Зеркалирование трафика cisco: Недопустимое название — Xgu.ru

Содержание

SPAN/RSPAN — Настройка — Советы по работе с Cisco

 

В прошлой статье, я рассказывал о теоретических основах таких технологий Cisco как SPAN и RSPAN.

Сегодня же мы будем знакомиться с этими технологиями на практике.

Что нам понадобится?

Коммутатор Cisco, хост с каким-нибудь сниффером, например wireshark, чтоб мы могли посмотреть трафик, который присылается на destination port.

Настройку буду осуществлять на Cisco Catalyst 2960.

Вся настройка проходит в режиме глобальной конфигурации (conf t).

Начнем с малого, а именно с простой настройки SPAN.

Допустим, нужно получать траифк с порта f0/34 (source) на порт f0/33 (destination). Попробуем настроить 🙂

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 destination interface f0/33

Вот собственно и все. Самый просто вариант настройки, когда нам необходимо с какого-то порта снять и прослушать трафик.

Помните, когда вы примените настройку для destination port у вас пропадет доступ к коммутатору (так как порт будет работать только для приема зеркалированного трафика), поэтому делать это лучше непосредственно возле коммутатора, на отдельном хосте. Например, ноутбук.

Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с порта source. В моем случае, на f0/34 порте «висит» ПК, с IP адресом 10.0.5.12.

Wireshark видит данные с этим IP, значит все работает как надо.

Помним, что по умолчанию, зеркалируется трафик как входящий так и исходящий на source port.

Для того, чтобы ограничить трафик, например только входящим, нужно сделать следующее:

ASW(config)#monitor session 1 source interface f0/34 rx

RX как раз и отвечает за то, что зеркалироваться будет трафик только входящий на данный интерфейс.

Если нам нужен только исходящий трафик, нужно сделать так:

ASW(config)#monitor session 1 source interface f0/34 tx

В нашем примере, зеркалируется трафик только с одного порта, но нам ничего не мешает сделать зеркалирование с двух и более, для этого просто добавляем команды с соответствующими интерфейсами:

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 source interface f0/35

ASW(config)#monitor session 1 destination interface f0/33

Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на destination port.

Теперь давайте представим, что нужно зеркалировать транковый порт (в теоретической части мы с вами определились, что это делать можно). И хотим чтоб Layer 2  протоколы ходили, такие как CDP,DTP и другие.

Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим образом:

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 destination interface f0/33

Если взглянуть на настройку, то можно увидеть только одно отличие, это присутствие нового параметра encapsulation replicate, который определяет как раз то, что мы будем видеть в трафике фреймы такие как CDP, DTP, и так далее.

Помним о том, что если настроно так как выше, и g0/1 является транком, то данные будут зеркалироваться со всех VLAN этого транка.

Для того, чтобы «вычеркнуть» не нужные нам VLAN воспользуем фильтрацией.

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 filter vlan 1-5, 111

ASW(config)#monitor session 1 destination interface f0/33

Здесь мы видим дополнительную команду monitor session с параметром filter vlan. Что же он значит?

Filter vlan означает то, что указанные далее номера vlan, не будут включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5 означает 1,2,3,4,5), а можно просто через запятую перечислять номера VLAN.

Если нам необходимо использовать источник не порт а VLAN, например 5, необходимо сделать так:

ASW(config)#monitor session 1 source vlan 5

так же, через запятую можно перечислить список vlan.

С SPAN пожалуй все. Теперь разберемся с RSPAN.

Поставим себе задачу.

Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 — только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо зазеркалировать трафик VLAN 15, оба типа трафика.

Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это было описано в теоретических основах SPAN/RSPAN).

Перейдем к настройке.

1. Разбираемся с ASW1.

Создаем VLAN для RSPAN

ASW1(config)#vlan 100

ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)

ASW1(config)#exit

Создаем сессию для мониторинга:

ASW1(config)#monitor session 1 source vlan 10 rx

ASW1(config)#monitor session 1 source vlan 20 tx

ASW1(config)#monitor session 1 source 30

ASW1(config)#monitor session 1 destination remote vlan 100

2. Разбираемся с ASW2.

Так же для начала создаем RSPAN VLAN.

ASW2(config)#vlan 100

ASW2(config-vlan)#remote-span

ASW2(config)#exit

Создаем сессию мониторинга (необязательно номер сессий должен совпадать с другими коммутаторами)

ASW2(config)#monitor session 1 source vlan 15

ASW2(config)#monitor session 1 destination remote vlan 100

3. Теперь собственно нужно настроить ASW, порт f0/1, на котором находится наш хост с wireshark (ну или для каких-то других целей, voip record, etc).

Так же необходимо создать RSPAN VLAN.

ASW(config)#vlan 100

ASW(config-vlan)#remote-span

ASW(config)#exit

Укажем source vlan (наш rspan vlan)

ASW(config)#monitor session 1 source remote vlan 100

И укажем, порт, куда «сливать» весь трафик.

ASW(config)#monitor session 1 destination interface f0/1

Вот собственно и все, наша задача выполнена.

Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем случае, на 100 мегабитный интерфейс может придти трафика больше чем он сможет обработать, нужно это иметь ввиду и не забывать об этом.

Последняя команда на последок, которая облегчит жизнь администратору

ASW#sh monitor session ?

<1-66>  SPAN session number

all     Show all SPAN sessions

local   Show only Local SPAN sessions

range   Show a range of SPAN sessions in the box

remote  Show only Remote SPAN sessions

ASW#

С помощью нее, можно быстро найти ошибку, которую допустили при конфигурировании, в общем рекомендую 🙂

На этом с SPAN/RSPAN пока все!

See you Later!

 

Просмотров: 16 396

Настройка зеркалирования SPAN и RSPAN на cisco

На многих коммутаторах cisco реализованы технологии SPAN и RSPAN позволяющие зеркалировать траффик с порта на порт или с vlan на порт удаленного коммутатора и т.п.

Port mirroring (Зеркалиирование порта) — процесс копирования пакетов с порта на другой порт в пределах одного или нескольких коммутаторов.

Настройка SPAN на cisco

SPAN (Switch Port Analyzer) — Локальное зеркалирование используется для копирования траффика с порта или vlan на другой порт этого же коммутатора.

Зеркалирование траффика с порта на порт

R(config)# monitor session 1 source interface Gi0/X
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X — порт с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Для зеркалирования только входящего трафиика добавляем в «rx».

R(config)#monitor session 1 source interface f0/34 rx

Для зеркалирования только исходящего трафиика добавляем «tx».

R(config)#monitor session 1 source interface f0/34 rx

Можно зеркалировать траффик с нескольких портов

R(config)# monitor session 1 source interface Gi0/X1
R(config)# monitor session 1 source interface Gi0/X2
...
R(config)# monitor session 1 source interface Gi0/Xn
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X1..Gi0/Xn — порты с которых будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик между портами одного коммутатора.

Для зеркалирования траффика с vlan на порт указываем не интерфейс а влан.

R(config)# monitor session 1 source vlan 100
R(config)# monitor session 1 destination interface Gi0/Y

vlan 100 — номер vlan с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик определенной VLAN на порт коммутатора.

Настройка RSPAN на cisco

RSPAN (Remote Switch Port Analyzer) — Удаленное зеркалирование используется для копирования траффика с порта или vlan на порт удаленного коммутатора.

Рассмотрим пример работы RSPAN. Допустим у нас есть 2 коммутатора (SW1 и SW2) соединеных между собой транковыми портами. Нам требуется передать зеркальный траффик VLAN 50 с коммутатора SW1 на порт Gi0/1 коммутатора SW2 используя RSPAN VLAN 100.

1. Создаем RSPAN VLAN 100 на коммутаторах (SW1 и SW2) в котором будем передавать траффик.

На SW1

SW1(config)#vlan 100
SW1(config-vlan)#remote-span

На SW2

SW2(config)#vlan 100
SW2(config-vlan)#remote-span

2. Создаем сессию мониторинга на коммутаторе SW1

На SW1

SW1(config)#monitor session 1 source vlan 50
SW1(config)#monitor session 1 destination remote vlan 100

vlan 50 — номер vlan который будем зеркалировать

На SW2

SW2(config)#monitor session 1 source remote vlan 100
SW2(config)#monitor session 1 destination interface Gi0/1

Gi0/1 — номер порта в который будет сливаться весь зеркальный траффик.

Таким образом через RSPAN VLAN можно передавать зеркалированный траффик между двумя коммутаторами.

Команды диагностики SPAN и RSPAN

На последок приведу несколько команд для диагностики настроеных monitor session.

1. Просмотр SPAN monitor session

show monitor session local

2. Просмотр RSPAN monitor session

show monitor session remote

3. Просмотр всех настроенных monitor sesion

show monitor session all

На этом все. Комментируем, подписываемся ну и всем пока:)

Руководство по зеркалированию портов на коммутаторах Cisco (SPAN)

SPAN — это анализатор коммутируемых портов, доступный на некоторых коммутаторах Cisco Catalyst. Вы можете использовать SPAN на:

  • Catalyst Express 500/520 Series
  • Катализатор 1900 серии
  • Катализатор серии 2900XL
  • Катализатор 2940 серии
  • Катализатор 2948G-L2, 2948G-GE-TX, 2980G-A
  • Катализатор 2950 серии
  • Катализатор 2955 серии
  • Катализатор 2960 серии
  • Катализатор 2970 серии
  • Catalyst 3500 XL Series
  • Катализатор 3550 серии
  • Катализатор 3560 / 3560E / 3650X Series
  • Катализатор серии 3750 / 3750E / 3750X
  • Catalyst 3750 Metro Series
  • Катализатор 4500/4000 серии
  • Катализатор серии 4900
  • Катализатор серии 5500/5000
  • Катализатор серии 6500/6000

Примечание: процесс установки отличается для каждой модели.

Что такое SPAN?

Функция SPAN позволяет подключить анализатор пакетов к коммутатору. Без SPAN анализатор будет принимать широковещательные сообщения только потому, что коммутатор замыкает канал между двумя взаимодействующими устройствами, блокируя анализатор, подключенный к другому порту. С SPAN, весь трафик, проходящий через порт, реплицируется и отправляется на порт сниффера. Этот процесс известен как «зеркальное отображение».

Система SPAN возможность контролировать один порт или несколько портов. Также возможно определить направление трафика на этот порт. Вариант SPAN, называемый RSPAN (анализатор портов удаленного коммутатора), позволяет вам отслеживать трафик между коммутаторами. Опция RSPAN недоступна на всех коммутаторах Catalyst — коммутаторы Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL не имеют функции RSPAN.

Вы можете настроить SPAN для мониторинга порта VLAN, а также указать, что он должен отслеживать весь трафик VLAN. Немного терминологии необходимо объяснить. Термины «источник» и «место назначения,”, Которые обычно используются в сети, имеют несколько иное значение в SPAN. Здесь «источником» является любой порт, а не источник трафика. Термин «пункт назначения» в SPAN относится к порту, к которому подключен анализатор пакетов; это не означает пункт назначения отслеживаемого трафика.

Настройте SPAN на коммутаторе

Cisco рекомендует различные методы для настройки зеркалирования портов с помощью SPAN в соответствии с версией коммутатора Catalyst. Эти шаги будут просто перенаправлять копии пакетов трафика на порт, к которому вы подключаете ваше устройство. Настройка зеркалирования портов не будет хранить или анализировать трафик. Вы можете использовать любое программное обеспечение для анализа сети для обработки пакетов, отправляемых на ваше устройство..

Настройте SPAN на IOS-коммутаторах

Для этих моделей коммутаторов вам необходимо получить доступ к операционной системе устройства и выполнить команду, чтобы указать порт SPAN и порт для мониторинга. Эта задача реализуется двумя строками команд. Нужно указать источник, это означает, что порт, которому будет реплицироваться трафик, а другой дает номер порта, к которому подключен анализатор — это линия назначения.

монитор сеанса источника [интерфейс | удаленный | vlan] [rx | TX | и то и другое] контролировать целевой интерфейс сеанса

Как только вы закончили определение зеркала, вам нужно нажать CTRL-Z, чтобы завершить определение конфигурации.

Номер сеанса позволяет вам создать несколько разных мониторов, работающих одновременно. Если вы используете тот же номер сеанса в последующей команде, вы отмените исходную трассировку и замените ее новой спецификацией.. Диапазоны портов определяются тире («-»), а последовательность портов разделяется запятыми («,»).

Последний элемент в командной строке для исходного порта (контролируемый порт) — это спецификация того, должен ли коммутатор реплицировать передаваемые пакеты. из этого порта, или в этот порт, или и то и другое.

Настройте SPAN на коммутаторах CatOS

Более новые линейки Catalyst поставляются с более новой операционной системой, называемой CatOS, вместо старой операционной системы IOS. Команды, используемые для настройки зеркалирования SPAN в этих коммутаторах, немного отличаются. С этой операционной системой вы создаете зеркалирование всего одной командой вместо двух.

установить диапазон [rx | tx | оба] [inpkts] [учусь ] [многоадресная рассылка] [фильтр] [Создайте]

Исходные порты определяются первым элементом в этой команде, который является частью «src_mod / src_ports». Второй идентификатор порта в команде автоматически считывается как порт назначения, то есть порт, к которому подключен анализатор пакетов. «RX | TX | и то и другоеЭлемент указывает коммутатору реплицировать передаваемые пакеты из порта, или в порт, или и то и другое.

Существует также команда set span для отключения зеркалирования:

установка диапазона отключена [dest_mod / dest_port | все]

Настройте SPAN на коммутаторах Catalyst Express 500 и Catalyst Express 520

Если у вас есть коммутатор Catalyst Express 500 или Catalyst Express 520, вы не вводите настройки SPAN в операционной системе. Для связи с коммутатором и изменения его настроек необходимо установить Cisco Network Assistant (CNA). Это программное обеспечение для управления сетью является бесплатным и работает в среде Windows. Выполните следующие действия, чтобы активировать SPAN на коммутаторе..

  1. Войдите в коммутатор через интерфейс CNA.
  2. Выберите Smartports вариант в CNA меню. Это отобразит графику, представляющую массив портов коммутатора.
  3. Нажмите на порт, к которому вы хотите подключить анализатор пакетов, и выберите Изменить вариант. Это покажет всплывающее окно.
  4. Выбрать диагностика в Роль список и выберите порт, который будет отслеживать трафик из Источник раскрывающийся список. Если вы хотите специально контролировать VLAN, выберите его из Входная VLAN список. Если вы не хотите просто отслеживать трафик для VLAN, оставьте это значение по умолчанию. Нажмите на Ok сохранить настройки.
  5. Нажмите на Ok а потом Подать заявление в Smartports экран.
  6. Одна проблема с методом CNA состоит в том, что программное обеспечение работает только на версиях Windows до Windows 7.

Мониторинг сетевого трафика

Определение порта SPAN на вашем коммутаторе — это только половина задачи захвата сетевого трафика. Процедуры, описанные выше, будут реплицировать пакеты и отправлять их на определенный порт коммутатора. Затем вам нужно подключить компьютер к этому порту и установить на него программное обеспечение для анализа трафика, чтобы хранить и анализировать эти пакеты..

Вы можете узнать больше о программном обеспечении для анализа трафика в статье 9 лучших анализаторов пакетов и сетевых анализаторов на 2018 год. Вы также должны знать, что обширное зеркалирование портов может генерировать много данных, которые займут пространство памяти, поэтому постарайтесь быть избирательным в отношении портов, которые вы отслеживаете, и не позволяйте процессу захвата пакетов выполняться слишком долго.

Системы мониторинга трафика Cisco

Полный захват и хранение пакетов может привести к проблемам с конфиденциальностью данных. Хотя большая часть трафика, проходящего по вашей сети, будет зашифрована, если он предназначен для внешних сайтов, не весь внутренний трафик будет зашифрован. Если ваша организация не решила внедрить дополнительную защиту электронной почты, почтовый трафик в вашей сети не будет зашифрован по умолчанию..

В качестве альтернативного метода анализа трафика вы можете рассмотреть возможность использования NetFlow. Это система обмена сообщениями, которая включена на всех устройствах Cisco и будет перенаправлять только заголовки пакетов на центральный монитор. Вы можете прочитать о сетевых мониторах, которые собирают данные NetFlow в статье 10 лучших бесплатных и премиальных анализаторов и сборщиков NetFlow.

Как только вы получите всю информацию о всех возможностях мониторинга трафика коммутаторов Cisco, вы сможете лучше определить, какой метод захвата пакетов использовать..

Sorry! The Author has not filled his profile.

Port mirroring в Cisco Catalyst

Есть задача: проанализировать трафик для определенного сетевого устройства. При этом доступа на это устройство у нас нет, либо анализ сильно затруднен даже если такой доступ есть. Зато если имеется доступ на коммутатор, к которому это устройство подключено, то можно организовать зеркалирование (mirroring) трафика с порта, куда включено исследуемое устройство, на другой порт, куда мы можем подключить, к примеру, ноутбук с анализатором трафика (сниффером) таким как tcpdump или wireshark. В Cisco это называется SPAN (Switched Port Analyser). Пусть, для примера, анализируемое устройство подключено к 1-му порту коммутатора, а наш ноутбук – во 2-ой порт. Тогда для коммутаторов серий Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 и 3750-E конфигурация будет выглядеть так:

Switch>configure terminal
Switch(config)#monitor session 1 source interface Fa0/1
Switch(config)#monitor session 1 destination interface Fa0/2
Switch(config)#^Z

В результате весь трафик с 1-го порта можно будет увидеть на 2-ом порту, как будто у нас не коммутатор, а старый добрый хаб (концентратор). Просмотр конфигурации:

Switch#show monitor session 1
Session 1
Source Ports:
    RX Only:       None
        TX Only:       None
        Both:          Fa0/1
Destination Ports: Fa0/2

Особенности и ограничения:

  • Коммутаторы Catalyst 2950 позволяют иметь только одну активную SPAN-сессию и могут зеркалировать только порты (но не VLAN-ы).
  • Коммутаторы Catalyst 3550, 3560, 3750 поддерживают до двух одновременных SPAN-сессий и могут зеркалировать как порты, так и VLAN-ы.
  • Коммутаторы Catalyst 3750 поддерживают размещение source- и destination-портов на любых компонентах стека.
  • Разрешён только один destination-порт на одну SPAN-сессию, и один и тот же порт не может быть destination-портом для нескольких SPAN-сессий.
  • На сниффере в описанной выше конфигурации невозможно увидеть некорректные фреймы, которые возникли на участке от устройства, подключенного в Fa0/1, до коммутатора, поскольку коммутатор отбросит такие фреймы после того, как они попадут на ingress порт (Fa0/1), не будет сохранять их в буфере и они не дойдут до порта Fa0/2. Если есть подозрение, что устройство, подключенное к Fa0/1, формирует некорректные фреймы, то сниффер и это устройство должны быть подключены к хабу, а не к коммутатору, так как хаб не выполняет никаких проверок на наличие ошибок.

Posted in Cisco.

Tagged with Cisco.

By Admin – 14.09.2009

В архитектуре Cisco Nexus 752 внимание к зеркалированию трафика (функция SPAN) — что вы должны знать (3)

Текущая архитектура Cisco Nexus 752 очень распространена в центрах обработки данных. Обеспечиваемые им функции VPC еще больше повышают надежность и доступность сети центра обработки данных. Соответствующее содержание vpc было в процессе подготовки.

Обладая преимуществами, которые дает архитектура 752., сложность архитектуры также привела к определенным трудностям при поиске и устранении неисправностей в центре обработки данных. В этой статье основное внимание уделяется методам зеркалирования трафика и вопросам, требующим внимания. Связанная информация в этой статье относится к следующему:

https://content.cisco.com/chapter.sjsuri=%2Fsearchable%2Fchapter%2Fcontent%2Fen%2Fus%2Ftd%2Fdocs%2Fswitches%2Fdatacenter%2Fnexus5500%2Fsw%2Fsystem_management%2F7x%2Fb_5500_System_Mgmt_Config_7x%2Fconfiguring_span.html.xml&query=monitor

Топология показана на рисунке выше. Сервер имеет два сетевых адаптера и режим AS. 2K двойной восходящей линии связи два 5K, в этой статье кратко описан метод конфигурации локального зеркалирования.

###############################################################################################

Мы знаем, что зеркалирование трафика, Switched PortAnalyzer — SPAN, копирует трафик с исходного порта на порт назначения. Что касается порта источника и порта назначения, существуют определенные ограничения в архитектуре 752.

Настройте диапазон на 5K. Порт источника поддерживает интерфейс Ethernet, интерфейс FC, интерфейс vFC, порт-канал, порт-канал San, VSAN и VLAN в качестве источника. Что делает vlan и vsan источниками SPAN, фактически все интерфейсы, которые поддерживают эти параметры, используются в качестве источника диапазона. Вы можете настроить трафик Span для захвата входящего, исходящего или всего трафика на интерфейсах, таких как интерфейс Ethernet, интерфейс FC и интерфейс vFC, в качестве источников SPAN. (Однако интерфейс FC и интерфейс VSAN не могут быть настроены для захвата трафика в направлении, которое несовместимо).

О характеристиках исходного интерфейса

  1. Исходный порт не может быть одновременно целевым интерфейсом
  2. При использовании VLAN и VSAN в качестве источников SPAN будет захватываться только входящий трафик.
  3. Может быть разные vlan и VSAN.

Стоит также отметить

  1. Если некоторые интерфейсы fex являются частью сеанса SPAN, остальные интерфейсы fex не могут стать частью другого диапазона
  2. Максимальное количество исходных интерфейсов в каждом сеансе диапазона составляет 128 интерфейсов.
  3. Серия Nexus 5000 и серия Nexus 5500 поддерживают до 4 сеансов
  4. Nexus 5600 и Nexus 6000, поддержка до 16 сеансов

Устройства Cisco nexus поддерживают интерфейсы Ethernet и FC в качестве адресов назначения SPAN.

Поскольку Cisco NX-OS версии 7.2 (0) N1 (1), HIF и жизненно важные порты Ethernet поддерживаются в качестве интерфейсов назначения для SPAN.

Source SPAN

Dest SPAN

Ethernet

Ethernet

Fibre Channel

Fibre Channel

Fibre Channel

Ethernet (FCoE)

Virtual Fibre Channel

Fibre Channel

Virtual Fibre Channel

Ethernet (FCoE)

Также стоит отметить, что каждый сеанс локального диапазона должен иметь порт назначения для получения реплицированного трафика от портов, vsan и vlan.

Порт назначения имеет следующие характеристики

  1. Это может быть любой физический интерфейс, но он не может быть исходным интерфейсом.
  2. Исходный интерфейс не может.
  3. Невозможно создать порт-канал или порт-канал san
  4. Когда сеанс span активен, он не может участвовать в вычислении связующего дерева.
  5. Он не может быть интерфейсом источника и не может быть частью исходного vlan или любого источника сеанса span.
  6. Особенно стоит отметить, что интерфейс -fex не может! ! !

Кроме того, SPAN поддерживает висячие ACL-списки. Есть также некоторые моменты, которые требуют внимания. Это не является предметом данной статьи и не будет в настоящее время расширено.

В то же время SPAN также имеет две функции: SPAN ON Drop и SPAN-on_Latency и не расширяется.

1. Об ограничении скорости трафика

swichport monitor rate-limit interface

Не применяется на устройствах Nexus 5500. Ограничение скорости ограничено расположением порта источника пролета, что также позволяет избежать жесткого рабочего трафика. Диапазон ограничен 5 Гбит / с на 8 интерфейсах. В то же время, когда трафик порта превышает 5G, скорость SPAN в направлении приема ограничивается 0,71 Гбит / с. Эту точку необходимо учитывать при большом трафике сканирования. В то же время обратите внимание на возможности однорангового устройства для целей зеркалирования.

2. Когда вы конфигурируете более двух сеансов монитора промежутка, первые два, которые были первоначально запущены после перезапуска, будут закрыты, а последние два будут активированы. Например, если вы потеряете 10 сеансов, активны 1 и 2. После перезапуска станут активными 9 и 10. Чтобы избежать этого, вам нужно вручную отключить от 3 до 10 сеансов minitos.

3. Одно и то же направление одного и того же интерфейса может быть только в одном сеансе мониторинга.

4, разговор о порте назначения диапазона, подключенном к коммутатору, не поддерживается

5. SPAN не поддерживается в интерфейсе управления.

######################################################################################

Давайте посмотрим на конкретную конфигурацию SPAN:

switch# configure terminal

switch(config)# interface ethernet100/1/24

switch(config-if)# switchport monitor

switch(config-if)# exit

switch(config)# monitor session 1

switch(config-monitor)# destination interface ethernet100/1/24

switch(config-monitor)# source interface ethernet 1/16 both

switch (config-monitor)# no shutdown

 

В архитектуре 752 рассматривается общий сценарий захвата пакета. Обычно мы собираем пакеты на сетевых устройствах, чтобы определить, поступили ли пакеты данных и были ли они потеряны. В архитектуре 752 2K используется в качестве коммутатора доступа, подключенного к серверу. Поэтому существует много сценариев, в которых 2K используется в качестве исходного порта SPAN.

Однако в этом случае из-за характеристик 2К через VPC, двойной восходящей линии связи до 5К, путь передачи его пакетов данных не является фиксированным, и 2К используется в качестве карты удаленного офиса 5К. SPAN сконфигурирован на 2 5K 2K двойных восходящих каналах для зеркалирования трафика. В то же время, поскольку упомянутый выше интерфейс FEX нельзя использовать в качестве интерфейса назначения SPAN, для полного зеркалирования трафика одного интерфейса на одном 2K необходимо захватывать пакеты на обоих 5K. Как показано ниже:

Только тогда полный трафик репликации от одного интерфейса N2K может быть получен на двух ПК.

Поскольку пакеты захватываются отдельно на двух компьютерах, два независимых файла захвата пакетов не способствуют нашему анализу связанных данных.В этом случае вы можете рассмотреть возможность использования оборудования TAP для суммирования трафика. Документ захвата пакета обеспечит большое удобство для нашего будущего анализа захвата пакета.

Среди них, если вам нужно зеркалировать на 7К, есть и другие моменты внимания, эта статья будет обновлена ​​позже.

В то же время, хотя устройства Nexus поддерживают захват локального трафика, то есть ethanalyzer, этот метод может использоваться только для захвата трафика, который необходимо пересылать через ЦП, и не может охватывать большинство сценариев зеркального отображения трафика.

Что зеркалирование портов? — Код мира

Зеркальное эффект просто положить, это должно отражаться на мониторинг трафика монитор порта, для того, чтобы найти неисправность контролируемого трафика, анализ трафика, трафика резервного копирования, мониторинга порт подключен к хосту мониторинга в целом обычный и так далее.

IIS7 добиться изменений и сервер запросов портов под целевым наблюдением окружающей среды.

Для того, чтобы облегчить прохождение одного или нескольких сетевых интерфейсов (NIC) выполняется анализ, может быть направлен на один или несколько портов (VLAN) к порту данных с помощью конфигурации модема или маршрутизатора поменять местами, то есть, порт зеркального отображения, быть достигнуто мониторинг сети.

Для того, чтобы контролировать все пакеты из сети для размещения сервера управления мониторингом программного обеспечения для извлечения данных, таких как интернет-кафе должны предоставить эти данные об эффективности полиции односторонний обзора. Для корпоративной информационной безопасности, необходимости защиты секретов компании, но и насущная необходимости иметь сетевой порт для обеспечения мониторинга в реальное время этого эффекта. В предприятии с зеркалированием портов эффекта, это может быть хорошо для данных в рамках мониторинга и управления корпоративной сети, когда сеть не удается, место повреждения может быть сделано хорошо.

(Примечание: коммутатор полностью аналогичен дублированный кадр данных, отправленный или нарисованного порт к другому порту; в котором дублированный порт упоминаются как порт источника, порт называется копией зеркального отображения портого назначения.)

классификация

Учетные зеркалирование портов разные критерии классификации, зеркало не тот же тип. Пробации полномочие зеркального режим порта, соответственно, порт зеркалирования разделить на следующие три типа:

 进口镜像:只对从该端口进入的流量进行镜像。

 出口镜像:只对该端口的发出的流量进行镜像。

 双向镜像:支持对该端口收到和发出的双向流量进行镜像。

Полномочия зеркального эффект, соответственно, порт зеркальное отображение разделено на два типа:

Traffic Mirroring: Если ACL настроен на порт и включен, то есть трафик зеркального отображения. Зеркальное поток только через приобретение фильтрации пакетов данных ACL, зеркалирование портов или думают, что это чисто. ACL для сбора данных трафика, поддержки в направлении порта (к, и в двух направлений три вида) связывания стандартного списка посещений и расширить список посещений.

Чистый порт зеркалирование: трафик в и из порта зеркального отображения.

Зеркальное учетные данные ограничения были вещи, порт зеркалирование делятся на два типа:

本地镜像:源端口和目标端口在同一个路由器上。

远端镜像:源端口和目标端口分布在不同的路由器上,镜像流量经过某种封装,实现跨路由器传输。

Создание основы

Конфигурация порта передач монитор CATALYST переключатель Cisco

Cisco CATALYST переключатель передачи разделена на две частях, сказал порт прослушивания для выяснения порта (порт анализа) в CATALYST семье.

1, Катализатор 2900XL / 3500XL / 2950 серии конфигурации коммутатора порт монитора (CLI основе)

Следующая команда для настройки порта прослушивания:

порт монитора

Например, F0 / 1 и F0 / 2, F0 / 3 принадлежат VLAN1, F0 / 1 прослушивания 2, F0 / порты F0 / 3:

Интерфейс FastEthernet0 / 1

Порт монитора FastEthernet0 / 2

Порт монитора FastEthernet0 / 3

порт монитора VLAN1

2, Catalyst 4000,5000 и 6000 машин серии являются взаимозаменяемыми конфигурации портов монитора (на основе IOS)

Следующая команда для настройки порта прослушивания:

установленный диапазон

Например, модуль порт 1 и порт 2 принадлежат к VLAN1, vlan2 порт 3, порт 4, и 5 в VLAN2, слушающий порт 1 и порт 2 3,4,5,

установленный диапазон 1 / 1,1 / 3-5 1/2

2950/3550/3750

Формат выглядит следующим образом:

#monitor номер сеанса исходного интерфейс mod_number / номер_порт и

#monitor интерфейс номер сеанса назначения mod_mnumber / номер_порта

// гх -> указывает на то, что потребление потока порта, ТХ -> из порта трафика, как в и из трафика

например:

Первое зеркало, порт источника в первом модуле является зеркальным отображением к верхнему порту 12 1-10;

#monitor сессия 1 интерфейс источника 1 / 1-10 как

#monitor сеанс интерфейс 1 назначение 1/12

Второе зеркало, порт источника второго модуля 13-20 к порту 24 верхнего зеркала;

#monitor сессия 2 Источник интерфейса 2 / 13-20 как

#monitor сеанс интерфейс 2 пункта назначения 2/24

Отличающееся тем, что параметры могут измениться, когда множество зеркал, множество модулей.

Catalyst 2950 3550 не поддерживает монитор порта

C2950 терминал # Configure

C2950 (конфигурации) #

C2950 (конфигурация) #monitor интерфейс источника сеанс 1 FastEthernet 0/2

! — метрономы Интерфейс 0/2 сконфигурирован в качестве порта источника.

C2950 (конфигурация) #monitor интерфейс назначения сеанс 1 FastEthernet 0/3

! — Интерфейс fa0 / 3 сконфигурирован как порт назначения.

команда конфигурации

  1. Определяет разъяснение рта

Функция rovingAnalysis добавить или инициалов Фра,

Например:

Выберите пункт меню: функция rovingAn alysis добавить

Выбор слота анализ: 1 & NBSP;?

Выберите порт анализа: 2

  1. Укажите номер порта слушателя и начать слушать порт

Функция rovingAnalysis начало, или сокращенно пт STA,

Например:

Выберите пункт меню: функция rovingAn старт alysis

Выбор слота для контроля (1-12): 1

Выберите порт для мониторинга & NB зр; (1-8): 3

  1. Остановить порт прослушивания

Функция rovingAnalysis остановка, или сокращенно фр STO

Общие настройки

Intel говорит, монитор порта «Зеркальные порты». Сетевой трафик контролируется порт, называемый «портом источника» (Source Port), соединяющим здание слушающего порта под названием «Зеркало порт» (Mirror Port).

Настройка шагов мониторинга портов:

  1. В меню навигации, Зеркальные порты на замковую статистике, всплывающее зеркало портов информации.

  2. Щелкните столбец Настройка источника порта, чтобы выбрать порт источника, всплывающее зеркало Ports Configuration.

  3. Выполните настройки портов источника: Source Port является портом источника трафика зеркального отображения, зеркалирование портов рот нарисован от трафика порта источника, нажмите кнопку Применить OK.

Вы можете контролировать выбранные три вида способов:

1. Непрерывный (Всегда): весь трафик зеркального отображения.

2. Период (периодический): зеркальное отображение всех потоков в данный период. Периодическая зеркала расположены в конфигурации интервала выборки.

3. Запрещение (Disabled): закрыто трафика зеркального отображения.

В руководстве Avaya замены жестких дисков пользователя, порт мониторинга называется «Port Mirroring» (Port Mirror).

Следующая команда для настройки порта прослушивания:

{Набор | ясно} Port Mirror

? 设置 端口 侦 听: установить порт зеркало <мод-порт-диапазон> Источник-порт <мод-порт-диапазон> зеркально-порт <мод-порт-спецификации> выборки {всегда | отключить | периодические} [макс-пакеты-втор <макс-пакеты-втор-значение> & NBSP;?] [контрейлерный-порт <мод-порт-спецификация>] & NB SP;

Запрещать порт мониторинга: четкое зеркало порта <обр-порт-диапазон>

Команда, ограничение мод-порт диапазон указанный порт; моды-порт-спецификация конкретного порта; контрейлерная-порт, назначенный порт двусторонний зеркала; отбор пробы, обозначенный зеркальный цикл; макс-пакеты-втор используется только, когда периодический отбор проб, расположенные количество пакетов в секунду до указанного порта прослушивания.

ручной, порт мониторинга Huawei замены жестких дисков пользователя называется «Port Mirroring» (Port Mirroring).

Использование Huawei Lanswitch Просмотр системы управления, чтобы добавить зеркальный порт:

● или Настройка устройства Настройка стека.

● Нажмите кнопку Port Mirroring.

● Нажмите кнопку Добавить.

● Для стека, нажмите переключатель и выберите из списка свопа.

● Нажмите кнопку Reflect от порта и трафик будет зеркально выбран.

● Нажмите кнопку Отразить выбрать и выше выбранного порта.

cниффинг трафика с роутера/свича, обход IP Source Routing, атаки на роутеры через NAT-PMP — «Хакер»

Содержание статьи

 

Снифим трафик с роутера Cisco

Продолжим тему, которая не влезла полностью в прошлый выпуск нашего хакбука :). Тогда мы обсуждали тему постэксплуатации в случае захвата контроля над Cisco роутером или свичем, а конкретнее — возможность снифа трафика, проходящего через сетевой девайс. Ведь у нас получается реальный man-in-the-middle, так как трафик естественным образом проходит через устройство.

В тот раз мы использовали фичу роутера Embedded Packet Capture, которая позволяла нам сохранять пакеты. Способ это действенный и гибкий (можно тонко настроить, что снифать), но имеет большой недостаток для нас — объем памяти девайса. Насколько мне нагуглилось, это в среднем от 128 Мб до 2–4 Гб. Для целей тестирования при точном фильтре этого может и хватить, но для «боевых условий» уже вряд ли. Для решения этой проблемы мы можем использовать другую фичу — зеркалирование трафика (port mirroring, port monitoring), когда весь трафик, приходящий на один сетевой интерфейс оборудования, в неизмененном виде отправляется на другой порт.

Изначально эта возможность идет от свичей (у которых портов обычно много), но это организовать можно и на роутере (даже если у него один физический порт), перекидывая трафик в какой-то VLAN например. При этом роутер оставляет данные IP-уровня и выше в неизменном виде, а вот данные канального уровня меняет, так как должен указать MAC-адрес устройства, которое уже будет «принимать» трафик.

Итак, как же нам это реализовать на практике? Возможность эта в роутерах Cisco называется IP Traffic export и доступна с версии IOS 12.3(4)T. Для ее реализации нам потребуется такая последовательность команд:

Входим в конфигурационный режим:

Conf term

Создаем профиль с именем TestFF для экспорта трафика:

ip traffic-export profile TestFF mode export

Указываем, какой трафик экспортировать (весь — bidirectianal, входящий, исходящий):

Bidirectional

Далее — интерфейс, куда экспортируем:

interface fastEthernet 0/0

И последнее, что нужно для профиля, — MAC-адрес устройства, куда отправлять трафик:

mac-address 5427.1E0C.45B1

Выходим из конфигурации профиля:

Exit

Задаем, на каких интерфейсах мы хотим слушать трафик, следующими двумя командам. Сначала выбираем интерфейс:

interface fastEthernet 1/0

Назначаем созданный профиль:

ip traffic-export apply TestFF

В примере мы весь трафик с интерфейса fastEthernet 1/0 перекидываем на fastEthernet 0/0. При этом наш хост, где мы уже фактически будем снифать трафик, может быть не напрямую подсоединен к fastEthernet 0/0, а через свичи, то есть главное — быть в одном сетевом сегменте. Достигается это за счет того, что роутер как раз подменяет канальный уровень, указывая в поле назначения наш MAC-адрес, который уже нормально обрабатывают промежуточные свичи. В качестве MAC-адреса отправителя роутер указывает свой (выходного интерфейса).

Чтобы остановить сниф, необходимо повторить последние две команды в режиме конфигурации, но уже с отключением экспорта (надо добавить no в начале):

interface fastEthernet 1/0
no ip traffic-export apply TestFF

Посмотреть статистику по экспорту можно командой

show ip traffic-export

Кроме того, этой же возможностью, IP Traffic export, можно экспортировать трафик в NVRAM роутера, то есть аналогично EPC.

И в конце хочу предупредить, что с этим способом необходимо быть осторожнее, так как, во-первых, экспорт затрачивает некоторое количество ресурсов CPU у роутера, а во-вторых, если мы будем экспортировать весь трафик с гигабитного интерфейса на 100-мегабитный, то может возникнуть коллапс :).

Пример конфига при экспорте трафика с FF 1/0 на FF 0/0

 

Снифим трафик с Cisco-свича

Теперь немножко о свичах. Как было уже сказано, зеркалирование трафика — это возможность, изначально свойственная именно свичам. Официальное название — SPAN (Switched Port Analyzer). Но здесь, хотя суть та же (трафик с одного интерфейса перекидывается на другой), реализуется это иначе. Свич не производит никаких подмен значений заголовков ни канального, ни сетевого, ни других уровней в пакетах. Они в неизмененном виде копируются на еще один сетевой интерфейс.

В SPAN есть два основных термина: source — интерфейсы, откуда копируется трафик, и destination — куда копируется трафик.

Реализуется это такой последовательностью:

Входим в конфигурационный режим:

Conf term

Указываем, какой откуда трафик прослушивать:

monitor session 1 source interface fastethernet 0/1

Указываем, куда его пересылать:

monitor session 1 destination interface fastethernet 0/0

Здесь также указан номер сессии. Он используется для группировки source и destination, что позволяет нам прослушивать сразу несколько портов.

Вполне просто, согласись?

Но метод этот имеет несколько ограничений. Во-первых, необходимо быть физически подключенным к свичу, что не всегда возможно. Во-вторых, интерфейс, указанный как destination, перестает работать как обычный порт, то есть обрабатывать входящий / исходящий от нас легитимный трафик. И если мы захватили контроль над ним через SSH например, то включи мы зеркалирование трафика на интерфейс — сразу потеряем контроль. Хотя надо признаться, что из-за отсутствия достойного свича проверить второй пункт нет возможности.

В любом случае решением обеих проблем может быть технология RSPAN (Remote SPAN) или ERSPAN (Encapsulated Remote SPAN). Первая из них позволяет копировать весь трафик в специальный VLAN (то есть мы уже можем быть в одном сетевом сегменте, а не подключенными напрямую). Вторая за счет инкапсуляции трафика позволяет передавать данные и между сетями (L3). Ни с той, ни с другой я дел не имел, так что если поломаешь какой-то свич и получится что-то заюзать, то буду рад услышать :).

Кстати, последние несколько номеров мы обсуждали различные атаки на Cisco-девайсы, так что если хочешь поиграться/потестировать их, то можно это сделать, даже не обладая реальным устройством. Все, что тебе понадобится, — это тулза GNS3, представляющая собой эмулятор для некоторых версий роутеров цисочек, а также файрволов (ASA, PIX). Она бесплатная, так что нужно лишь найти прошивок (в Гугле).

 

Обходим ограничения с IP Source Routing

Существует достаточно интересная сетевая атака, которая позволяет нам обходить различные ограничения. Например, фильтрацию по IP-адресу для доступа к какому-то хосту. Основная ее фишка заключается в том, что она основана на «естественном поведении» хостов, которое вытекает из стандарта TCP/IP (RFC791). То есть это не проблема конкретной имплементации или проблема дизайна, а иное использование вполне безопасной с виду возможности — IP Source Routing. А мы такое ведь очень любим! К сожалению, скажу сразу, что атаку эту мало где можно сейчас применить, так как в большинстве ОС IP Source Routing отключено по умолчанию.

Но обо всем по порядку. Есть протокол IP, и изначально в него как раз была добавлена эта возможность (Source Routing). Суть ее заключается в том, что хост — отправитель пакета имеет возможность в заголовках IP-датаграммы указать, через какие хопы (конечные хосты, сетевое оборудование) этот пакет и ответ на него должны пройти. Да-да, мы можем указывать перечень устройств в пути пакета, то есть мы как бы «маршрутизируем» его.

Причем различаются два вида Source Routing: Strict и Loose. Первый — точное указание последовательности хостов (именно и только через них должен пройти пакет), второй — просто перечень хостов, через которые пакет должен пройти, то есть между этими хостами могут быть какие-то еще. Первый вид «изначально» практически не использовался, а вот второй до сих пор номинально жив. Максимальное количество хопов — девять. Практически эта возможность была задумана во многом для тестирования проблем в сети, чтобы мы со своего хоста могли проверить различные маршруты.

Окей, а теперь посмотрим на примерчике (взятом с www.enclaveforensics.com), как же мы можем это использовать в своих целях (см. скриншот).

Подключаемся к Alice от имени Bob’а

Итак, у нас есть (упрощенно): Alice и Bob, у которых «доверительные» отношения. Например, c IP Bob’а можно без аутентификации подключаться по Telnet’у к Alice. Есть Ivan — просто хост в сети (принтер, сетевой девайс), у которого есть доступ в сеть Bob и Alice. Мы — Eddie и наш роутер — Lynksys (который на деле не очень и нужен). Задача — подключиться к Alice от IP Bob’а, в обход ограничений на доступ из нашей сети.

Как я думаю, ясно, по сути, мы можем указать IP Bob’a и отправить пакет Alice, но проблема в том, что Telnet — это TCP, а значит, «трехступенчатое рукопожатие», и значит, что Alice напрямую ответит Bob’у и подключения мы не получим. А вот с использованием Loose Source Routing — сможем. Для этого мы делаем такую последовательность:

  1. Отправляем пакет Alice с указанием в IP отправителя — Bob’а, а также IP-адреса Lynksys’а и Ivan’a в Source Routing.
  2. Пакет проходит через Lynsys, а потом через Ivan’a. При этом пакет обходит ограничения, которые наложены на нас
  3. Alice получает наш SYN-пакет, отвечает на него как для Bob’а, но так как у входящего пакета стоит Source Routing, то отвечает Bob’у с тем же списком. То есть пакет к Bob’у должен пройти опять через Ivan’а и наш LynkSys.
  4. И все бы дошло до Bob’а, да на нашем LynkSys’е мы пакет пересылаем на наш хост.

Таким образом, Alice отвечает Bob’у, а так как пакет для этого должен пройти через нас, то мы имеем возможность «поздороваться по TCP-шному» и получить такой для нас желанный безаутентификационный доступ на Alice.

Если же говорить о практической стороне, то попробовать ты можешь, используя тулзу ncat (которая идет в комплекте с nmap). Тебе понадобится параметр –g. Пример смотри на картинке (необходимо насильно указывать протокол IPv4, так что 4 тоже в параметрах).

Как уже писалось, современные стационарные ОС и сетевое оборудование по умолчанию отбрасывают такие пакеты. Но вроде старые цисочки, SOHO-роутеры, embedded-девайсы и всякие штуки типа сетевых принтеров все еще могут поддерживать IP Source Routing.

TCP-SYN на yandex.ru c LSR через два хоста

 

Сравниваем папки и файлы в Meld

Давай притворимся, что это раздел X-Tools :).

Когда исследуешь что-то, то систематически возникают задачки либо сравнить две почти одинаковые директории, либо выявить разницу в нескольких версиях файла. Совсем типичный пример — сравнение исходников уязвимой и пропатченной версии какого-то ПО. Ведь если узнаем, что было изменено, то сможем и создать эксплойт.

Сравниваем директории. В один клик сравниваем измененные файлы

Конечно, есть профессионально заточенные тулзы для данных дел, да и во многих nix’ах изначально есть «встроенные» возможности. Но меня недавно познакомили с отличной тулзой, и я бы хотел этим поделиться. Название ее — Meld.

К ее достоинствам можно отнести кросс-платформенность (написана она на Python и GTK) и с приятным простым интерфейсом. Что и надо для первичного поверхностного анализа.

Сравниваем два файла. Изменения красиво подсвечены 🙂

 

Атакуем роутеры через NAT-PMP

И еще одна задачка про сети и сетевые атаки. Да-да! А то все веб да веб.

Относительно недавно появилась (стандартом стала вроде в 2013 году) новая технология — NAT PMP (NAT Port Mapping Protocol). Если в общем, то она используется для автоматического проброса портов, в основном на SOHO-роутерах. Казалось бы, кто ей будет пользоваться? Ан нет, продвигает ее компания Apple, и это как бы говорит нам о том, что поддержка будет только расти. А потому умение «ломать» такие девайсы представляет приличный интерес, особенно оттого, что уязвимости, связанные с NAT-PMP, в основном конфигурационные (а значит, вряд ли будут «пропатчены»).

Но что-то я разошелся. Давай по порядку и с начала.

Вот есть весь диапазон IPv4-адресов. Он меньше, чем общее количество всех сетевых устройств. Да даже если бы и выдать каждому по одному — это была бы неуправляемая каша. Поэтому достаточно давно выделили ряд диапазонов приватных/«серых» IP-адресов. Обычные же адреса называются публичными/«белыми».

Теперь представим себе, что ты сидишь дома с ноутом и смартфоном, у тебя есть Wi-Fi-роутер, все подключено к интернету. Представим, что у Wi-Fi-роутера есть «белый» IP (66.55.44.33), который ему назначил твой провайдер. Твой же ноут имеет IP-адрес из приватной сети, 192.168.0.123 например, а смартфон — 192.168.0.56. И ты хочешь подключиться к хосту 8.8.8.8 (белый IP). Но подключиться «напрямую» со своего серого IP не получится, 8.8.8.8 не сумеет отправить тебе ответ. Но ты же можешь отправить пакет через свой роутер (у него-то есть белый IP, и пакет вернется от 8.8.8.8 к нему). Но как же сделать, чтобы мы отправили пакет через роутер от IP роутера и при этом ответ бы пришел через роутер к нам? И здесь нам поможет NAT (Network Address Translation). Вообще, есть несколько видов NAT’а, но мы коснемся только конфигурации many-to-one (самой распространенной).

Итак, когда ты с ноута отправляешь запрос на 8.8.8.8, роутер получает Наш пакет (так как он стоит шлюзом по умолчанию у тебя на ноуте), видит, что запрос идет во внешнюю сеть, после через начинается процесс NAT’а:

  1. Роутер запоминает, с какого IP-адреса (192.168.0.123) и порта (1234) пришел запрос от тебя.
  2. Меняет в твоем пакете IP-адрес отправителя на свой публичный (66.55.44.33) и порт отправителя на свой незанятый внешний порт (5678).
  3. Запоминает это соотношение: 192.168.0.123:1234 = 66.55.44.33:5678
  4. Получив ответ от 8.8.8.8, роутер проверяет порт (5678), на который пришел запрос, и видит, что это соотношение сохранено у него.
  5. Роутер проводит обратное изменение: в IP-адрес назначения указывает 192.168.0.123, а в порт — 1234 и отправляет пакет на ноут.

Таким образом, для твоего ноута эти преобразования остаются незамеченными.

При этом твой смартфон также может ходить в интернет, и последовательность преобразований будет такой же. Разница лишь в том, что роутер выделит другой внешний порт для подключения со смартфона. То есть NAT-таблица будет выглядеть примерно так:

192.168.0.56:5555 = 66.55.44.33:5677
192.168.0.123:1234 = 66.55.44.33:5678

В зависимости от порта, куда придет пакет с ответом, он будет переслан на тот или иной хост. Кстати, именно поэтому такой вид NAT’а называется еще Port Address Translation. Все вполне просто.

Но NAT решает одну проблему — подключение из серого диапазона в белый. Снаружи (из интернета) практически нет возможности подключиться к какому-то сервису на твоем ноутбуке. Решение этой задачи — проброс портов. Мы можем указать на роутере, что все подключения, приходящие на 66.55.44.33 на порт 7777, должны быть перекинуты на веб-сервер на ноуте 192.168.0.123:80. При этом роутер выполняет почти аналогичную операцию: подменяет в пакете IP назначения со своего внешнего на 192.168.0.123 и порт назначения с 7777 на 80. Ответные пакеты от нашего веб-сервера подвергаются обратному изменению.

Окей. Проброс портов — отличное решение. И я думаю, все современные роутеры позволяют настраивать его ручками через админку. Но полагаю, среднестатистический пользователь вряд ли знает, что такое порт или где у роутера админка. С другой стороны, многие сервисы, типа файлообмена или игр, требуют возможности внешних подключений.

Решением будет автоматический проброс портов, когда приложение на твоем ноуте само попросит роутер пробросить для него такой-то порт и роутер выполнит его желание. Для этого может быть использован протокол (точнее, набор протоколов) UPnP. Там есть расширение Internet Gateway Device (IGD), которое создано специально для управления пробросом портов.

Не знаю, с чем точно были связаны потребности Apple в новом протоколе для замены UPnP IGD. Возможно, дело в том, что он был чересчур универсальный, а потому очень толстый (настройка происходит через три подключения к различным портам). К тому же в нем были найдены пучки уязвимостей (переполняшки), о чем тут некогда писалось. Но в любом случае Apple создала новый протокол и поддерживает его в большинстве своих современных продуктов (насколько мне известно).

Главная его черта — простота. Используется UPD-порт 5351 для общения. Протокол бинарный. Никакой аутентификации не предусмотрено. И содержит, по сути, две команды (на деле чуть больше): пробрасывай данные с такого-то порта на такой-то хост и порт, скажи свой внешний IP-адрес.

Примерный, упрощенный алгоритм такой:

  1. Приложение ноута отправляет запрос на роутер «Пробрасывай TCP-порт 80 с внешнего интерфейса на 192.168.0.123 на 80».
  2. Если внешний порт 80 не занят, то роутер ответит, что данные будут пересылаться с 80-го порта на 192.168.0.123 на 80.
  3. Если внешний порт 80 занят, то роутер подставит какой-то свободный порт и ответит, что данные будут пересылаться с 4444-го порта на 192.168.0.123 на 80.
  4. Приложение с ноута запрашивает, какой внешний IP у роутера.
  5. Роутер отвечает со своим внешним IP-адресом 66.55.44.33.
  6. Приложение с ноута теперь знает, что коннекты на 66.55.44.33: 4444 будут приходить именно ему, и может «опубликовать» эти данные где-то в сети.

Казалось бы, что тут такого может случиться? Что тут вообще ломать, в особенности если ты находишься во внешней сети (интернете) и хочешь атаковать пользователей, находящихся за роутером?

Ребятки из Rapid7 провели интересную работу на эту тему и выявили ряд проблем. Основная была связана с некорректной настройкой конечных девайсов (роутеров). По стандарту, запросы NAT-PMP должны обрабатываться, когда они приходят с внутреннего диапазона, но на многих девайсах разрешена конфигурация и с WAN-интерфейса (то есть из сети Интернет). Данная и некоторые другие тонкости дают возможность для атак. Причем тут важно знать, что во многом это не проблемы конечных пользователей, а некорректная настройка из коробки, от вендоров роутеров. В итоге Rapid7 обнаружила в интернете порядка миллиона по-разному уязвимых устройств. Заметь, это было сканирование интернета, а если вспомнить, что очень многие пользователи находятся за NAT’ом от провайдеров, то число может возрасти в разы (правда, для атаки на них необходимо быть подключенными к данному провайдеру).

Самое же вкусное здесь — потенциальные векторы атак через эту технологию, а они тут, должен признаться, выглядят впечатляюще.

 

Перехват внутреннего трафика

Мы отправляем на внешний интерфейс на NAT-PMP запрос, чтобы весь входящий внутренний трафик такой-то порт был «проброшен» нам. То есть мы можем заставить роутер пересылать нам данные, приходящие на какой-то из внутренних портов его самого. А что это может быть? Во-первых, админка: порты 23, 22, 80, 443. Поднимаем у себя веб-сервер и снифаем креды. Но еще интересней захват DNS-запросов. Ведь роутеры очень часто используются как DNS-сервер, а тут мы такие взяли и указали проброс запросов себе. В итоге поднимаем поддельный DNS-сервак и имеем отличную возможность для различных MITM-атак.

 

Перехват внешнего трафика

Практически аналогичная атака. Но тут мы заставляем роутер перебрасывать все входящие подключения на внешний интерфейс роутера на наш хост.

Интересность данного варианта сильно зависит от ситуации.

 

Доступ к внутренний хостам (за NAT’ом)

Так как на самом деле в самом запросе к NAT-PMP мы не указываем IP-адрес, куда пересылать данные, а NAT-PMP берет эти данные из поля IP-адреса отправителя запроса, то мы можем за счет подмены адреса отправителя на внутренний адрес какого-то хоста за NAT’ом получать доступ к его сервисам. Например, мы из интернета можем послать NAT-PMP запрос от IP 192.168.0.123 на 445/TCP-порт на создание проброса и получить возможность сетевого доступа к 192.168.0.123 через SMB-протокол.

И последние три маленьких: возможность сканирования портов роутера без их сканирования (за счет различных ответов на закрытые/открытые порты), раскрытие внутреннего IP-адреса и DoS (за счет занятия всех портов). Мне кажется, что выглядит это впечатляюще. Но в реале подводных камней много.

Что еще приятно, в Metasploit’е теперь есть соответствующие модули для атак на сервисы NAT-PMP:

  • NAT-PMP Port Mapper (auxiliary/admin/natpmp/natpmp_map) — для проброса портов;
  • NAT-PMP External Port Scanner(auxiliary/scanner/natpmp/natpmp_portscan) — для сканирования портов;
  • NAT-PMP External Address Scanner (auxiliary/gather/natpmp_external_address) — для получения IP-адреса роутера.

Спасибо за внимание и успешных познаний нового!

Руководство по настройке интерфейса

и аппаратных компонентов для маршрутизаторов Cisco NCS серии 6000, IOS XR версии 7.4.x — Настройка зеркалирования трафика [маршрутизаторы Cisco Network Convergence System 6000 Series]

Зеркалирование трафика, которое иногда называют зеркалированием портов, или Switched Port Analyzer (SPAN) — это собственная функция Cisco, которая позволяет для мониторинга сетевого трафика, входящего или исходящего из набора портов. Затем вы можете передать этот трафик на порт назначения на том же маршрутизаторе.

Зеркалирование трафика копирует трафик с одного или нескольких исходных портов и отправляет скопированный трафик в один или несколько пунктов назначения для анализа сетевой анализатор или другое устройство мониторинга. Зеркалирование трафика не влияет поток трафика на исходных интерфейсах или подинтерфейсах и позволяет зеркальный трафик для отправки на интерфейс назначения или подинтерфейс.

Например, нужно подключить к роутеру анализатор трафика если вы хотите захватить трафик Ethernet, который отправляется хостом A на хост B. Все другие порты видят трафик между хостами A и B.

Рисунок 1. Операция зеркалирования трафика

При включении локального зеркалирования трафика анализатор трафика подключен непосредственно к порту, настроенному на получение копии каждого пакет, который отправляет узел А.Этот порт называется портом зеркалирования трафика. другие разделы этого документа описывают, как вы можете настроить эту функцию.

Руководство по настройке интерфейса и аппаратных компонентов

для маршрутизаторов Cisco NCS серии 5500, IOS XR версии 7.1.x — Настройка зеркалирования трафика [Cisco Network Convergence System 5500 Series]

При возникновении проблем с зеркалированием трафика начинайте устранение неполадок путем проверки вывода показать сеанс монитора команда состояния.Эта команда отображает записанное состояние всех сеансы и исходные интерфейсы:

 
# показать статус сеанса монитора

Монитор-сеанс ms1
<статус сеанса>
================================================== ===============================


 Состояние каталога интерфейса
--------------------- ---- ------------------------- ---------------------------
Gi0/1/0/0.10 Оба <Статус исходного интерфейса>
Gi0/1/0/0.11 Rx <Статус исходного интерфейса>
Gi0/1/0/0.12 Tx <Состояние исходного интерфейса>
Gi0/2/0/0 (порт) Rx <Статус исходного интерфейса>

  

В предыдущем примере строка, отмеченная как <Сессия status> может указывать на одну из следующих ошибок конфигурации:

Состояние сеанса

Пояснение

Сеанс не настроен глобально

Сеанс не существует в глобальной конфигурации.Просмотрите выходные данные команды show run и убедитесь, что сеанс с правильным именем настроен.

Интерфейс назначения ()

Интерфейс назначения не находится в состоянии Up в диспетчере интерфейсов.Вы можете проверить состояние с помощью команды show interfaces. Проверьте конфигурацию, чтобы определить, что может препятствовать запуску интерфейса (например, подинтерфейс необходимо настроить соответствующую инкапсуляцию).

<Состояние исходного интерфейса> может сообщать о следующих сообщениях:

Состояние исходного интерфейса

Пояснение

Рабочий

Похоже, в PI зеркалирования трафика все работает правильно.Пожалуйста, свяжитесь с командами платформы в первом Например, если зеркалирование не работает должным образом.

Не работает (сеанс не настроен глобально)

Сеанс не существует в глобальной конфигурации.Проверьте выходные данные команды show run, чтобы убедиться, что сеанс с правильным именем настроен.

Не работает (адресат неизвестен)

Сеанс существует, но либо не указан интерфейс назначения, либо интерфейс назначения назван для сеанс не существует.Например, если адресатом является подинтерфейс, который не был создан.

Не работает (источник совпадает с назначением)

Сеанс существует, но адресат и источник являются одним и тем же интерфейсом, поэтому зеркалирование трафика не работает.

Не работает (назначение не активно)

Интерфейс назначения или псевдопровод не в состоянии Up.См. соответствующие сообщения об ошибках Состояние сеанса для предлагаемого решения.

Не работает (исходное состояние )

Исходный интерфейс не находится в состоянии Up.Вы можете проверить состояние с помощью команды show interfaces. Проверьте конфигурацию, чтобы увидеть, что может препятствовать запуску интерфейса (например, подинтерфейс необходимо настроить соответствующую инкапсуляцию).

Ошибка: объяснение см. в подробном выводе

Ошибка зеркалирования трафика.Запустите команду show monitor-session status details, чтобы отобразить дополнительную информацию.

Команда show monitor-session status details отображает полную информацию о параметрах конфигурации и любых обнаруженных ошибках. Например:

RP/0/RP0/CPU0:маршрутизатор показать сведения о состоянии сеанса монитора

 
Сеанс монитора sess1
 Интерфейс назначения не настроен
 Исходные интерфейсы
 ------------------
 TenGigE0/0/0/1
  Направление: Оба
  Соответствие ACL: отключено
  Порция: Полный пакет
  Статус: Не работает (интерфейс назначения неизвестен)
 TenGigE0/0/0/2
  Направление: Оба
  Соответствие ACL: отключено
  Часть: Первые 100 байт
  Статус: Не работает (интерфейс назначения неизвестен).Ошибка: «Viking SPAN PD» обнаружил состояние «предупреждения» «Подключение PRM».
          неудача создания».
Монитор-сеанс foo
 Назначение следующего перехода TenGigE 0/0/0/0
 Исходные интерфейсы
 ------------------
 TenGigE 0/1/0/0.100:
  Направление: Оба
  Статус: Работает
 TenGigE 0/2/0/0.200:
  Направление: Техас
  Статус: Ошибка: 

Панель сеанса монитора
 Пункт назначения не настроен
 Исходные интерфейсы
 ------------------
 TenGigE 0/3/0/0.100:
  Направление: Rx
  Статус: Не работает (нет пункта назначения)

  

Вот дополнительные команды трассировки и отладки:

 
RP/0/RP0/CPU0:router#   показать трассировку платформы монитора-сеанса?  

 все Включить всю трассировку
 ошибки Показать ошибки
 события Показать интересные события

RP/0/RP0/CPU0:router#   показать трассировку сеанса монитора?  

 процесс Отфильтровать отладку по процессу

RP/0/RP0/CPU0:router#   платформа сеанса отладки монитора?  

 all Включить все отладки
 ошибки VKG SPAN EA ошибки
 событие VKG SPAN EA событие
 информация VKG SPAN EA информация

RP/0/RP0/CPU0:router   # процесс сеанса монитора отладки all  

RP/0/RP0/CPU0:router   # процесс сеанса монитора отладки ea  

RP/0/RP0/CPU0:router   # процесс сеанса монитора отладки ma  

RP/0/RP0/CPU0:router#   показать диспетчер процесса сеанса мониторинга  

 detail Отображение подробного вывода
 ошибки Отображать только вложения с ошибками
 internal Отображение внутренней информации о сеансе монитора
 | Модификаторы вывода

RP/0/RP0/CPU0:router#   показать статус сеанса монитора  

RP/0/RP0/CPU0:router#   показать ошибки состояния сеанса монитора  

RP/0/RP0/CPU0:router#   показать внутренний статус сеанса монитора  
  

Руководство по настройке интерфейса и аппаратных компонентов для маршрутизаторов Cisco ASR серии 9000, IOS XR версии 6.7.x — Настройка зеркалирования трафика [маршрутизаторы служб агрегации Cisco ASR 9000]

При возникновении проблем с трафиком зеркального отображения, начните устранение неполадок с проверки вывода показать сеанс монитора команда состояния. Эта команда отображает записанное состояние всех сеансы и исходные интерфейсы:

 
Сеанс монитора sess1
<Статус сеанса>
================================================== ===============================
Статус каталога исходного интерфейса
--------------------- ---- ------------------------- ---------------------------
Gi0/0/0/0 Оба <Статус исходного интерфейса>
Gi0/0/0/2 Оба <Статус исходного интерфейса>

  

В предыдущем примере строка, отмеченная как <Состояние сеанса> может указать одну из этих ошибок конфигурации:

Состояние сеанса

Пояснение

Сеанс не настроен глобально

Сеанс не существует в глобальном конфигурация.Проверять шоу-ран вывод команды, чтобы убедиться, что сеанс с правильным именем был настроен.

Интерфейс назначения не настроено

Интерфейс, который был настроен поскольку пункт назначения не существует.Например, интерфейс назначения может быть настроен как субинтерфейс VLAN, но субинтерфейс VLAN может не иметь еще не создано.

Интерфейс назначения (<неактивное состояние>)

Интерфейс назначения не находится в состоянии Up состояние в диспетчере интерфейсов.Вы можете проверить состояние, используя показать интерфейсы команда. Проверьте конфигурацию, чтобы увидеть, что может сохранять интерфейс. от появления (например, подинтерфейс должен иметь соответствующий инкапсуляция настроена).

Псевдопровод назначения не настроен

Конфигурация L2VPN, которую необходимо установить псевдопроволока отсутствует.Настройте имя сеанса зеркалирования трафика как один сегмент xconnect p2p.

Псевдопровод назначения <имя> (вниз)

Псевдопровод настроен, но вниз.Проверьте конфигурацию L2VPN, чтобы определить, почему псевдопровод не работает. подходит.

<Состояние исходного интерфейса> может сообщать эти сообщения:

Состояние исходного интерфейса

Пояснение

Оперативный

Вроде все работает корректно в зеркалировании трафика PI.Свяжитесь с командами платформы в первый экземпляр, если зеркальное отображение не работает должным образом.

Не работает (сеанс не настраивается глобально)

Сеанс не существует в глобальном конфигурация.Проверить шоу-ран вывод команды, чтобы убедиться, что сеанс с правильным именем был настроен.

Не работает (назначение интерфейс Неизвестный)

Сеанс существует, но либо не указан интерфейс назначения или интерфейс назначения назван сеанса не существует (например, если пункт назначения подинтерфейс, который не был создан).

Не работает (источник тот же, что и пункт назначения)

Сеанс существует, но место назначения и источник имеют один и тот же интерфейс, поэтому зеркалирование трафика не работает.

Не работает (назначение не активно)

Интерфейс назначения или псевдопровод не находится в состоянии Up.См. соответствующий Состояние сеанса сообщения об ошибках для предлагаемое решение.

Не работает (исходное состояние <неактивное состояние>)

Исходный интерфейс не находится в верхнем штат.Вы можете проверить состояние, используя показать интерфейсы команда. Проверьте конфигурацию, чтобы увидеть, что может сохранять интерфейс. от появления (например, подинтерфейс должен иметь соответствующий инкапсуляция настроена).

Ошибка: см. подробный вывод для объяснение

Зеркалирование трафика обнаружило ошибка.Запустите показать статус сеанса монитора Команда detail для отображения дополнительной информации.

показать статус сеанса монитора Команда detail отображает полную информацию о конфигурации параметров и обнаруженных ошибок.Например:

RP/0/RSP0 показать подробности состояния сеанса монитора

 
Сеанс монитора sess1
 Интерфейс назначения не настроен
 Исходные интерфейсы
 ------------------
 Гигабитный Ethernet0/0/0/0
  Направление: Оба
  Соответствие ACL: включено
  Порция: Полный пакет
  Статус: Не работает (интерфейс назначения неизвестен)
 Гигабитный Ethernet0/0/0/2
  Направление: Оба
  Соответствие ACL: отключено
  Часть: Первые 100 байт
  Статус: Не работает (интерфейс назначения неизвестен).Ошибка: «Viking SPAN PD» обнаружил состояние «предупреждения» «Ошибка создания соединения PRM».
Монитор-сеанс foo
 Назначение следующего перехода GigabitEthernet 0/0/0/0
 Исходные интерфейсы
 ------------------
 Гигабитный Ethernet 0/1/0/0.100:
  Направление: Оба
  Статус: Работает
 Гигабитный Ethernet 0/2/0/0.200:
  Направление: Техас
  Статус: Ошибка: 

Панель сеанса монитора
 Пункт назначения не настроен
 Исходные интерфейсы
 ------------------
 Гигабитный Ethernet 0/3/0/0.100:
  Направление: Rx
  Статус: Не работает (нет пункта назначения)

  

Вот дополнительные команды трассировки и отладки:

 
RP/0/RSP0/CPU0:router#   показать трассировку платформы монитора-сеанса?  

 все Включить всю трассировку
 ошибки Показать ошибки
 события Показать интересные события

RP/0/RSP0/CPU0:router#   показать трассировку сеанса монитора?  

 процесс Отфильтровать отладку по процессу

RP/0/RSP0/CPU0:router#   платформа сеанса отладки монитора?  

 all Включить все отладки
 ошибки VKG SPAN EA ошибки
 событие VKG SPAN EA событие
 информация VKG SPAN EA информация

RP/0/RSP0/CPU0:router   # платформа сеанса отладки монитора все  

RP/0/RSP0/CPU0:router   # событие платформы сеанса отладки монитора  

RP/0/RSP0/CPU0:router   # информация о платформе сеанса отладки монитора  

RP/0/RSP0/CPU0:router#   показать статус сеанса монитора?  

 detail Отображение подробного вывода
 ошибки Отображать только вложения с ошибками
 internal Отображение внутренней информации о сеансе монитора
 | Модификаторы вывода

RP/0/RSP0/CPU0:router#   показать статус сеанса монитора  

RP/0/RSP0/CPU0:router#   показать ошибки состояния сеанса монитора  

  

Куда идти дальше

После настройки интерфейса Ethernet вы можете настроить отдельные субинтерфейсы VLAN на этом интерфейсе Ethernet.

Для получения информации об изменении Ethernet интерфейсы управления для контроллера полки (SC), процессора маршрутизации (RP) и распределенной RP, см. Расширенную настройку и модификацию Ethernet-интерфейс управления на модуле маршрутизатора Cisco ASR серии 9000 позже в этом документе.

Для получения информации о IPv6 см. Реализация Списки доступа и списки префиксов на

Программный модуль Cisco IOS XR в Cisco IOS XR Руководство по настройке IP-адресов и служб.

[PDF] Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000

Скачать Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000…

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 В этом модуле описывается настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000.Зеркалирование трафика иногда называют зеркалированием портов или анализатором коммутируемых портов (SPAN). История функций для настройки зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Выпуск

Модификация

Выпуск 3.9.1

Эта функция была представлена ​​на маршрутизаторе Cisco ASR серии 9000.

Release 4.0.1

Был добавлено следующие функции зеркалирования трафика: •

трафика зеркалирование над псевдоустройством

поток или ACL на основе трафика

слой 3 Опора

Частичное зеркальное отделение пакета

Содержание •

Ограничения для зеркалирования трафика, Page 269

Информация о Зернометражном движении, стр. 270

Настройка зеркалирования трафика, Page 275

Примеры настройки конфигурации трафика, страница 288

Дальнейшие действия, стр. 295

Дополнительные ссылки, стр. 295

Ограничения для зеркалирования трафика Поддерживается не более восьми сеансов мониторинга и 800 исходных портов.Вы можете настроить 800 исходных портов для одного сеанса мониторинга или настроить в общей сложности 800 исходных портов для максимум восьми сеансов мониторинга. Следующие формы зеркалирования трафика не поддерживаются:

Руководство по настройке интерфейса и аппаратных компонентов маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-269

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Информация о трафике Зеркалирование

Зеркалирование трафика в туннель GRE (также известный как анализатор инкапсулированного удаленного коммутируемого порта [ER-SPAN] в ПО Cisco IOS).

Зеркалирование трафика из домена полного моста (также называемого SPAN на основе VLAN в ПО Cisco IOS).

Зеркалирование трафика на интерфейсе отдельного члена пакета не поддерживается. SPAN должен быть настроен только на пакетном интерфейсе и применяется ко всем членам.

Влияние зеркалирования трафика на производительность Cisco рекомендует не зеркалировать более 15% всего транзитного трафика. Для интерфейсов Ten Gigabit Ethernet или пакетных интерфейсов существует ограничение 1.5G на каждый объем входящего трафика, подлежащего зеркалированию, и 1,5G на каждый объем исходящего трафика, подлежащий зеркалированию.

Информация о зеркалировании трафика В следующих разделах содержится информация о зеркалировании трафика. Введение в зеркалирование трафика Зеркальное отображение трафика, которое иногда называют зеркалированием портов или анализатором коммутируемых портов (SPAN), — это запатентованная функция Cisco, позволяющая отслеживать сетевой трафик уровня 2 или уровня 3, входящий или исходящий из набора интерфейсов Ethernet. .Затем вы можете передать этот трафик сетевому анализатору для анализа. Зеркалирование трафика копирует трафик с одного или нескольких интерфейсов уровня 3 или интерфейсов или подинтерфейсов уровня 2, включая интерфейсы или подинтерфейсы связки каналов уровня 2, и отправляет скопированный трафик в одно или несколько мест назначения для анализа с помощью сетевого анализатора или другого средства мониторинга. устройство. Зеркалирование трафика не влияет на переключение трафика на исходных интерфейсах или подинтерфейсах и позволяет отправлять зеркальный трафик на интерфейс назначения или подинтерфейс.Зеркалирование трафика было введено на коммутаторах из-за принципиальной разницы между коммутаторами и концентраторами. Когда концентратор получает пакет на один порт, концентратор отправляет копию этого пакета со всех портов, кроме того, на который концентратор получил пакет. В случае с коммутаторами, после загрузки коммутатора он начинает создавать таблицу переадресации уровня 2 на основе исходного MAC-адреса различных пакетов, которые получает коммутатор. После создания этой таблицы переадресации коммутатор перенаправляет трафик, предназначенный для MAC-адреса, непосредственно на соответствующий порт.Например, если вы хотите захватить трафик Ethernet, который отправляется хостом А на хост Б, и оба подключены к концентратору, просто подключите к этому концентратору анализатор трафика. Все остальные порты видят трафик между хостами A и B (рисунок 17).

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 на концентраторе

281711

B

A

концентратор

Network Analyzer

На коммутаторе или маршрутизаторе, после того как MAC-адрес хоста B изучен, одноадресный трафик от A к B перенаправляется только на порт B.Поэтому анализатор трафика не видит этот трафик (рисунок 18). Рисунок 18.

Сетевой анализ не работает на маршрутизаторе без зеркалирования трафика например: •

Широковещательный трафик

Многоадресный трафик с отключенным отслеживанием CGMP или протокола управления группами Интернета (IGMP)

Неизвестный одноадресный трафик на коммутаторе

Необходима дополнительная функция, которая искусственно копирует одноадресные пакеты который хост А посылает.Эта дополнительная функция — зеркалирование трафика. Когда зеркалирование трафика включено, анализатор трафика подключается к порту, настроенному на получение копии каждого пакета, отправляемого узлом А. Этот порт называется портом зеркалирования трафика. В других разделах этого документа описывается, как можно настроить эту функцию.

Внедрение зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Терминология зеркалирования трафика •

Входящий трафик — трафик, поступающий на коммутатор.

Исходящий трафик — трафик, выходящий из коммутатора.

Исходный порт — порт, который отслеживается с помощью зеркалирования трафика. Его также называют контролируемым портом.

Порт назначения — порт, который отслеживает исходные порты, обычно к которым подключен сетевой анализатор. Его также называют портом мониторинга.

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-271

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Информация о зеркалировании трафика конфигурации зеркалирования трафика, состоящие из одного целевого и, возможно, множества исходных интерфейсов.

Характеристики исходного порта Исходный порт, также называемый контролируемым портом, представляет собой коммутируемый или маршрутизируемый порт, который вы отслеживаете для анализа сетевого трафика. В одном локальном или удаленном сеансе зеркалирования трафика вы можете отслеживать трафик исходного порта, например полученный (Rx) для входящего трафика, переданный (Tx) для исходящего трафика или двунаправленный (как для входящего, так и для исходящего трафика). Ваш маршрутизатор поддерживает любое количество исходных портов (максимум 800). Исходный порт имеет следующие характеристики: Это может быть порт любого типа, например, Bundle Interface, Gigabit Ethernet, 10-Gigabit Ethernet или EFP.

Виртуальные интерфейсы группы мостов (BVI) не поддерживаются.

Примечание •

Каждый исходный порт можно контролировать в одном сеансе зеркалирования трафика.

Это не может быть порт назначения.

Для каждого исходного порта можно настроить направление (вход, выход или оба) для мониторинга. Для пакетов отслеживаемое направление применяется ко всем физическим портам в группе.

Рисунок 19

Рис. 19

Анализ сети на Cisco ASR 9000 Маршрутизатор с отражением трафика

281709

B

A

Маршрутизатор

A

сетевой анализатор

на рисунке 19, сетевой анализатор прикреплен к настраиваемому порту. для получения копии каждого пакета, отправляемого хостом А.Этот порт называется портом зеркалирования трафика.

Характеристики сеанса монитора Сеанс монитора — это набор конфигураций зеркального отображения трафика, состоящий из одного целевого и, возможно, множества исходных интерфейсов. Для любого заданного сеанса мониторинга трафик от исходных интерфейсов (называемых исходными портами) отправляется на порт мониторинга (называемый портом назначения). Некоторые необязательные операции, такие как наложение тегов VLAN и фильтрация ACL, могут выполняться с зеркальными потоками трафика.Если в сеансе мониторинга имеется более одного исходного порта, трафик из нескольких зеркальных потоков трафика объединяется на порте назначения. В результате трафик, исходящий из порта назначения, представляет собой комбинацию трафика из одного или нескольких портов-источников, а к трафику из каждого порта-источника могут применяться или не применяться операции проталкивания VLAN или списки управления доступом. Сеансы мониторинга имеют следующие характеристики: •

Один маршрутизатор Cisco ASR 9000 может иметь максимум восемь сеансов мониторинга.

Интерфейс маршрутизатора служб агрегации серии Cisco ASR 9000 и аппаратный компонент

HR-272

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Информация о зеркалировании трафика

может иметь только один порт назначения.

Один порт назначения может принадлежать только одному сеансу мониторинга.

Один маршрутизатор Cisco ASR 9000 может иметь до 800 исходных портов.

Сеанс монитора может иметь не более 800 исходных портов, если максимальное число исходных портов во всех сеансах мониторинга не превышает 800.

Характеристики порта назначения Каждый локальный сеанс или удаленный сеанс назначения должен иметь порт назначения (также называемый портом мониторинга), который получает копию трафика с исходных портов. Порт назначения имеет следующие характеристики: •

Порт назначения должен находиться на том же маршрутизаторе, что и исходный порт.

Портом назначения может быть любой физический порт Ethernet, EFP, псевдопроводной, но не пакетный интерфейс.

Порт назначения может быть только транспортным интерфейсом уровня 2. Интерфейс уровня 3 в качестве назначения SPAN не поддерживается на маршрутизаторе Cisco ASR серии 9000.

Порт назначения и может быть транковым (основным) интерфейсом или субинтерфейсом.

В любой момент порт назначения может участвовать только в одном сеансе зеркалирования трафика.Порт назначения в одном сеансе зеркалирования трафика не может быть портом назначения для второго сеанса зеркалирования трафика. Другими словами, никакие два сеанса монитора не могут иметь один и тот же порт назначения.

Порт назначения не может быть также портом источника.

Рисунок 20

Рис. 20

Анализ сети на Cisco ASR 9000 Маршрутизатор с трафиком MARRALLING

Выход 3

281710

1

Отвод

1

1

Маршрутизатор

Комплект сетевого анализатора

Порты зеркалирования источника (могут порты входящего или исходящего трафика)

Порт зеркалирования трафика назначения

Поддерживаемые типы зеркалирования трафика Поддерживаются следующие типы зеркалирования трафика: •

Зеркалирование локального трафика.Это самая основная форма зеркалирования трафика. Сетевой анализатор или сниффер напрямую подключается к целевому интерфейсу. Другими словами, все отслеживаемые порты расположены на том же коммутаторе, что и порт назначения.

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-273

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Информация о зеркалировании трафика

Р-СПАН).В этом случае сетевой анализатор не подключен напрямую к целевому интерфейсу, а находится в VLAN, доступной для коммутатора. Например, интерфейс назначения — это субинтерфейс с инкапсуляцией VLAN. Ограниченная форма удаленного зеркалирования трафика может быть реализована путем отправки трафика на один порт назначения, который передает тег VLAN, вместо переключения через домен-мост. – Позволяет разделить сетевой анализатор и пункт назначения, но встроенная избыточность отсутствует. – Позволяет использовать несколько удаленных сетевых анализаторов, если они могут подключаться к зеркалированию трафика

VLAN.Это поддерживается программным обеспечением Cisco IOS XR, поскольку порт назначения — это EFP, который может передавать тег VLAN. •

Псевдопроводное зеркалирование трафика (известное как PW-SPAN в ПО Cisco IOS). Вместо использования стандартного интерфейса назначения трафик зеркалируется на удаленный сайт через псевдопроводную сеть MPLS.

Зеркалирование трафика на основе ACL. Трафик зеркалируется на основе конфигурации ACL глобального интерфейса.

Частичное зеркалирование пакетов. Можно зеркально отразить первые 64–256 байтов пакета.

Зеркалирование трафика уровня 2 или уровня 3. Можно зеркально отразить исходные порты уровня 2 и уровня 3.

Псевдопроводное зеркалирование трафика Порт назначения зеркалирования трафика можно настроить так, чтобы он был псевдопроводным, а не физическим портом. В этом случае назначенный трафик исходного порта зеркалируется по псевдопроводной сети в центральное место. Это позволяет централизовать дорогостоящие инструменты анализа сетевого трафика. Поскольку псевдопровод передает только зеркальный трафик, этот трафик обычно является однонаправленным.Не должно быть никакого трафика, исходящего от границы удаленного провайдера. Чтобы защитить псевдопроводной путь зеркалирования трафика от сетевых сбоев, можно настроить туннель управления трафиком в качестве предпочтительного пути и включить быструю защиту от повторного маршрута для псевдопроводного канала. Рисунок 21

псевдооборотный трафик 80003

Централизованная NOC NOCE

PSEUDOWIRE Над ELLOS PSEUDOWIRE к NOC

GE Port

GE Port

GE Port

280002

Зеркализация до псевдонима

Cisco ASR 9000 Маршрутизатор серии

Cisco ASR 9000 Assiret Сервисный интерфейс и аппаратный компонент маршрутизатора

HR-274

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Зеркалирование трафика на основе ACL глобальный список доступа к интерфейсу (ACL).Если вы зеркалируете трафик уровня 2, ACL настраивается с помощью команды ethernet-services access-list с ключевым словом Capture. Если вы зеркалируете трафик уровня 3, ACL настраивается с помощью команды ipv4 access-list или ipv6 access-list с ключевым словом Capture. Команды разрешить и запретить определяют поведение обычного трафика. Ключевое слово Capture указывает, что пакет должен быть зеркалирован на порт назначения.

Настройка зеркалирования трафика Следующие задачи описывают, как настроить зеркалирование трафика: •

Как настроить локальное зеркалирование трафика, стр. 275

Как настроить удаленное зеркалирование трафика, стр. 277

Как настроить трафик Зеркалирование по псевдопроводной сети, стр. 279

Как настроить зеркалирование трафика на основе ACL, стр. 283

Как настроить частичное зеркалирование пакетов, стр. 286

Как настроить локальное зеркалирование трафика ОБЩИЕ ШАГИ 1.

Configure

2.

2.

сеанс сеанса монитора

3.

Интерфейс назначения DEST-интерфейс

4.

Выход

5.

Интерфейс интерфейс-интерфейс

6.

L2Transport

7.

монитор-сеанс имя-сеанса [направление {только rx | tx-only]

8.

end or commit

9.

show monitor-session [имя сеанса] статус [детали] [ошибка]

Интерфейс маршрутизатора служб агрегации Cisco ASR серии 9000 и аппаратный компонент OL- 24664-01

HR-275

hr-275

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR 9000

Подробные шаги

Шаг 1

Команда или действие

Назначение

Configure

входит в режим глобального конфигурации.

Пример: RP/0/RSP0/CPU0:router# configure

Шаг 2

сеанс-монитора имя-сеанса

Определяет сеанс монитора и входит в режим настройки сеанса монитора.

Пример: RP/0/RSP0/CPU0:router(config)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-mon)#

Шаг 3

интерфейс назначения dest-interface

Пример :

Указывает интерфейс назначения, на который следует реплицировать трафик. Этот интерфейс должен быть транспортным интерфейсом уровня 2.

RP/0/RSP0/CPU0:router(config-mon)# destination interface gigabitethernet0/0/0/15

Шаг 4

Выход из режима настройки сеанса монитора и возврат в режим глобальной конфигурации.

exit

Пример: RP/0/RSP0/CPU0:router(config-mon)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 5

интерфейс источник-интерфейс

Пример: RP/0/RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11

Шаг 6

l2transport

(Необязательно) Включает транспортный режим уровня 2 на интерфейсе и входит в режим конфигурации транспорта уровня 2.

Пример:

Примечание

RP/0/RSP0/CPU0:router(config-if)# l2transport

Шаг 7

Вход в режим настройки интерфейса для указанного интерфейса. Номер интерфейса вводится в формате стойка/слот/модуль/порт. Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?).

монитор-сеанс имя-сеанса [направление {только rx | tx-only]

Для зеркалирования трафика уровня 3 не используйте команду l2transport.

Указывает сеанс монитора, который будет использоваться на этом интерфейсе. Используйте ключевое слово direction, чтобы указать, что зеркалируется только входящий или только исходящий трафик.

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# monitor-session mon1

Интерфейс маршрутизатора служб агрегации Cisco ASR серии 9000 и аппаратный компонент

HR-276

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Шаг 8

Команда или действие

Цель

end

Сохраняет изменения конфигурации.

или зафиксировать

Когда вы вводите команду завершения, система предлагает вам зафиксировать изменения:

Пример:

Обнаружены незафиксированные изменения, зафиксировать их перед выходом (да/нет/отмена)? [отмена]:

RP/0/RSP0/CPU0:router(config-if-l2)# end

или

– Ввод yes сохраняет изменения конфигурации в

RP/0/RSP0/CPU0: router(config-if-l2)# commit

запуск файла конфигурации, выход из сеанса настройки и возврат маршрутизатора в режим EXEC.– Ввод no завершает сеанс настройки, а

возвращает маршрутизатор в режим EXEC без фиксации изменений конфигурации. – Ввод отмены оставляет маршрутизатор в текущем сеансе конфигурации

без выхода или фиксации изменений конфигурации. Используйте команду фиксации, чтобы сохранить изменения конфигурации в работающем файле конфигурации и остаться в сеансе конфигурации. Шаг 9

показать состояние сеанса монитора [имя сеанса] [детали] [ошибка]

Отображает информацию о сеансе монитора.

Пример: RP/0/RSP0/CPU0:router# show monitor-session

Как настроить удаленное зеркалирование трафика.

интерфейс назначения DEST-SUBINTERFace

4.

Выход

5.

Интерфейс Dest-Subterface L2Transport

6.

Инкапсуляция DOT1Q VLAN

7.

Rewrite Ingress Tag POP Tag-To-Remise

8.

интерфейс исходный-интерфейс [l2transport]

9.

монитор-сеанс имя-сеанса [направление {rx-only | tx-only]

10. end

or commit 11. show monitor-session [имя сеанса] статус [детали] [ошибка]

Интерфейс маршрутизатора служб агрегации Cisco ASR серии 9000 и аппаратный компонент OL-24664-01

HR-277

Настройка зеркального отображения трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркального отображения трафика

Пример: RP/0/RSP0/CPU0:router# configure

Шаг 2

сеанс-монитора имя-сеанса

Определяет сеанс монитора и входит в режим настройки сеанса монитора.

Пример: RP/0/RSP0/CPU0:router(config)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-mon)#

Шаг 3

интерфейс назначения dest-subinterface

Пример :

Указывает субинтерфейс назначения, на который должен реплицироваться трафик. Этот интерфейс должен быть транспортным интерфейсом уровня 2.

RP/0/RSP0/CPU0:router(config-mon)# destination interface gigabitethernet0/0/0/15

Шаг 4

Выход из режима настройки сеанса монитора и возврат в режим глобальной конфигурации.

exit

Пример: RP/0/RSP0/CPU0:router(config-mon)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 5

interface dest-subinterface l2transport

Пример : RP/0/RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11.10 l2transport

Вход в режим настройки интерфейса для указанного подинтерфейса.Номер интерфейса вводится в формате стойка/слот/модуль/порт. Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?). Ключевое слово l2transport используется для включения транспортного режима уровня 2 на подынтерфейсе назначения.

Шаг 6

encapsulation dot1q vlan

Указывает инкапсуляцию 802.1Q и номер используемой VLAN.

Пример: RP/0/RSP0/CPU0:router(config-if)# encapsulation dot1q 1

Шаг 7

переписать входной тег pop tag-to-remove

Указывает удалить внешний тег только для EFP.

Пример: RP/0/RSP0/CPU0:router(config-if)# rewrite ingress tag pop 1

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000

HR-278

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000.Номер интерфейса вводится в формате стойка/слот/модуль/порт. Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?).

Пример: RP/0/RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11.10 l2transport

Чтобы настроить субинтерфейс уровня 2 в качестве исходного интерфейса, используйте ключевое слово l2transport для включения транспортного режима уровня 2. на субинтерфейсе. Шаг 9

монитор-сеанс имя-сеанса [направление {rx-only | tx-only]

Указывает сеанс монитора, который будет использоваться на этом интерфейсе.Используйте ключевое слово direction, чтобы указать, что зеркалируется только входящий или исходящий трафик.

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# monitor-session mon1

Шаг 10

Сохраняет изменения конфигурации.

end

or commit

Когда вы вводите команду end, система предлагает вам зафиксировать изменения:

Пример:

Обнаружены незафиксированные изменения, зафиксировать их перед выходом (да/нет/отмена)? [отмена]:

RP/0/RSP0/CPU0:router(config-if)# end

или

– Ввод yes сохраняет изменения конфигурации в

RP/0/RSP0/CPU0:router( config-if)# commit

запуск файла конфигурации, выход из сеанса настройки и возврат маршрутизатора в режим EXEC.– Ввод no завершает сеанс настройки, а

возвращает маршрутизатор в режим EXEC без фиксации изменений конфигурации. – Ввод отмены оставляет маршрутизатор в текущем сеансе конфигурации

без выхода или фиксации изменений конфигурации. Используйте команду фиксации, чтобы сохранить изменения конфигурации в работающем файле конфигурации и остаться в сеансе конфигурации. Шаг 11

показать состояние сеанса монитора [имя сеанса] [детали] [ошибка]

Отображает информацию о сеансе зеркалирования трафика.

Пример: RP/0/RSP0/CPU0:router# show monitor-session

Как настроить зеркалирование трафика по псевдопроводной сети ОБЩИЕ ШАГИ 1.

configure

2.

monitor-session session-name

3.

2

псевдопровод назначения

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-279

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Выход

5.

5.

Интерфейс Source-интерфейс

6.

L2Transport

7.

сеанс монитора-сеанса

8.

Выход

9.

Выход

10. выход 11. l2vpn 12. pw-class имя-класса 13. инкапсуляция mpls 14. выход 15. выход 16. xconnect group имя-группы 17. p2p xconnect-name 18. монитор-сеанс имя-сеанса 19. соседний одноранговый узел pw -id псевдопроводной идентификатор 20. pw-class имя класса 21. конец

или фиксация 22.show monitor-session [имя сеанса] статус [подробно] [ошибка]

ПОДРОБНЫЕ ШАГИ

Шаг 1

Команда или действие

Цель

configure

Вход в режим глобальной конфигурации.

Пример: RP/0/RSP0/CPU0:router# configure

Шаг 2

сеанс-монитора имя-сеанса

Определяет сеанс монитора и входит в режим настройки сеанса монитора.

Пример: RP/0/RSP0/CPU0:router(config)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-mon)#

Шаг 3

назначение псевдопровод

Указывает, что трафик должны быть реплицированы на псевдопровод.

Пример: RP/0/RSP0/CPU0:router(config-mon)# псевдопровод назначения

Интерфейс маршрутизатора служб агрегации Cisco ASR серии 9000 и аппаратный компонент

HR-280

OL-24664-01

Настройка трафика Зеркалирование на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Шаг 4

Команда или действие

Цель

выход

Выход из режима настройки сеанса мониторинга и возврат в режим глобальной конфигурации.

Пример: RP/0/RSP0/CPU0:router(config-mon)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 5

интерфейс источник-интерфейс

Пример: RP/0 /RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11.10

Шаг 6

(Необязательно) Включает транспортный режим уровня 2 на субинтерфейсе и входит в режим конфигурации транспорта уровня 2.

l2transport

Пример:

Шаг 7

Вход в режим настройки интерфейса для указанного интерфейса.Номер интерфейса вводится в формате стойка/слот/модуль/порт. Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?).

Для зеркального отображения трафика уровня 3 не используйте команду l2transport.

RP/0/RSP0/CPU0:router(config-if)# l2transport

Примечание

монитор-сеанс имя-сеанса [направление {rx-only | tx-only]

Указывает сеанс монитора, который будет использоваться на этом интерфейсе. Используйте ключевое слово direction, чтобы указать, что зеркалируется только входящий или исходящий трафик.

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# monitor-session mon1

Шаг 8

Выход из режима настройки сеанса мониторинга и возврат в режим настройки l2transport.

exit

Пример: RP/0/RSP0/CPU0:router(config-if-mon)# exit RP/0/RSP0/CPU0:router(config-if-l2)#

Шаг 9

Выход из l2transport режим конфигурации и возвращается в режим конфигурации интерфейса.

exit

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# exit RP/0/RSP0/CPU0:router(config-if)#

Шаг 10

Выход из режима конфигурации интерфейса и возвращается в режим глобальной конфигурации.

exit

Пример: RP/0/RSP0/CPU0:router(config-if)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 11

Вход в режим настройки VPN уровня 2.

l2vpn

Пример: RP/0/RSP0/CPU0:router(config)# l2vpn RP/0/RSP0/CPU0:router(config-l2vpn)#

Шаг 12

Настраивает шаблон класса псевдопровода и вводит псевдопровод режим настройки шаблона класса.

pw-class class-name

Пример: RP/0/RSP0/CPU0:router(config-l2vpn)# pw-class pw1

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-281

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Шаг 13

Команда или действие

Цель

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-pwc)# encapsulation mpls

Шаг 14

Выход из режима настройки псевдопроводной инкапсуляции.

exit

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-pwc-mpls)# exit RP/0/RSP0/CPU0:router(config-l2vpn-pwc)

Шаг 15

Выходы режим настройки шаблона класса псевдопровода.

exit

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-pwc)# exit RP/0/RSP0/CPU0:router(config-l2vpn)

Шаг 16

xconnect group group-name

Настраивает групповой кросс.

Пример: RP/0/RSP0/CPU0:router(config-l2vpn)# xconnect group g1

Шаг 17

p2p xconnect-name

Настраивает перекрестное соединение «точка-точка».

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-xc)# p2p xc1

Шаг 18 соединять.

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# monitor-session mon1

Шаг 19 -точечное кроссовое соединение.

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# сосед 192.168.2.2 pw-id 3

Шаг 20

pw-class имя-класса

Указывает шаблон класса псевдопровода использовать для этого перекрестного соединения.

Пример: RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# pw-class pw1

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000

HR-282

OL-24664 -01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Шаг 21

Команда или действие

Цель

end

Сохраняет изменения конфигурации.

или зафиксировать

Когда вы вводите команду завершения, система предлагает вам зафиксировать изменения:

Пример:

Обнаружены незафиксированные изменения, зафиксировать их перед выходом (да/нет/отмена)? [отмена]:

RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p-pw)# end

– Ввод yes сохраняет изменения конфигурации в

или RP/0/RSP0/ CPU0:router(config-l2vpn-xc-p2p-pw)# commit

запуск файла конфигурации, выход из сеанса конфигурации и возврат маршрутизатора в режим EXEC.– Ввод no завершает сеанс настройки, а

возвращает маршрутизатор в режим EXEC без фиксации изменений конфигурации. – Ввод отмены оставляет маршрутизатор в текущем сеансе конфигурации

без выхода или фиксации изменений конфигурации. Используйте команду фиксации, чтобы сохранить изменения конфигурации в работающем файле конфигурации и остаться в сеансе конфигурации. Шаг 22

показать состояние сеанса монитора [имя сеанса] [детали] [ошибка]

Отображает информацию о сеансе зеркалирования трафика.

Пример: RP/0/RSP0/CPU0:router# show monitor-session

Как настроить зеркалирование трафика на основе ACL Предварительные требования Глобальный ACL интерфейса должен быть настроен с помощью одной из следующих команд с ключевым словом Capture: •

ipv4 access-list

ipv6 access-list

ethernet-services access-list

Для получения дополнительной информации см. Справочник по IP-адресам и командам служб маршрутизатора агрегации серии Cisco ASR 9000 или ASR 9000 Series Aggregation Services Router Layer_2 VPN и Ethernet Services Command Reference.

Сводные шаги 1.

Configure

2.

2.

Monitor-сеанс сеанс-имя

3.

Интерфейс назначения DEST-интерфейс

4.

Выход

CISCO ASR 9000 Series Services Interface Interface Аппаратный компонент OL-24664-01

HR-283

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

5.

интерфейс источник-интерфейс

6.

L2Transport

L2Transport

7.

Выход

8.

Ethernet-Services-Group Group Access-List-Name Ingress

9.

ACL

10. Название сеанса мониторинга — имя 11. End

или зафиксировать 12. show monitor-session [имя сеанса] статус [подробно] [ошибка]

ПОДРОБНЫЕ ШАГИ

Шаг 1

Команда или действие

Цель

настроить

Вход в режим глобальной конфигурации.

Пример: RP/0/RSP0/CPU0:router# configure

Шаг 2

сеанс-монитора имя-сеанса

Определяет сеанс монитора и входит в режим настройки сеанса монитора.

Пример: RP/0/RSP0/CPU0:router(config)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-mon)#

Шаг 3

интерфейс назначения dest-interface

Пример :

Указывает интерфейс назначения, на который следует реплицировать трафик. Этот интерфейс должен быть транспортным интерфейсом уровня 2.

RP/0/RSP0/CPU0:router(config-mon)# интерфейс назначения gigabitethernet0/0/0/15

Шаг 4

Выход из режима настройки сеанса мониторинга и возврат в режим глобальной конфигурации.

exit

Пример: RP/0/RSP0/CPU0:router(config-mon)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 5

интерфейс источник-интерфейс

Пример: RP/0/RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11

Шаг 6

l2transport

Пример: RP/0/RSP0/CPU0:router(config-if)# l2transport

Вход в режим настройки интерфейса для указанного интерфейса. Номер интерфейса вводится в формате стойка/слот/модуль/порт.Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?). (Необязательно) Включает транспортный режим уровня 2 на субинтерфейсе и входит в режим конфигурации транспорта уровня 2. Примечание

Для зеркального отображения трафика уровня 3 не используйте команду l2transport.

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии

HR-284

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Настройка зеркалирования трафика

Действие Команда 30 0

Назначение

выход

Выход из режима конфигурации транспорта уровня 2 и возврат в режим конфигурации интерфейса.

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# exit RP/0/RSP0/CPU0:router(config-if)#

Шаг 8

ethernet-services access-group access -имя-списка [вход | выход]

Связывает определение списка доступа с зеркалируемым интерфейсом.

Пример: RP/0/RSP0/CPU0:router(config-if)# ethernet-services access-group acl1 ingress

Шаг 9

Указывает, что зеркальный трафик соответствует определенному глобальному интерфейсу ACL.

acl

Пример: RP/0/RSP0/CPU0:router(config-if-mon)# acl

Шаг 10

Указывает сеанс монитора, который будет использоваться на этом интерфейсе.

сеанс-монитора имя-сеанса

Пример: RP/0/RSP0/CPU0:router(config-if)# сеанс-монитора mon1

Шаг 11

Сохраняет изменения конфигурации.

end

or commit

Когда вы вводите команду end, система предлагает вам зафиксировать изменения:

Пример:

Обнаружены незафиксированные изменения, зафиксировать их перед выходом (да/нет/отмена)? [отмена]:

RP/0/RSP0/CPU0:router(config-if)# end

или

– Ввод yes сохраняет изменения конфигурации в

RP/0/RSP0/CPU0:router( config-if)# commit

запуск файла конфигурации, выход из сеанса настройки и возврат маршрутизатора в режим EXEC.– Ввод no завершает сеанс настройки, а

возвращает маршрутизатор в режим EXEC без фиксации изменений конфигурации. – Ввод отмены оставляет маршрутизатор в текущем сеансе конфигурации

без выхода или фиксации изменений конфигурации. Используйте команду фиксации, чтобы сохранить изменения конфигурации в работающем файле конфигурации и остаться в сеансе конфигурации. Шаг 12

показать состояние сеанса монитора [имя сеанса] [детали] [ошибка]

Отображает информацию о сеансе монитора.

Пример: RP/0/RSP0/CPU0:router# show monitor-session

Интерфейс маршрутизатора служб агрегации Cisco ASR серии 9000 и аппаратный компонент OL-24664-01

HR-285

Настройка зеркалирования трафика на Cisco ASR Маршрутизатор серии 9000 Настройка зеркалирования трафика

Устранение неполадок зеркалирования трафика на основе ACL Обратите внимание на следующие проблемы конфигурации: •

Даже если команда acl настроена на исходном порту зеркалирования, если команда конфигурации ACL не использует ключевое слово Capture, трафик отсутствует. становится зеркальным.

Если в конфигурации ACL используется ключевое слово Capture, но команда acl не настроена на исходном порту, несмотря на то, что трафик зеркалируется, конфигурация списка доступа не применяется.

Зеркалируется весь входящий трафик, независимо от определения ACL; зеркалируется только исходящий трафик, разрешенный в определении ACL.

В следующем примере правильно показаны как ключевое слово Capture в определении ACL, так и команда ACL, настроенная на интерфейсе: monitor-session tm_example ! список доступа к ethernet-сервисам tm_filter 10 запрещает 0000.1234.5678 0000.abcd.abcd любой захват! интерфейс GigabitEthernet0/2/0/0 монитор-сеанс tm_example направление rx-only acl ! l2транспорт! группа доступа ethernet-services tm_filter вход ! END

Как настроить частичное зеркальное отделение пакета SO сводных шагов 1.

Configure

2.

сеанс сеанса

3.

Интерфейс назначения DEST-интерфейс

4.

Выход

5.

интерфейс источник-интерфейс

6.

имя сеанса монитора

7.

зеркало первых байтов

8.

завершение или фиксация

9.

показать состояние сеанса монитора [имя сеанса] Интерфейс маршрутизатора и аппаратный компонент

HR-286

OL-286

OL-24664-01

Настройка маршрутизатора трафика на Cisco ASR 9000 серии Маршрутизатор Настройка трафика зеркало

Подробные шаги

Шаг 1

Команда или действие

Цель

configure

Вход в режим глобальной конфигурации.

Пример: RP/0/RSP0/CPU0:router# configure

Шаг 2

Определяет сеанс мониторинга и входит в режим настройки сеанса мониторинга.

monitor-session session-name

Пример: RP/0/RSP0/CPU0:router(config)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-mon)#

Шаг 3

интерфейс назначения dest-interface

Пример:

Указывает интерфейс назначения, на который должен реплицироваться трафик. Этот интерфейс должен быть транспортным интерфейсом уровня 2.

RP/0/RSP0/CPU0:router(config-mon)# интерфейс назначения gigabitethernet0/0/0/15

Шаг 4

Выход из режима настройки сеанса мониторинга и возврат в режим глобальной конфигурации.

exit

Пример: RP/0/RSP0/CPU0:router(config-mon)# exit RP/0/RSP0/CPU0:router(config)#

Шаг 5

интерфейс источник-интерфейс

Пример: RP/0/RSP0/CPU0:router(config)# interface gigabitethernet0/0/0/11.10

Шаг 6

монитор-сеанс имя-сеанса [направление {rx-only | tx-only]

Вход в режим настройки интерфейса для указанного интерфейса.Номер интерфейса вводится в формате стойка/слот/модуль/порт. Для получения дополнительной информации о синтаксисе маршрутизатора используйте онлайн-справку со знаком вопроса (?). Указывает сеанс монитора, который будет использоваться на этом интерфейсе. Используйте ключевое слово direction, чтобы указать, что зеркалируется только входящий или исходящий трафик.

Пример: RP/0/RSP0/CPU0:router(config-if-l2)# monitor-session mon1

Шаг 7

Указывает количество байтов пакета для зеркалирования. Значения могут варьироваться от 64 до 256 байт.

зеркалировать первые байты

Пример: RP/0/RSP0/CPU0:router(config-if-mon)# зеркалировать первые байты

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR -287

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Примеры конфигурации зеркалирования трафика

Шаг 8

Команда или действие

Цель

end

Сохраняет изменения конфигурации.

или зафиксировать

Когда вы вводите команду завершения, система предлагает вам зафиксировать изменения:

Пример:

Обнаружены незафиксированные изменения, зафиксировать их перед выходом (да/нет/отмена)? [отмена]:

RP/0/RSP0/CPU0:router(config-if)# end

или

– Ввод yes сохраняет изменения конфигурации в

RP/0/RSP0/CPU0:router( config-if)# commit

запуск файла конфигурации, выход из сеанса настройки и возврат маршрутизатора в режим EXEC.– Ввод no завершает сеанс настройки, а

возвращает маршрутизатор в режим EXEC без фиксации изменений конфигурации. – Ввод отмены оставляет маршрутизатор в текущем сеансе конфигурации

без выхода или фиксации изменений конфигурации. Используйте команду фиксации, чтобы сохранить изменения конфигурации в работающем файле конфигурации и остаться в сеансе конфигурации. Шаг 9

show monitor-session [session-name] status

Отображает информацию о сеансе зеркалирования трафика.

Пример: RP/0/RSP0/CPU0:router# show monitor-session

Примеры настройки зеркалирования трафика В этом разделе приведены примеры настройки зеркалирования трафика: •

Зеркалирование трафика с физическими интерфейсами (локальными): пример, стр. 288

Зеркалирование трафика с помощью EFP (удаленное): Пример, стр. 289

Просмотр состояния сеанса монитора: Пример, стр. 289

Статистика сеанса монитора: Пример, стр. 290

9000 Зеркалирование трафика по псевдопроводной сети: Пример, стр. 291

Зеркалирование трафика на уровне 3 на основе ACL: пример, стр. 291

Зеркалирование трафика на уровне 2 на основе ACL: пример, стр. 291

Зеркалирование трафика с физическими интерфейсами (Локальный): Пример В следующем примере показана базовая конфигурация зеркалирования трафика с физическими интерфейсами.Когда трафик проходит через перекрестное соединение «точка-точка» между gig0/2/0/19 и gig0/2/0/11, пакеты, полученные и переданные на gig0/2/0/19, также зеркалируются на gig0/2/0/15. . RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# monitor-session ms1 RP/0/RSP0/CPU0:router(config-mon)# интерфейс назначения gig0/2/0 /15 RP/0/RSP0/CPU0:router(config-mon)# commit

Интерфейс маршрутизатора служб агрегации серии Cisco ASR 9000 и аппаратный компонент

HR-288

OL-24664-01

Настройка зеркалирования трафика на Примеры конфигурации зеркалирования трафика маршрутизатора Cisco ASR серии 9000 :router(config-subif)# l2transport RP/0/RSP0/CPU0:router(config-if-l2)# commit RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config) # interface gig0/2/0/15 RP/0/RSP0/CPU0:router(config-subif)# l2transport RP/0/RSP0/CPU0:router(config-if-l2)# commit RP/0/RSP0/CPU0 :router# configure RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/19 RP/0/RSP0/CPU0:router(config-subif)# l2transport RP/0/RSP0/CPU0:router (конфиг-subif-l2) # monitor-session ms1 RP/0/RSP0/CPU0:router(config-if-l2)# commit RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# l2vpn RP/ 0/RSP0/CPU0:router(config-l2vpn)# xconnect group xg1 RP/0/RSP0/CPU0:router(config-l2vpn-xc)# p2p xg1_p1 RP/0/RSP0/CPU0:router(config-l2vpn-xc -p2p)# interface gig0/2/0/11 RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# interface gig0/2/0/19 RP/0/RSP0/CPU0:router(config -if-l2)# commit

Зеркалирование трафика с помощью EFP (удаленное): пример В следующем примере показана базовая конфигурация для удаленного зеркалирования трафика с интерфейсами EFP.Когда трафик проходит через перекрестное соединение «точка-точка» между gig0/2/0/19.10 и gig0/2/0/11.10, пакеты, полученные и переданные на gig0/2/0/19.10, также зеркалируются на gig0/2/0. /10.1. RP/0/RSP0/CPU0:router#monitor-session ms1 RP/0/RSP0/CPU0:router(config)# интерфейс назначения gig0/2/0/10.1 RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/10.1 l2transport RP/0/RSP0/CPU0:router(config-if-l2)# encapsulation dot1q 1 RP/0/RSP0/CPU0:router(config-if-l2)# rewrite ingress tag pop 1 RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/11.10 l2transport RP/0/RSP0/CPU0:router(config-if-l2)# encapsulation dot1q 10 RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/19.10 l2transport RP/0/RSP0/ CPU0:router(config-if-l2)# encapsulation dot1q 10 RP/0/RSP0/CPU0:router(config-if-l2)# monitor-session ms1 RP/0/RSP0/CPU0:router(config)# l2vpn RP /0/RSP0/CPU0:router(config-l2vpn)# xconnect group xg1 RP/0/RSP0/CPU0:router(config-l2vpn-xc)# p2p xg1_p1 RP/0/RSP0/CPU0:router(config-l2vpn- xc-p2p)# interface gig0/2/0/11.10 RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# interface gig0/2/0/19.10

Просмотр состояния сеанса монитора: пример В следующих примерах показан пример вывода команды show monitor-session с ключевым словом status: RP/0/RSP0/CPU0:router# show monitor-session status Пт, 20 февраля 14:56:04.233 UTC

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-289

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Примеры конфигурации зеркалирования трафика

Monitor-session cisco-rtp1 Destp1 Destp1 GigabitEthernet0/5/0/38 =========================================== ===================================== Исходный интерфейс Статус каталога ——— ————————— —- ———————————- ——————Gi0/5/0/4 Оба в рабочем состоянии Gi0/5/0/17 Оба в рабочем состоянии RP/0/RSP0/CPU0:router# show monitor-session status подробно Monitor-session sess1 Интерфейс назначения не настроен Исходные интерфейсы —————-GigabitEthernet0/0/0/0 Направление : Оба списка ACL совпадают: Включенная часть: Полный пакет Статус: Не работает (интерфейс назначения неизвестен).GigabitEthernet0/0/0/2 Направление: Оба ACL совпадают: Отключено Часть: Первые 100 байт Статус: Ошибка: «Viking SPAN PD» обнаружил состояние «предупреждения» «Ошибка создания соединения PRM». RP/0/RSP0/CPU0:router# показать ошибку состояния сеанса монитора Чт 1 июля 17:56:24.190 DST Сеанс монитора ms1 Интерфейс назначения GigabitEthernet0/2/0/15 не настроен ========= ================================================== ===================== Source Interface Dir Status ——————— —- ————————————————— -Monitor-session ms2 Интерфейс назначения не настроен ======================================= ======================================== Исходный интерфейс Статус каталога —— ————— —————— ———————RP/0/RSP0/CPU0:router#

Статистика сеанса мониторинга: пример Используйте команду show monitor-session с ключевым словом counters для отображения статистика/счетчики (полученные/переданные/отброшенные) различных исходных портов.Для каждого сеанса монитора эта команда отображает список всех исходных интерфейсов и статистику реплицированных пакетов для этого интерфейса. Полный набор статистических данных, отображаемых для каждого интерфейса: •

Реплицированные пакеты и октеты RX

Реплицированные пакеты и октеты TX

Нереплицированные пакеты и октеты

RP/0/RSP0/CPU0/CPU0 router# show monitor-session counters Monitor-session ms1 GigabitEthernet0/2/0/19.10 Реплицировано Rx: 1000 пакетов, 68000 октетов Реплицировано Tx: 1000 пакетов, 68000 октетов Нереплицировано: 0 пакетов, 0 октетов

Cisco ASR 9000 Series Aggregation Интерфейс маршрутизатора служб и аппаратный компонент

HR-290

OL-24664-01

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Примеры конфигурации зеркалирования трафика

Используйте команду clear monitor-session counters для очистки всей собранной статистики.По умолчанию эта команда очищает всю сохраненную статистику; однако может поставляться дополнительный интерфейсный фильтр. RP/0/RSP0/CPU0:router# очистить счетчики сеансов монитора

Зеркальное отображение трафика по псевдопроводной сети: пример В следующем примере показано, как настроить зеркалирование трафика по псевдопроводной сети: RP/0/RSP0/CPU0:router# configure RP/0 /RSP0/CPU0:router(config)# interface GigabitEthernet0/11/0/1 RP/0/RSP0/CPU0:router(config-if)# l2transport RP/0/RSP0/CPU0:router(config-if-l2) # монитор-сеанс pw-span-test RP/0/RSP0/CPU0:router(config)# монитор-сеанс pw-span-test RP/0/RSP0/CPU0:router(config-mon)# назначение псевдопровода RP/0 /RSP0/CPU0:router(config)# l2vpn RP/0/RSP0/CPU0:router(config-l2vpn)# pw-class class1 RP/0/RSP0/CPU0:router(config-l2vpn-pwc)# инкапсуляция mpls RP /0/RSP0/CPU0:router(config-l2vpn)# xconnect group g1 RP/0/RSP0/CPU0:router(config-l2vpn-xc)# p2p x1 RP/0/RSP0/CPU0:router(config-l2vpn- xc-p2p)# monitor-session pw-span-test RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p)# сосед 2.2.2.2 pw-id 1 RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p-pw)# pw-class class1 RP/0/RSP0/CPU0:router(config-l2vpn-xc-p2p- pw)# commit

Зеркалирование трафика на уровне 3 на основе ACL: пример В следующем примере показано, как настроить зеркалирование трафика на уровне 3 на основе ACL: RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router (config)# сессия монитора ms1 RP/0/RSP0/CPU0:router(config-mon)# интерфейс назначения gig0/2/0/15 RP/0/RSP0/CPU0:router(config-mon)# commit RP/ 0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/11 RP/0/RSP0/CPU0:router(config-if)# ipv4 access-group span вход RP/0/RSP0/CPU0:router(config-if)# monitor-session ms1 RP/0/RSP0/CPU0:router(config-if)# acl RP/0/RSP0/CPU0:router(config-if- mon)# commit RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# ipv4 access-list span RP/0/RSP0/CPU0:router(config-ipv4-acl)# 5 разрешить ipv4 любой любой dscp 5 захватить RP/0/RSP0/CPU0:router(config-ipv4-acl)# 10 разрешить ipv4 любой любой RP/0/RSP0/CPU0:route r(config-ipv4-acl)# commit

Зеркалирование трафика на уровне 2 на основе ACL: пример В следующем примере показано, как настроить зеркалирование трафика на основе ACL на уровне 2: RP/0/RSP0/CPU0:router# configure RP/0 /RSP0/CPU0:router(config)# monitor-session ms1

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-291

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Traffic Примеры конфигурации зеркалирования

RP/0/RSP0/CPU0:router(config-mon)# интерфейс назначения gig0/2/0/15 RP/0/RSP0/CPU0:router(config-mon)# commit RP/0/RSP0 /CPU0:router# configure RP/0/RSP0/CPU0:router(config)# interface gig0/2/0/11 RP/0/RSP0/CPU0:router(config-if)# l2transport RP/0/RSP0/CPU0 :router(config-if-l2)# exit RP/0/RSP0/CPU0:router(config-if)# группа доступа ethernet-services acl_mirror ingress RP/0/RSP0/CPU0:router(config-if)# acl RP/0/RSP0/CPU0:router(config-if)# monitor-session ms1 RP/0/RSP0/CPU0:router(config-if)# g-if-mon)# commit RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# ipv4 access-list acl_mirror RP/0/RSP0/CPU0:router(config-ipv4 -acl)# 5 разрешить ipv4 любой любой dscp 5 захватить RP/0/RSP0/CPU0:router(config-ipv4-acl)# 10 разрешить ipv4 любой любой RP/0/RSP0/CPU0:router(config-ipv4-acl) # commit

Частичное зеркалирование пакетов: пример В следующем примере показано, как настроить зеркалирование первых 100 байтов пакета: RP/0/RP0/CPU0:router(config)# interface gigabitethernet0/0/0/11 RP/0 /RP0/CPU0:router(config-if-l2)# monitor-session mon1 RP/0/RSP0/CPU0:router(config-if-mon)# зеркало first 100

Устранение неполадок Зеркалирование трафика При возникновении проблем с трафиком зеркалирования, начните устранение неполадок с проверки вывода команды show monitor-session status.Эта команда отображает записанное состояние всех сеансов и исходных интерфейсов: Monitor-session sess1 ================================ ============================================== Исходный интерфейс Dir Статус ——————— —- ———————— —————————Gi0/0/0/0 Оба Gi0/0/0/2 Оба

В предыдущем примере строка, помеченная как, может указывать на одну из следующих ошибок конфигурации: Состояние сеанса

Объяснение

Сеанс не настроен глобально

Сеанс не существует в глобальной конфигурации.Проверьте выходные данные команды show run, чтобы убедиться, что сеанс с правильным именем настроен.

Интерфейс назначения не настроен

Интерфейс, который был настроен как место назначения, не существует. Например, интерфейс назначения может быть настроен как субинтерфейс VLAN, но субинтерфейс VLAN может быть еще не создан.

Cisco ASR 9000

CISCO ASR 9000 серии ASR 9000 интерфейс интерфейс и аппаратный компонент

HR-292

OL-24664-01

Настройка трафика зеркалование на Cisco ASR 9000 Маршрутизатор маршрутизатора маршрутизатора Трансляцию Примеры конфигурации

Состояние сеанса

Объяснение

Интерфейс назначения ()

Интерфейс назначения не находится в состоянии Up в диспетчере интерфейсов.Вы можете проверить состояние с помощью команды show interfaces. Проверьте конфигурацию, чтобы увидеть, что может препятствовать запуску интерфейса (например, подинтерфейс должен иметь соответствующую настроенную инкапсуляцию).

Псевдопровод назначения не настроен

Отсутствует конфигурация L2VPN, которая должна настроить псевдопровод. Настройте имя сеанса зеркалирования трафика как один сегмент xconnect p2p.

Псевдопровод назначения (вниз)

Псевдопровод настроен, но не работает.Проверьте конфигурацию L2VPN, чтобы определить, почему псевдопровод не подходит.

Может сообщать о следующих сообщениях: Статус исходного интерфейса

Объяснение

Работает

Кажется, что в PI зеркалирования трафика все работает правильно. Пожалуйста, свяжитесь с командами платформы в первую очередь, если зеркалирование не работает должным образом.

Не работает (сеанс не настроен глобально)

Сеанс не существует в глобальной конфигурации.Проверьте выходные данные команды show run, чтобы убедиться, что сеанс с правильным именем настроен.

Не работает (интерфейс назначения неизвестен) Сеанс существует, но либо для него не указан интерфейс назначения, либо интерфейс назначения, названный для сеанса, не существует (например, если назначение является субинтерфейсом, который не создано). Не работает (источник совпадает с назначением)

Сеанс существует, но назначение и источник имеют один и тот же интерфейс, поэтому зеркалирование трафика не работает.

Не работает (назначение не активно)

Интерфейс назначения или псевдопровод не в состоянии Up. См. соответствующие сообщения об ошибках состояния сеанса для предлагаемого решения.

Не работает (исходное состояние)

Исходный интерфейс не находится в рабочем состоянии. Вы можете проверить состояние с помощью команды show interfaces. Проверьте конфигурацию, чтобы увидеть, что может препятствовать запуску интерфейса (например, подинтерфейс должен иметь соответствующую настроенную инкапсуляцию).

Ошибка: объяснение см. в подробном выводе

Ошибка зеркалирования трафика. Запустите команду show monitor-session status details, чтобы отобразить дополнительную информацию.

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-293

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 9000 Примеры конфигурации зеркалирования трафика полную информацию о параметрах конфигурации и любых обнаруженных ошибках.Например: RP/0/RSP0/CPU0:router#show подробных сведений о статусе сеанса монитора Сеанс монитора sess1 Интерфейс назначения не настроен Исходные интерфейсы —————-GigabitEthernet0/0/ 0/0 Направление: Оба списка ACL совпадают: Включено Часть: Полный пакет Статус: Не работает (интерфейс назначения неизвестен). GigabitEthernet0/0/0/2 Направление: Оба ACL совпадают: Отключено Часть: Первые 100 байт Статус: Ошибка: «Viking SPAN PD» обнаружил состояние «предупреждения» «Ошибка создания соединения PRM».

Этот подробный вывод может дать вам ясное представление о том, в чем заключается проблема.Вот дополнительные команды трассировки и отладки: RP/0/RSP0/CPU0:router# show monitor-session platform trace ? все события ошибок

Включить всю трассировку Показать ошибки Показать интересные события

RP/0/RSP0/CPU0:router# показать трассировку сеанса монитора ? процесс

Фильтр отладки по процессу

RP/0/RSP0/CPU0:router# платформа отладки монитора-сеанса ? все ошибки, информация о событии

Включить все VKG SPAN EA VKG SPAN EA VKG SPAN EA

информация об ошибках отладки, информация о событии

RP/0/RSP0/CPU0:router# debug monitor-session platform all RP/0/RSP0/CPU0 :router# событие платформы сеанса монитора отладки RP/0/RSP0/CPU0:router# информация о платформе сеанса монитора отладки RP/0/RSP0/CPU0:router# показать статус сеанса монитора ? подробные ошибки внутренние |

Отображение подробного вывода Отображение только вложений с ошибками Отображение внутренней информации о сеансе монитора Модификаторы вывода ошибки состояния RP/0/RSP0/CPU0:router# show monitor-session status internal

Интерфейс и аппаратный компонент маршрутизатора служб агрегации серии Cisco ASR 9000

HR-294

OL-24664-01

Настройка зеркалирования трафика на Маршрутизатор Cisco ASR серии 9000 Дальнейшие действия

Дальнейшие действия После настройки интерфейса Ethernet можно настроить отдельные субинтерфейсы VLAN на этом интерфейсе Ethernet.Сведения об изменении интерфейсов управления Ethernet для контроллера полки (SC), процессора маршрутов (RP) и распределенного RP см. в модуле «Расширенная настройка и изменение интерфейса Ethernet управления на маршрутизаторе Cisco ASR серии 9000» далее в этом документе. . Сведения о IPv6 см. в разделе Реализация списков доступа и списков префиксов в программном модуле Cisco IOS XR в Руководстве по настройке IP-адресов и служб Cisco IOS XR.

Дополнительные ссылки В следующих разделах приведены ссылки, относящиеся к реализации интерфейсов Gigabit и 10-Gigabit Ethernet.

Связанные документы Связанные темы

Название документа

Ethernet L2VPN

Маршрутизатор служб агрегации серии Cisco ASR 9000 Руководство по настройке L2VPN и служб Ethernet Маршрутизатор служб агрегации серии Cisco ASR 9000 Справочник по командам L2VPN и служб Ethernet

master

Команда Cisco IOS X

Список основных команд маршрутизатора служб агрегации серии Cisco ASR 9000

Команды настройки интерфейса Cisco IOS XR

Интерфейс маршрутизатора служб агрегации серии Cisco ASR 9000 и справочник по командам аппаратных компонентов

Информация о группах пользователей и идентификаторах задач

Интерфейс Cisco IOS XR и Справочник по командам аппаратных компонентов

Стандарты Стандарты

Название

IEEE 802.1ag

ITU-T Y.1731

Интерфейс и аппаратный компонент маршрутизатора служб агрегации Cisco ASR серии 9000 OL-24664-01

HR-295

Настройка зеркалирования трафика на маршрутизаторе Cisco ASR серии 900 Дополнительные ссылки3

MIB MIB

MIB Link

IEEE CFM MIB

Чтобы найти и загрузить MIB для выбранных платформ с помощью программного обеспечения Cisco IOS XR, используйте локатор Cisco MIB, который можно найти по следующему URL-адресу: http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

RFCs RFCs

Title

Эта функция не поддерживает новые или измененные RFC, и эта функция не изменила поддержку существующих RFC.

Описание службы технической поддержки

Ссылка

Веб-сайт службы технической поддержки Cisco содержит тысячи страниц технических материалов с возможностью поиска, включая ссылки на продукты, технологии, решения, технические советы и инструменты. Зарегистрирована Циско.com пользователи могут войти с этой страницы, чтобы получить доступ к еще большему контенту.

http://www.cisco.com/techsupport.

Функция анализатора коммутируемых портов (SPAN), которую иногда называют зеркалированием портов или мониторингом портов, выбирает сетевой трафик с коммутируемого порта для анализа сетевым анализатором.К сожалению, эта функция работает только на коммутаторах или коммутаторах Layer3. А в роутере, что можно сделать, чтобы скопировать трафик?

В предыдущей статье я рассказал о Embedded Packet Capture, мощной функции для захвата пакетов данных непосредственно в NVRAM. Еще одно хорошее решение — « экспорт IP-трафика ».

Представленная в 12.3(4)T IOS функция экспорта IP-трафика позволяет пользователям настраивать маршрутизатор для экспорта IP-пакетов, полученных на нескольких одновременных интерфейсах WAN или LAN.Неизмененные IP-пакеты экспортируются на один интерфейс LAN или VLAN, что упрощает развертывание анализаторов протоколов и устройств мониторинга.

Как использовать экспорт IP-трафика

Предположим, вы скопировали трафик Dialer1 на хост IDS (Mac-адрес: 0015.61b9.2abb).

Шаг 1: Определите профиль экспорта трафика

 Ciscozine#conf t
Ciscozine(config)#ip traffic-export profile ciscozine-test mode export
Ciscozine (обряд конференции) # двунаправленный
Ciscozine(conf-rite)#интерфейс fastEthernet 0/0
Ciscozine(conf-rite)#mac-адрес 0015.61b9.2abb 

Двунаправленная команда экспортирует входящий и исходящий IP-трафик на контролируемом интерфейсе. Если эта команда не включена, экспортируется только входящий трафик.

Команда interface указывает исходящий интерфейс для экспортируемого трафика.

Команда mac-address указывает 48-битный адрес узла назначения, который получает экспортируемый трафик.

Шаг № 2: Применение профиля к входному интерфейсу

 Ciscozine(config)#interface dialer 1
Ciscozine(config-if)#ip traffic-export apply ciscozine-test 

После этого маршрутизатор начнет зеркалировать IP-трафик на хост.

Для просмотра статистики экспорта трафика используйте команду «show ip traffic-export»:

 Ciscozine#show ip traffic-export
Параметры экспорта IP-трафика маршрутизатора
Контролируемый интерфейс номеронабирателя1
      Экспортный интерфейс FastEthernet0/0
      MAC-адрес назначения 0015.61b9.2abb
      двунаправленный экспорт трафика включен
Выходной IP-трафик Экспорт информации Пакеты/байты Экспортировано 981/475672
      Пакеты отброшены 0
      Частота дискретизации один в каждом 1 пакет
      Список доступа не настроен
Входной IP-трафик Экспорт информации Пакеты/байты Экспортировано 900/571078
      Пакеты отброшены 0
      Частота дискретизации один в каждом 1 пакет
      Список доступа не настроен
      Профиль ciscozine-test активен

Ciscozine# 

Помните: Когда экспорт IP-трафика включен, на исходящем интерфейсе возникает задержка, когда пакеты перехватываются и передаются через интерфейс.Задержки производительности увеличиваются с увеличением числа отслеживаемых интерфейсов и числа хостов назначения.

Ограничение

  • MAC-адрес устройства, принимающего экспортируемый трафик, должен находиться в той же сети VLAN или напрямую подключаться к одному из интерфейсов маршрутизатора. (Используйте команду show arp, чтобы определить MAC-адрес устройства, которое напрямую подключено к интерфейсу.)
  • Исходящий интерфейс для экспортируемого трафика должен быть Ethernet (10/100/1000).(Входящий (отслеживаемый) трафик может проходить через любой интерфейс.)

Как и встроенный захват пакетов, экспорт IP-трафика позволяет сохранять пакеты в локальной памяти маршрутизатора, а затем выгружать эти данные в файл на внешнем устройстве, например во флэш-памяти. Для этого вам необходимо:

Шаг 1: Определить профиль захвата трафика

 Ciscozine(config)#ip traffic-export profile ciscozine-test-2 режим захвата
Ciscozine(conf-rite)#bidirectional 

Шаг 2: Применение профиля к входному интерфейсу

 Ciscozine(config)#int dialer 1
Ciscozine(config-if)#ip traffic-export apply ciscozine-test-2 size 1000000 

Step3: Запустите захват

 traffic-export interface dialer 1 start 

Шаг 4: Остановите захват, когда вы хотите , если хотите, дождитесь заполнения буфера

 traffic-export interface dialer 1 stop 

Step5: Проверьте статистику захвата IP-трафика

 Ciscozine#show ip traffic-export
Параметры экспорта IP-трафика маршрутизатора
Контролируемый интерфейс: Dialer1
      Захват полной длины пакета.двунаправленный захват трафика включен
   Выходные пакеты информации о захвате IP-трафика/количество захваченных байтов 748/389641
      Пакеты отброшены 1078
      Частота дискретизации один в каждом 1 пакет
      Список доступа не настроен
   Ввод информации о захвате IP-трафика
      Пакетов/байт захвачено 794/584753
      Пакеты отброшены 1040
      Частота дискретизации один в каждом 1 пакет
      Список доступа не настроен
   Информация о буфере захвата IP-трафика Определенный размер буфера 1000000 байт
      Размер буфера захвата 1000000 байт
      Буфер захвата использован 999090 байт Буфер захвата свободен 910 байт
   Состояние захвата профиля ciscozine-test-2: Буфер полон

Ciscozine# 

Шаг 6: Скопируйте файл дампа на внешнее устройство (в данном случае на сервер tftp)

 интерфейс дозвона трафика-экспорта 1 копия tftp: 

Шаг 7: Проверьте файл дампа с помощью wireshark

Помните: Если вы хотите очистить буфер захвата пакетов для назначенного интерфейса, используйте команду traffic-export interface clear .

Под видео с примером

Ссылки: http://www.cisco.com/…/12_4t11/ht_rawip.html

Что такое зеркалирование портов?

Зеркалирование портов используется на сетевом коммутаторе или маршрутизаторе для отправки копии сетевых пакетов, видимых на указанных портах (исходных портах), на другие указанные порты (порты назначения).При включении зеркалирования портов можно отслеживать и анализировать пакеты. Зеркалирование портов широко применяется, например, сетевые инженеры могут использовать зеркалирование портов для анализа и отладки данных или диагностики ошибок в своих сетях, не влияя на возможности обработки пакетов сетевых устройств. А Министерство культуры и общественной безопасности может собирать соответствующие данные от зеркалирования портов для анализа поведения сети, чтобы обеспечить здоровую сетевую среду.

Как работает зеркалирование портов?

Локальное и удаленное зеркалирование портов — это два типа зеркалирования портов, основанные на разных рабочих диапазонах зеркалирования.Они действуют по разным принципам.

Зеркальное отображение локального порта является наиболее простой формой зеркалирования. Все исходные порты расположены на том же сетевом устройстве, что и порты назначения. Как показано на рисунке 1, зеркальное отображение локального порта позволяет сетевому коммутатору пересылать копию пакета с исходного порта (Eth 1/1) на порт назначения (Eth 1/2). Затем устройство мониторинга, подключенное к порту назначения, может отслеживать и анализировать пакет.

Что касается удаленного зеркалирования портов, исходные порты и порты назначения не находятся на одном устройстве.Как показано на рисунке 2, порт источника (Eth 1/3) находится на одном коммутаторе, а порт назначения (Eth 1/3) — на другом коммутаторе. Исходный порт пересылает копию пакета на порт назначения через восходящее соединение, установленное портом (Eth 1/4) на двух коммутаторах. Таким образом, локальное зеркалирование портов может реализовать мониторинг и анализ данных на разных устройствах.

Общие часто задаваемые вопросы и решения

Как настроить зеркалирование портов?

Предварительным условием настройки зеркалирования портов является обеспечение того, чтобы сетевое устройство (независимо от коммутатора или маршрутизатора) поддерживало зеркалирование портов.Затем выберите один из режимов: зеркалирование локального порта или конфигурация зеркалирования удаленного порта.

Дорожная карта конфигурации зеркалирования локальных портов :

1. Создайте виртуальную локальную сеть.

2. Добавьте порт источника и порт назначения в VLAN.

3. Настройте IP-адрес.

4. Настройте зеркалирование портов на порте назначения и скопируйте пакет из исходного порта в порт назначения.

Дорожная карта настройки зеркалирования удаленного порта :

1.Создайте исходный порт в глобальной схеме.

2. Настройте восходящий порт на одном коммутаторе.

3. Создайте порт назначения в глобальной схеме.

4. Настройте восходящий порт на другом коммутаторе.

Обратите внимание, что:

1. Конфигурация вступает в силу после установки одного порта в качестве порта источника и установки другого порта в качестве порта назначения в локальном зеркалировании портов.

2.При создании группы зеркалирования можно указать только один порт назначения, но в группе может быть один или несколько исходных портов.

3. Если в качестве исходного порта в одной группе зеркалирования указан один порт, он не может быть членом другой группы зеркалирования.

4. Если один порт указан в качестве порта назначения в одной группе зеркалирования, он не может быть членом другой группы зеркалирования.

5. Не рекомендуется применять STP, RSTP или MSTP к порту назначения, иначе устройство может работать со сбоями.

Зеркалирование портов и зеркалирование трафика: в чем разница?

Зеркалирование портов и зеркалирование трафика относятся к функции зеркалирования.

Зеркалирование трафика копирует указанный трафик, соответствующий определенному правилу конфигурации, на порт назначения для анализа и мониторинга. Как показано на рисунке 3, исходный порт копирует поток данных, соответствующий правилу, от клиента 2 в порт назначения, который затем отправляет скопированный поток данных на устройство мониторинга.Соответствующий поток данных можно настроить с помощью ACL (списка управления доступом) или команд конфигурации. При зеркалировании трафика на устройство мониторинга отправляется только выбранный или сопоставленный трафик, в то время как зеркалирование портов копирует каждый пакет, проходящий через интерфейс, на устройство мониторинга.

Зеркалирование портов и сопоставление портов: в чем разница?

Сопоставление портов, также называемое переадресацией портов, используется для переадресации IP-адреса локальной сети в глобальную сеть или переадресации IP-адреса из глобальной сети в локальную сеть.В типичной жилой сети узлы получают доступ в Интернет через кабельный модем, подключенный к маршрутизатору. Маршрутизатор настроен на общедоступный IP-адрес, а компьютер за маршрутизатором имеет частный IP-адрес, невидимый для хостов в Интернете. Когда пользователи выполняют поиск в Google, хост в Интернете распознает только IP-адрес маршрутизатора и отправляет данные на маршрутизатор. Затем маршрутизатор пересылает данные на ПК через список сопоставления портов (обратите внимание, что только маршрутизатор с сопоставлением портов может отправлять данные обратной связи на соответствующий ПК).Таким образом, сопоставление портов — это процесс пересылки данных, а зеркалирование портов — процесс копирования данных.

Как проверить зеркалирование портов?

Как правило, пользователи могут проверять результаты зеркального отображения портов с помощью программного обеспечения для захвата пакетов. Запустите программное обеспечение на устройстве мониторинга, конфигурация завершится успешно при получении пакета, отправленного или полученного исходным портом.

Статьи по Теме

Настройка зеркалирования портов на коммутаторах серии S3900

Настройка SPAN на коммутаторах Cisco Catalyst

Возможность отслеживать сетевой трафик имеет важное значение, когда речь идет об устранении неполадок, проведении аудита безопасности или даже случайной проверке вашей сети на наличие подозрительного трафика.

В прежние времена всякий раз, когда возникала необходимость отслеживать или перехватывать сетевой трафик, где-то в сетевом канале вводился концентратор, который, благодаря неэффективной конструкции концентратора, копировал все пакеты, входящие с одного порта, на все порты. остальные порты, что упрощает мониторинг сетевого трафика. Те, кто интересуется основами концентраторов, могут прочитать нашу статью о концентраторах и повторителях.

Конечно, коммутаторы работают по совершенно другому принципу и не реплицируют одноадресные пакеты из каждого порта коммутатора, а сохраняют их изолированными, если только это не широковещательные или многоадресные рассылки.

К счастью, мониторинг сетевого трафика на коммутаторах Cisco Catalyst является простым процессом и не требует наличия концентратора. Метод Cisco называется Анализатор коммутируемых портов , также известный как SPAN .

Понимание терминологии SPAN
  • Входящий трафик : Трафик, поступающий на коммутатор
  • Исходящий трафик : Трафик, выходящий из коммутатора
  • Исходный (SPAN) порт : порт, который контролируется
  • Источник (SPAN) VLAN : VLAN, трафик которой отслеживается
  • Порт назначения (SPAN) : порт, который отслеживает исходные порты.Обычно это точка, к которой подключается сетевой анализатор.
  • Remote SPAN ( RSPAN ): когда порты источника не расположены на том же коммутаторе, что и порт назначения . RSPAN — это расширенная функция, которая требует специальной VLAN для передачи отслеживаемого трафика и поддерживается не всеми коммутаторами. Объяснение и настройка RSPAN будут рассмотрены в другой статье.

Рисунок 1. Приведенная выше схема сети помогает нам понять терминологию и реализацию SPAN .

Исходный SPAN Порты отслеживаются на наличие принимаемого, (RX — входящий), передаваемого, (TX — исходящий) или двунаправленного (оба) трафика. Трафик, входящий или исходящий из исходных портов SPAN , зеркалируется на порт назначения SPAN . Как правило, вы подключаете компьютер к сетевому анализатору через порт Destination SPAN и настраиваете его для захвата и анализа трафика.

Количество информации, которую вы можете получить из сеанса SPAN, действительно зависит от того, насколько хорошо захваченные данные могут быть интерпретированы и поняты.Надежный сетевой анализатор не только покажет перехваченные пакеты, но и автоматически диагностирует такие проблемы, как повторные передачи TCP, сбои DNS, медленные ответы TCP, перенаправление сообщений ICMP и многое другое. Эти возможности помогают любому инженеру быстро обнаруживать сетевые проблемы, которые иначе было бы нелегко обнаружить.

 

Основные характеристики и ограничения исходного порта

Исходный порт имеет следующие характеристики:

  • Это может быть любой тип порта, такой как EtherChannel, Fast Ethernet, Gigabit Ethernet и т. д.
  • Его можно отслеживать в нескольких сеансах SPAN.
  • Это не может быть порт назначения (именно там подключен анализатор пакетов)
  • Для каждого исходного порта можно настроить направление (вход, выход или оба) для отслеживания. Для источников EtherChannel отслеживаемое направление применяется ко всем физическим портам в группе.
  • Исходные порты могут находиться в одной или разных VLAN.
  • Для источников VLAN SPAN все активные порты в исходной VLAN включены в качестве исходных портов.
 
Основные характеристики и ограничения порта назначения

Каждый сеанс SPAN должен иметь порт назначения, который получает копию трафика от исходных портов и VLAN.

Порт назначения имеет следующие характеристики:

  • Порт назначения должен находиться на том же коммутаторе, что и исходный порт (для локального сеанса SPAN).
  • Порт назначения может быть любым физическим портом Ethernet.
  • Порт назначения может одновременно участвовать только в одном сеансе SPAN.
  • Порт назначения в одном сеансе SPAN не может быть портом назначения для второго сеанса SPAN.
  • Порт назначения не может быть исходным портом.
  • Порт назначения не может быть группой EtherChannel.

 

Ограничения SPAN на моделях Cisco Catalyst

Ниже приведены ограничения SPAN на различных коммутаторах Cisco Catalyst:

  • Коммутаторы Cisco Catalyst 2950 могут одновременно активировать только один сеанс SPAN и могут контролировать исходные порты.Эти коммутаторы не могут отслеживать источник VLAN.
  • Коммутаторы Cisco Catalyst могут перенаправлять трафик на SPAN-порт назначения в Cisco IOS 12.1(13)EA1 и более поздних версиях
  • Коммутаторы Cisco Catalyst 3550, 3560 и 3750 могут поддерживать до двух сеансов SPAN одновременно и могут отслеживать исходные порты, а также VLAN
  • Коммутаторы Catalyst 2970, 3560 и 3750 не требуют настройки порта рефлектора при настройке сеанса RSPAN.
  • Коммутаторы Catalyst 3750 поддерживают настройку сеанса с использованием исходного и целевого портов, которые находятся на любом из элементов стека коммутаторов.
  • Для одного сеанса SPAN допускается только один порт назначения, и один и тот же порт не может быть портом назначения для нескольких сеансов SPAN. Поэтому у вас не может быть двух сеансов SPAN, использующих один и тот же порт назначения.
Настройка SPAN на коммутаторах Cisco Catalyst

В качестве испытательного стенда использовался коммутатор Cisco Catalyst 3550 уровня 3, однако используемые команды полностью поддерживаются всеми коммутаторами Cisco Catalyst 2940, 2950, ​​2955, 2960, 2970, 3550, 3560, 3560-E, 3750, 3750-E и Коммутаторы серии 4507R.

На приведенной ниже диаграмме представлена ​​типичная конфигурация сети, в которой необходимо отслеживать входящий (входящий) и исходящий (исходящий) трафик через порт, к которому подключен маршрутизатор (FE0/1). Этот стратегически выбранный порт, по сути, отслеживает весь трафик, входящий и исходящий из нашей сети.

Поскольку маршрутизатор R1 подключается к коммутатору Catalyst 3550 через порт FE0/1 , этот порт настроен как исходный порт SPAN . Трафик, скопированный с FE0/1 , должен быть зеркально отражен на FE0/24 , где наша рабочая станция мониторинга ожидает захвата трафика.

После настройки и запуска нашего сетевого анализатора первым шагом будет настройка FastEthernet 0/1 в качестве исходного SPAN-порта :

.

Catalyst-3550(config)# монитор сеанса 1 исходный интерфейс fastethernet 0/1

 

Затем настройте FastEthernet 0/24 в качестве порта SPAN назначения :

.

Catalyst-3550(config)# монитор сеанса 1 интерфейс назначения fastethernet 0/24

После ввода обеих команд мы заметили, что индикатор порта SPAN нашего пункта назначения ( FE0/24 ) начал мигать синхронно со светодиодом FE0/1 — ожидаемое поведение, учитывая, что все пакеты FE0/1 копировались на . FE0/24 .

Для подтверждения сеанса мониторинга и операции требуется одна простая команда, show monitor session 1 :

Catalyst-3550 # Show Monitor Session 1
сеанс 1
———-
Тип: Локальное сессия
Исходные порыты:
Оба: FA0 / 1
Порты назначения: FA0 / 24
Инкапсуляция : Собственный
          Вход: отключен


Чтобы отобразить подробную информацию из сохраненной версии конфигурации монитора для определенного сеанса, введите команду show monitor session 1 detail :

Catalyst-3550 # Show Monitor Session 1 Detail
сеанс 1
———-
Тип: Локальный сеанс
Порты источника:
RX Только: Нет
TX Только: Нет
Оба: FA0 / 1
Source VLAN: NOTE
RX только: NOTE
TX только: NOTE
Оба: None
Источник RSPAN VLAN: NOTE
Порты назначения: FA0 / 24
Инкапсуляция: FA0 / 24
INCAPSAPLESTORE: Invold
Порт отражатель: Нет
Фильтр VLAN: NOTE
Целевая RSPAN VLAN    : Нет

Обратите внимание, что в разделе Source Ports показано Fa0/1 для строки с именем Both .

Добавить комментарий

Ваш адрес email не будет опубликован.