SPAN释义:
SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装SNIFFE工具的PC受控端口和 监控端口可以在同一台交换机上的,那就是本地SPAN。
背景环境:
防火墙,这是大家提到安全时候想到的第一个词,最为可靠的设备要数防火墙了,通过我们的精心配制安全方案,他确实能给我们带来不错的效果,但这还是远远不够的,因为防火墙是针对进入网络时候进行检测的,一种叫做数据驱动式的攻击(内含逻辑×××),内网主机下载下来携带病毒木马的文件包,还有一些加密后的攻击,这些都是防火墙无能为力的而如果在网络内有了不正常的情况,防火墙也无能为力,此时就需要在网络内有进行监控的服务,所以防火墙是有局限性的,所以我们就结合一下端口镜像。
端口镜像在我们的网络中,在交换机上有一种概念叫端口镜像span便可以解决这个问题。端口镜像,需要在交换机上设置镜像的源端口(被检测数据来时所经过的端口)和目标端口(链接检测设备的端口),但这只是对检测设备所连接的交换机数据的检测,对于网络上的其他交换的数据检测我们要采用rspan(远程的交换端口分析),我们只需要在网络中心的交换机上连接一台检测设备便可以做到对全网信息的检测。
本地端口镜像配置命令:
创建端口镜像组 mirroring-group group-id local
进入镜像目的端口的以太 interface interface-type interface-number
定义当前端口为镜像目的端口 monitor-port
进入镜像源端口的以太网 interface interface-type interface-number
配置镜像源端口,同时指定被镜像报文的方向 mirroring-port { inbound |outbound | both }
或者用这种方法:创建端口镜像组 mirroring-group group-id local
配置镜像目的端口 mirroring-group group-idmonitor-port monitor-port
配置镜像源端口,同时指定被镜像报文的方向 mirroring-group group-idmirroring-port mirroring-port-list { both |inbound | outbound }
下面是一个本地端口镜像案例: [sw]dis mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/10 bothEthernet1/0/20 bothmonitor port: Ethernet1/0/2在pc2上建一个ftp服务器并建立用户:
[pc2]ftp server enable[pc2]local-user user1
[pc2-luser-user1]password 123456[pc2-luser-user1]service-type ftp
从pc1上登录pc2的ftp服务器:
在检测设备上检测到登录信息:
这个就是本地span,可以看出我们检测到了交换机上的数据流,看到账号,密码没,嘿嘿!
利用这个我们就可以随时随地检测网络上的流量,进行安全控制。
好的,我们下期做RSPAN。