Una guida al mirroring delle porte sugli switch Cisco (SPAN)

SPAN è lo Switched Port Analyzer disponibile su alcuni switch Cisco Catalyst. Puoi utilizzare SPAN su:

• Catalyst Express serie 500/520
• Catalyst 1900 Series
• Catalyst 2900XL Series
• Catalyst 2940 Series
• Catalizzatore 2948G-L2, 2948G-GE-TX, 2980G-A
• Catalyst 2950 Series
• Catalyst 2955 Series
• Catalyst 2960 Series
• Catalyst 2970 Series
• Catalyst 3500 XL Series
• Catalyst 3550 Series
• Catalizzatore serie 3560 / 3560E / 3650X
• Catalizzatore serie 3750 / 3750E / 3750X
• Catalyst 3750 Metro Series
• Catalyst 4500/4000 Series
• Catalyst 4900 Series
• Catalyst 5500/5000 Series
• Catalizzatore serie 6500/6000

Nota: il processo di installazione è diverso per ciascun modello.

Che cos’è SPAN?

La funzione SPAN consente di collegare uno sniffer di pacchetti a uno switch. Senza SPAN, lo sniffer rileverà i messaggi di trasmissione solo perché lo switch chiude un circuito tra due dispositivi comunicanti, bloccando lo sniffer collegato a una porta diversa. Con SPAN, tutto il traffico che passa attraverso la porta viene replicato e inviato alla porta dello sniffer. Questo processo è noto come “mirroring”.

Il sistema SPAN è in grado di monitorare una o più porte. È anche possibile identificare la direzione del traffico verso quella porta. Una variazione su SPAN, denominata RSPAN (Remote Switch Port Analyzer) consente di monitorare il traffico tra gli switch. L’opzione RSPAN non è disponibile su tutti gli switch Catalyst: gli switch Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 e 2900XL non dispongono della funzione RSPAN.

È possibile impostare SPAN per monitorare una porta VLAN e inoltre è possibile specificare che deve monitorare tutto il traffico VLAN. È necessario spiegare una piccola terminologia. I termini “fonte” e “destinazione,”Che sono comunemente usati in rete hanno significati leggermente diversi all’interno di SPAN. Qui, la “fonte” è qualsiasi porta, non l’origine del traffico. Il termine “destinazione” in SPAN si riferisce alla porta a cui è collegato lo sniffer di pacchetti; non significa la destinazione del traffico monitorato.

Impostare SPAN sullo switch

Cisco consiglia diversi metodi per impostare il mirroring delle porte con SPAN in base alla versione dello switch Catalyst. Questi passaggi dirottano semplicemente le copie dei pacchetti di traffico sulla porta a cui si collega il dispositivo. L’impostazione del mirroring delle porte non memorizzerà né analizzerà il traffico. È possibile utilizzare qualsiasi software di analisi di rete per elaborare i pacchetti inviati al dispositivo.

Impostare SPAN su switch IOS

Per questi modelli di switch, è necessario accedere al sistema operativo del dispositivo ed emettere un comando per specificare la porta SPAN e la porta da monitorare. Questa attività è implementata da due linee di comandi. Uno deve specifica la fonte, il che significa la porta a cui verrà replicato il traffico e l’altra fornisce il numero di porta a cui è collegato lo sniffer – questa è la linea di destinazione.

monitorare la sorgente della sessione [interfaccia | remoto | vlan] [rx | tx | tutti e due]
monitorare l’interfaccia di destinazione della sessione

Una volta terminata la definizione del mirror, è necessario premere CTRL-Z per terminare la definizione della configurazione.

Il numero di sessione consente solo di creare diversi monitor diversi in esecuzione contemporaneamente. Se si utilizza lo stesso numero di sessione in un comando successivo, si annullerà la traccia originale e la si sostituirà con la nuova specifica. Gli intervalli di porte sono definiti da un trattino (“-“) e una sequenza di porte è separata da virgole (“,”).

L’ultimo elemento nella riga di comando per la porta di origine (la porta da monitorare) è la specifica se lo switch deve replicare i pacchetti trasmessi da quel porto, o a quella porta, o tutti e due.

Configurare SPAN sugli switch CatOS

Le gamme Catalyst più recenti vengono fornite con un sistema operativo più recente, chiamato CatOS, invece del vecchio sistema operativo IOS. I comandi utilizzati per impostare il mirroring SPAN in questi switch sono leggermente diversi. Con questo sistema operativo, si crea il mirroring con un solo comando anziché due.

set span [rx | tx | both]
[inpkts]
[apprendimento]
[multicast]
[filtro]
[creare]

Le porte di origine sono definite dal primo elemento in questo comando, che è la parte “src_mod / src_ports”. Un secondo identificatore di porta sul comando viene automaticamente letto come porta di destinazione, ovvero la porta a cui è collegato lo sniffer di pacchetti. Il “rx | tx | tutti e due“Element dice allo switch di replicare i pacchetti trasmessi dal porto, o al porto, o tutti e due.

Esiste anche un comando set span per disattivare il mirroring:

set span disable [dest_mod / dest_port | all]

Configurare SPAN sugli switch Catalyst Express 500 e Catalyst Express 520

Se si dispone di un interruttore Catalyst Express 500 o Catalyst Express 520, non si immettono le impostazioni SPAN sul sistema operativo. Per comunicare con l’interruttore e modificarne le impostazioni, è necessario installare Cisco Network Assistant (CNA). Questo software di gestione della rete è gratuito e funziona in ambiente Windows. Attenersi alla seguente procedura per attivare SPAN sullo switch.

1. Accedere allo switch tramite l’interfaccia CNA.
2. Seleziona il Smartports opzione nell’opzione CNA menù. Verrà visualizzato un grafico che rappresenta l’array di porte dello switch.
3. Fare clic sulla porta a cui si desidera connettere lo sniffer di pacchetti e selezionare Modificare opzione. Questo mostrerà una finestra pop-up.
4. Selezionare Diagnostica nel Ruolo elenco e selezionare la porta per la quale verrà monitorato il traffico dal fonte menu `A tendina. Se si desidera monitorare in modo specifico una VLAN, selezionarla da Ingress VLAN elenco. Se non miri solo a monitorare il traffico per una VLAN, lascia questo valore sul valore predefinito. Clicca su ok per salvare le impostazioni.
5. Clicca su ok e poi Applicare nel Smartports schermo.
6. Un problema con il metodo CNA è che il software funziona solo su versioni Windows fino a Windows 7.

Monitoraggio del traffico di rete

Ottenere la porta SPAN definita sullo switch è solo metà dell’attività di acquisizione del traffico di rete. Le procedure spiegate sopra faranno replicare i pacchetti e inviarli a una porta specifica sullo switch. Successivamente è necessario collegare un computer a quella porta e inserire del software di analisi del traffico al fine di archiviare e analizzare questi pacchetti.

Puoi trovare ulteriori informazioni sul software di analisi del traffico nell’articolo 9 migliori sniffer di pacchetti e analizzatori di rete per il 2023. Dovresti anche essere consapevole del fatto che un esteso mirroring delle porte può generare molti dati che occuperanno spazio di archiviazione, quindi cerca di essere selettivo sulle porte monitorate e non lasciare che il processo di acquisizione dei pacchetti venga eseguito troppo a lungo.

Sistemi di monitoraggio del traffico Cisco

L’acquisizione e l’archiviazione complete dei pacchetti potrebbe causare problemi con la riservatezza dei dati. Sebbene la maggior parte del traffico che passa sulla tua rete sarà crittografato, se è destinato a siti esterni, non tutto il traffico interno sarà crittografato. A meno che l’organizzazione non abbia deciso di implementare una sicurezza aggiuntiva per le e-mail, il traffico di posta elettronica all’interno della rete non verrà crittografato per impostazione predefinita.

Come tecnica di analisi del traffico alternativa, potresti prendere in considerazione l’utilizzo di NetFlow. Questo è un sistema di messaggistica abilitato su tutti i dispositivi Cisco e inoltrerà solo le intestazioni dei pacchetti a un monitor centrale. Puoi leggere i monitor di rete che raccolgono i dati NetFlow nell’articolo 10 migliori analizzatori e collezionisti NetFlow gratuiti e premium.

Una volta che avrai tutte le informazioni a portata di mano su tutte le funzionalità di monitoraggio del traffico dei tuoi switch Cisco, sarai in una posizione migliore per decidere quale metodo di acquisizione dei pacchetti usare.