому инженеру быстро обнаруживать сетевые проблемы, которые иначе было бы нелегко найти.

Основные характеристики и ограничения порта источника

Исходный порт имеет следующие характеристики:

  • Это может быть любой тип порта, например EtherChannel, Fast Ethernet, Gigabit Ethernet и так далее.
  • Его можно отслеживать в нескольких сеансах SPAN.
  • Это не может быть порт назначения (именно к нему подключен анализатор пакетов)
  • Для каждого порта источника можно настроить направление (вход, выход или оба) для отслеживания. Для источников EtherChannel контролируемое направление применяется ко всем физическим портам в группе.
  • Исходные порты могут находиться в одной или разных VLAN.
  • Для источников SPAN VLAN все активные порты в исходной VLAN включены как исходные порты.
Основные характеристики и ограничения порта назначения

Каждый сеанс SPAN должен иметь порт назначения, который получает копию трафика от исходных портов и виртуальных локальных сетей.

Порт назначения имеет следующие характеристики:

  • Порт назначения должен находиться на том же коммутаторе, что и порт источника (для локального сеанса SPAN).
  • Порт назначения может быть любым физическим портом Ethernet.
  • Порт назначения может участвовать только в одном сеансе SPAN одновременно.
  • Порт назначения в одном сеансе SPAN не может быть портом назначения для второго сеанса SPAN.
  • Порт назначения не может быть портом источника.
  • Порт назначения не может быть группой EtherChannel.

Ограничения SPAN на моделях Cisco Catalyst

Ниже приведены ограничения SPAN на различных коммутаторах Cisco Catalyst:

  • Коммутаторы Cisco Catalyst 2950 могут поддерживать только один сеанс SPAN одновременно и могут контролировать исходные порты.Эти коммутаторы не могут контролировать источник VLAN.
  • Коммутаторы Cisco Catalyst
  • могут перенаправлять трафик на порт назначения SPAN в Cisco IOS 12.1 (13) EA1 и более поздних версиях
  • Коммутаторы Cisco Catalyst 3550, 3560 и 3750
  • могут поддерживать до двух сеансов SPAN одновременно и могут контролировать исходные порты, а также сети VLAN
  • Коммутаторы Catalyst 2970, 3560 и 3750 не требуют настройки порта отражателя при настройке сеанса RSPAN.
  • Коммутаторы Catalyst 3750 поддерживают конфигурацию сеанса с использованием портов источника и назначения, которые находятся на любом из членов стека коммутаторов.
  • Для одного сеанса SPAN разрешен только один порт назначения, и один и тот же порт не может быть портом назначения для нескольких сеансов SPAN. Следовательно, у вас не может быть двух сеансов SPAN, использующих один и тот же порт назначения.
Настройка SPAN на коммутаторах Cisco Catalyst

Нашим испытательным стендом был коммутатор уровня 3 Cisco Catalyst 3550, однако используемые команды полностью поддерживаются на всех Cisco Catalyst 2940, 2950, ​​2955, 2960, 2970, 3550, 3560, 3560-E, 3750, 3750-E и Коммутаторы серии 4507R.

На диаграмме ниже представлена ​​типичная сеть, в которой необходимо отслеживать входящий (входящий) и выходящий (исходящий) порт, к которому подключается маршрутизатор (FE0 / 1). Этот стратегически выбранный порт по сути отслеживает весь входящий и исходящий трафик из нашей сети.

Поскольку маршрутизатор R1 подключается к коммутатору 3550 Catalyst через порт FE0 / 1 , этот порт настроен как порт Source SPAN . Трафик, скопированный с FE0 / 1 , должен быть зеркально отображен на FE0 / 24 , где наша рабочая станция мониторинга ожидает захвата трафика.

После настройки и запуска нашего сетевого анализатора первым шагом будет настройка FastEthernet 0/1 в качестве порта SPAN источника :

Catalyst-3550 (config) # монитор сеанса 1 исходный интерфейс fastethernet 0/1

Затем настройте FastEthernet 0/24 в качестве порта назначения SPAN :

Catalyst-3550 (конфигурация) # монитор интерфейса назначения сеанса 1 fastethernet 0/24

После ввода обеих команд мы заметили, что индикатор порта SPAN нашего пункта назначения ( FE0 / 24 ) начал мигать синхронно с индикатором FE0 / 1 — ожидаемое поведение, учитывая, что все пакеты FE0 / 1 копировались в FE0 / 24 .

Для подтверждения сеанса и работы мониторинга требуется одна простая команда show monitor session 1 :

Catalyst-3550 # Показать сеанс монитора 1
Сессия 1
———
Тип: Локальный сеанс
Порты источника:
Оба: Fa0 / 1
Порты назначения: Fa0 / 24
Инкапсуляция : Собственный
Вход: отключен


Чтобы отобразить подробную информацию из сохраненной версии конфигурации монитора для определенного сеанса, введите команду show monitor session 1 detail :

Catalyst-3550 # показать детали сеанса монитора 1
Сессия 1
———
Тип: Локальный сеанс
Порты источника:
Только RX: Нет
Только TX: Нет
Оба: Fa0 / 1
Исходные VLAN:
Только RX: Нет
Только TX: Нет
Оба: Нет
Исходная VLAN RSPAN: Нет
Порты назначения: Fa0 / 24
Инкапсуляция: Собственный
Входящий трафик: Выключено
Порт отражателя: Нет
Фильтр VLAN: Нет
Dest RSPAN VLAN: Нет

Обратите внимание, что в разделе Source Ports отображается Fa0 / 1 для строки с именем Both .Это означает, что мы отслеживаем пакеты RX и TX для Fa0 / 1, в то время как порт назначения установлен на Fa0 / 24.

Обращаясь к нашему сетевому анализатору, благодаря его предопределенным фильтрам мы смогли перехватывать пакеты, отправляемые и исходящие от контролируемого объекта:

На этом мы завершаем обсуждение конфигурации SPAN и способов отслеживания / захвата пакетов на коммутаторе Cisco Catalyst. В следующих статьях будет рассказано о RSPAN и более продвинутых методах перехвата пакетов с использованием выделенных VLAN для перехвата трафика и других сложных сценариев.

Вернуться к разделу о коммутаторах Cisco

Как я могу контролировать развертывание Cisco WLC с помощью PRTG?

Эта статья относится к PRTG Network Monitor 16.3.25 или более поздней версии

Хотя PRTG предоставляет несколько датчиков, которые работают с контроллером WLC по умолчанию, например, датчик SNMP трафика и датчик времени работы системы SNMP , но вас все же могут заинтересовать более подробные датчики.

Добавление настраиваемых датчиков к WLC через автоматическое обнаружение

Вы можете использовать шаблон устройства, который мы предоставляем ниже, для автоматического создания настраиваемых датчиков с помощью автоматического обнаружения PRTG.

Доступные показатели могут различаться. Датчики могут контролировать следующее, если данные доступны:

  • Точка доступа
    • Статус операции (Связано / Нет связи / Загрузка)
    • Статус администратора (вкл. / Выкл.)
  • Статистика контроллера
    • Подключенные точки доступа (количество)
    • Подключенные клиенты (кол-во)
    • Access Point Failed Assoc. Подсчитать (подсчитать)
  • Статистика SSID
    • подключенных станций (кол-во)
    • Статус администратора (вкл. / Выкл.)
    • Broadcast SSID (вкл. / Выкл.)

Шаблон устройства создает доступные и совместимые датчики на основе имеющихся данных.Датчики реализуют предупреждения по умолчанию, когда это возможно, но вы все равно можете настроить для большинства каналов, задав дополнительные ограничения в настройках каналов датчиков или изменив поисковые запросы, включенные по умолчанию.

Требования

  • PRTG Network Monitor 16.3.25 или более поздняя версия
  • Поскольку шаблон устройства полагается на процесс автоматического обнаружения, устройство, которое вы хотите отслеживать, должно быть доступно через PING .
  • SNMP должен быть включен, и устройство должно поддерживать AIRESPACE-WIRELESS-MIB и CISCO-LWAPP-SYS-MIB .Документация по включению SNMP доступна на:
  • На данный момент шаблон устройства был протестирован со следующими устройствами:
    • Cisco 1815 Mobility Express
    • Cisco 2504 Контроллер беспроводной сети
    • Cisco 5508 Контроллер беспроводной сети
    • Контроллер беспроводной сети Cisco 5520
    • Контроллер беспроводной сети Cisco Flex 7500 серии (iOS 8.3.143.0)

Если у вас работает другая модель, сообщите нам об этом!

Известные проблемы и ограничения

  • Для мониторинга точек доступа bsnAPSerialNumber используется для однозначной идентификации и отслеживания отдельных точек доступа.Если точка доступа переименована, имя датчика не будет обновляться автоматически. Либо измените его вручную, либо удалите датчик и повторно запустите обнаружение.
  • Когда будет создано больше SSID или подключено больше AP, повторно запустите обнаружение, чтобы отслеживать их. Вы также можете использовать для этого расписание автообнаружения.
  • Если SSID переименовать, соответствующий датчик выйдет из строя. Либо обновите имя в настройках датчика, либо удалите датчик и запустите новое автоматическое обнаружение с шаблоном.
  • PRTG показывает предупреждения, отправленные контролируемым устройством через SNMP, используя поиск. Если статус не сообщается правильно через SNMP, PRTG не может обнаружить никаких проблем. Для дополнительных предупреждений установите ограничения для дополнительных каналов.
  • Этот шаблон устройства был создан на основе данных, полученных от других клиентов, поэтому мы не можем гарантировать, что описанные выше датчики будут работать в ваших системах. Используйте эти компоненты на свой страх и риск. Пожалуйста, протестируйте и подтвердите датчики в своей среде после их развертывания.

Развертывание и использование

  1. Загрузите необходимый zip-архив отсюда .
  2. Распакуйте архив в программный каталог PRTG . По умолчанию это % Program Files (x86)% \ PRTG Network Monitor \ . Переместите содержимое отдельных папок в соответствующие папки в каталоге приложения.
  3. В PRTG перезапустите главный сервер: откройте Setup | Системное администрирование | Инструменты администрирования | Перезагрузите основной сервер и нажмите Go! .Это гарантирует, что MIB и поисковые запросы загружаются до запуска автоматического обнаружения.
  4. Создайте новое устройство в PRTG с адресом (IP или FQDN) устройства, которое вы хотите отслеживать, и соответствующим образом настройте учетные данные SNMP.
  5. Щелкните правой кнопкой мыши новое устройство, выберите Run Auto Discovery with Template , найдите wlc и выберите Custom Cisco WLC Access Point Status v0.2 и Custom Cisco WLC SSID Statistics v0.2 Шаблоны из список.
    Примечание: Использование автоматического обнаружения с помощью специального шаблона устройства здесь удобно, поскольку оно автоматизирует создание настраиваемых датчиков организованным образом.
  6. Датчики срабатывают через пару секунд.
  7. Вы можете настроить ограничения каналов или поиск в соответствии со своими потребностями позже.

Результат

Полученные датчики выглядят так:

Обзор датчика

Щелкните для полноэкранного просмотра

Session Monitor Documentation — Home

Session Monitor Documentation — Home

Для правильного отображения этого содержимого необходимо включить JavaScript

  1. Дом
  2. Отрасли промышленности
  3. Связь
  4. Монитор сеанса

Oracle Communications Session Monitor — это решение для непрерывного мониторинга сервисов, устранения неполадок и аналитики в реальном времени, которое обеспечивает комплексное представление о сетях VoIP и унифицированных коммуникаций.Вы можете использовать Session Monitor для отслеживания и устранения проблем с качеством звонков, предотвращения мошенничества и минимизации оттока подписчиков.

Вернуться к основному содержанию .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *