Eine Anleitung zur Portspiegelung auf Cisco (SPAN) -Switches

SPAN ist der Switched Port Analyzer, der auf einigen Cisco Catalyst-Switches verfügbar ist. Sie können SPAN verwenden für:

• Catalyst Express 500/520-Serie
• Katalysatorserie 1900
• Catalyst 2900XL-Serie
• Katalysatorserie 2940
• Katalysator 2948G-L2, 2948G-GE-TX, 2980G-A
• Katalysatorserie 2950
• Katalysatorserie 2955
• Katalysator 2960 Serie
• Katalysatorserie 2970
• Catalyst 3500 XL-Serie
• Catalyst 3550 Series
• Katalysator 3560 / 3560E / 3650X-Serie
• Katalysator 3750 / 3750E / 3750X-Serie
• Catalyst 3750 Metro Series
• Catalyst 4500/4000 Series
• Catalyst 4900 Series
• Katalysatorserie 5500/5000
• Catalyst 6500/6000 Series

Hinweis: Der Einrichtungsvorgang ist für jedes Modell unterschiedlich.

Was ist SPAN??

Mit der SPAN-Funktion können Sie einen Paket-Sniffer an einen Switch anschließen. Ohne SPAN würde der Sniffer nur Broadcast-Nachrichten empfangen, da der Switch einen Stromkreis zwischen zwei Kommunikationsgeräten schließt und den an einem anderen Port angeschlossenen Sniffer aussperrt. Mit SPAN, Der gesamte Datenverkehr über den Port wird repliziert und an den Sniffer-Port gesendet. Dieser Vorgang wird als “Spiegeln” bezeichnet.

Das SPAN-System ist in der Lage, einen einzelnen Port oder mehrere Ports zu überwachen. Es ist auch möglich, die Richtung des Verkehrs zu diesem Hafen zu identifizieren. Mit einer Variante von SPAN, RSPAN (Remote Switch Port Analyzer), können Sie den Datenverkehr zwischen Switches überwachen. Die RSPAN-Option ist nicht bei allen Catalyst-Switches verfügbar – Express 500 / 520-, 5500/5000-, 3500 XL-, 2940-, 2948G-L3- und 2900XL-Switches verfügen nicht über die RSPAN-Funktion.

Sie können SPAN so einstellen, dass ein VLAN-Port überwacht wird, und Sie können auch festlegen, dass der gesamte VLAN-Verkehr überwacht werden soll. Eine kleine Terminologie muss erklärt werden. Die Begriffe „Quelle” und “Ziel,“, Die im Networking häufig verwendet werden, haben innerhalb von SPAN eine leicht unterschiedliche Bedeutung. Hier ist die „Quelle“ ein beliebiger Port, nicht der Ursprung des Verkehrs. Der Begriff “Ziel” in SPAN bezieht sich auf den Port, mit dem der Paket-Sniffer verbunden ist. Dies ist nicht das Ziel des überwachten Verkehrs.

Richten Sie SPAN am Switch ein

Cisco empfiehlt je nach Version des Catalyst-Switch unterschiedliche Methoden zum Einrichten der Portspiegelung mit SPAN. Diese Schritte leiten nur Kopien von Verkehrspaketen an den Port um, an den Sie Ihr Gerät anschließen. Die Portspiegelungskonfiguration speichert oder analysiert den Datenverkehr nicht. Sie können eine beliebige Netzwerkanalyse-Software verwenden, um die an Ihr Gerät gesendeten Pakete zu verarbeiten.

Richten Sie SPAN auf IOS-Switches ein

Bei diesen Switch-Modellen müssen Sie das Betriebssystem des Geräts aufrufen und einen Befehl ausgeben, um den SPAN-Port und den zu überwachenden Port anzugeben. Diese Aufgabe wird durch zwei Befehlszeilen realisiert. Man muss Geben Sie die Quelle an, Dies bedeutet, der Port, an dem der Datenverkehr repliziert wird, und der andere gibt die Portnummer an, mit der der Sniffer verbunden ist – Dies ist die Ziellinie.

Sitzungsquelle überwachen [Schnittstelle | Fernbedienung | vlan] [rx | tx | beide]
Sitzungszielschnittstelle überwachen

Nachdem Sie den Spiegel definiert haben, müssen Sie STRG-Z drücken, um die Konfigurationsdefinition zu beenden.

Mit der Sitzungsnummer können Sie lediglich mehrere verschiedene Monitore erstellen, die gleichzeitig ausgeführt werden. Wenn Sie in einem nachfolgenden Befehl dieselbe Sitzungsnummer verwenden, brechen Sie den ursprünglichen Trace ab und ersetzen ihn durch die neue Spezifikation. Portbereiche werden durch einen Bindestrich (“-“) und eine Folge von Ports durch Kommas (“,”) getrennt..

Das letzte Element in der Befehlszeile für den Quellport (den zu überwachenden Port) ist die Angabe, ob der Switch übertragene Pakete replizieren soll von diesem Hafen, oder zu diesem Hafen, oder beide.

Richten Sie SPAN auf CatOS-Switches ein

Neuere Catalyst-Produktreihen werden mit einem neueren Betriebssystem namens ausgeliefert CatOS, anstelle des älteren IOS-Betriebssystems. Die Befehle zum Einrichten der SPAN-Spiegelung in diesen Schaltern unterscheiden sich geringfügig. Mit diesem Betriebssystem erstellen Sie die Spiegelung mit nur einem Befehl anstelle von zwei Befehlen.

set span [rx | tx | both]
[inpkts]
[Lernen ]
[Multicast]
[Filter]
[erstellen]

Die Quellports werden durch das erste Element in diesem Befehl definiert, bei dem es sich um den Teil „src_mod / src_ports“ handelt. Eine zweite Portkennung im Befehl wird automatisch als Zielport gelesen, d. H. Der Port, an den der Paket-Sniffer angeschlossen ist. Das “rx | tx | beideDas Element “” weist den Switch an, die übertragenen Pakete zu replizieren vom Hafen, oder zum Hafen, oder beide.

Es gibt auch einen Befehl set span, um die Spiegelung zu deaktivieren:

set span disable [dest_mod / dest_port | all]

Richten Sie SPAN auf Catalyst Express 500- und Catalyst Express 520-Switches ein

Wenn Sie über einen Catalyst Express 500- oder Catalyst Express 520-Switch verfügen, geben Sie die SPAN-Einstellungen nicht im Betriebssystem ein. Um mit dem Switch zu kommunizieren und seine Einstellungen zu ändern, müssen Sie den installieren Cisco Network Assistant (CNA). Diese Netzwerkverwaltungssoftware ist kostenlos und läuft in der Windows-Umgebung. Befolgen Sie diese Schritte, um SPAN für den Switch zu aktivieren.

1. Melden Sie sich über die CNA-Schnittstelle beim Switch an.
2. Wähle aus Smartports Option in der CNA Speisekarte. Daraufhin wird eine Grafik angezeigt, die das Port-Array des Switch darstellt.
3. Klicken Sie auf den Port, an den Sie den Packet Sniffer anschließen möchten, und wählen Sie den Ändern Möglichkeit. Daraufhin wird ein Popup-Fenster angezeigt.
4. Wählen Diagnose in dem Rolle Liste und wählen Sie den Port aus, dessen Datenverkehr überwacht werden soll Quelle Dropdown-Liste. Wenn Sie ein VLAN speziell überwachen möchten, wählen Sie es aus der Ingress VLAN aufführen. Wenn Sie nicht nur den Datenverkehr für ein VLAN überwachen möchten, belassen Sie diesen Wert auf dem Standardwert. Klicke auf in Ordnung um die Einstellungen zu speichern.
5. Klicke auf in Ordnung und dann Anwenden in dem Smartports Bildschirm.
6. Ein Problem mit der CNA-Methode besteht darin, dass die Software nur unter Windows-Versionen bis Windows 7 ausgeführt werden kann.

Überwachen des Netzwerkverkehrs

Das Definieren des SPAN-Ports auf Ihrem Switch ist nur die Hälfte der Aufgabe, den Netzwerkverkehr zu erfassen. Bei den oben erläuterten Verfahren werden Pakete repliziert und an einen bestimmten Port des Switch gesendet. Als nächstes müssen Sie einen Computer an diesen Port anschließen und eine Verkehrsanalysesoftware darauf platzieren, um diese Pakete zu speichern und zu analysieren.

Weitere Informationen zur Verkehrsanalysesoftware finden Sie im Artikel Die 9 besten Paketschnüffler und Netzwerkanalysatoren für 2023. Sie sollten sich auch darüber im Klaren sein, dass durch eine umfassende Portspiegelung eine Menge Daten generiert werden können, die Speicherplatz beanspruchen. Wählen Sie daher die zu überwachenden Ports aus, und lassen Sie den Paketerfassungsprozess nicht zu lange laufen.

Cisco Verkehrsüberwachungssysteme

Die vollständige Erfassung und Speicherung von Paketen kann zu Problemen mit der Vertraulichkeit von Daten führen. Obwohl der größte Teil des Datenverkehrs in Ihrem Netzwerk verschlüsselt wird, wird nicht der gesamte interne Datenverkehr verschlüsselt, wenn er für externe Sites bestimmt ist. Sofern Ihre Organisation keine zusätzliche Sicherheit für E-Mails implementiert hat, wird der E-Mail-Verkehr in Ihrem Netzwerk standardmäßig nicht verschlüsselt.

Als alternative Verkehrsanalysetechnik können Sie NetFlow in Betracht ziehen. Dies ist ein Messaging-System, das auf allen Cisco-Geräten aktiviert ist und nur die Header von Paketen an einen zentralen Monitor weiterleitet. In diesem Artikel erfahren Sie mehr über Netzwerkmonitore, die NetFlow-Daten erfassen 10 Die besten kostenlosen und Premium NetFlow-Analysatoren und -Sammler.

Sobald Sie alle Informationen über die Verkehrsüberwachungsfunktionen Ihrer Cisco-Switches zur Hand haben, können Sie besser entscheiden, welche Paketerfassungsmethode verwendet werden soll.