镜像口配置
大多数交换机都支持镜像技术,这可以对交换机进行方便的故障诊断。我们称之为“mirroring ”或“Spanning ”。镜像是将交换机某个端口的流量拷贝到另一端口(镜像端口),进行监测。
Cisco3550可以配置2个镜像口
案例:将端口2~5镜像到端口6
1、镜像口配置
Switch>enable
Switch#conf t
Step3: 配置镜像源,可以是端口也可以是Vlan
Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx
上面命令最后一个参数:
both 监听双向数据,默认为both
rx 接收
tx 发送
Step4: 配置镜像目的端口
Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6
Switch(config)#exit
Switch#wr
Step7:查看配置结果
Switch#show monitor
Session 1
---------
Type : Local Session
Source Ports :
RX Only : Gi0/2-5
Destination Ports : Gi0/6
Encapsulation : Native
Ingress : Disabled
Both 监听双向数据
RX Only 监听接收
Tx Only 监听发送
2、删除镜像端口
Switch#conf t
Switch(config)#no monitor session 1
Switch(config)#end
Switch#wr
Switch#show monitor
No SPAN configuration is present in the system.
3.其他
(1)端口镜像的过滤,端口镜像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口进入的流量中,属于哪些VLAN的可以从目的端口发出去。
(2)删除镜像
no monitor session {session_number | all | local | remote}
**session_number指定会话号,all是所有镜像,local是本地镜像,remote是远程镜像。
(3)镜像的目的端口不能正常收发数据,因此不能再作为普通端口使用,可以连接一些网络分析和安全设备,例如装有sniifer的计算机或者Cisco IDS设备。
在交换以太网的环境下,一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下,我们可能会需要进行这样的侦听,如:协议分析、流量分析、入侵检测。为此我们可以设置Cisco交换机的SPAN (Switched Port Analyzer交换端口分析器)特性, 或早期的“端口镜像”、“监控端口”功能。 侦听的对象可以是一个或多个交换机端口,或者整个VLAN。如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端口”)在同一台交换机上,我们只需配置SPAN; 如果不在同一台交换机上,需要配置RSPAN (Remote SPAN)。不同的交换机对SPAN有不同的限制,如2900XL交换机中源端口和目标端口必须在同一VLAN、某些交换机不支持RSPAN等等,详见设备文档。
在配置SPAN的时候,我们需要提供的参数是源端口或VLAN号以及目标端口。
4000/6000 CatOS 交换机:
set span 6/17 6/19//SPAN:源端口为6/17 目标端口为6/19
2950/3550/4000IOS/6000IOS 交换机:
monitor session 1 local //SPAN
monitor session 1 source interface fastethernet 0/17 both //源端口,也可以是某个VLAN
monitor session 1 destination interface fastethernet 0/19 //目标端口
2900/3500XL 交换机:
Switch(config)#interface fastethernet 0/19 //目标端口
Switch(config-if)#port monitor fastethernet 0/17 //源端口
1900 交换机: (或使用菜单 [M] Monitoring)
monitor-port monitored 0/17 //源端口(0/17和0/18端口)
monitor-port monitored 0/18
monitor-port port 0/19 //目标端口
monitor-port //开始监控
在配置RSPAN的时候,我们首先要定义一个类型为RSPAN的VLAN。在普通VLAN上如果源主机和目标主机都在同一台交换机上,则它们之间的单播通讯不需要通过TRUNK传递到别的交换机,而RSPAN VLAN需要在TRUNK上转发这样的通讯,以保证监控机能够侦听到。在源交换机上,需设置使被侦听的端口或VLAN把流量转发到RSPAN VLAN上(如果是运行IOS的交换机,需要另外设置一个端口作为反射端口); 在目标交换机上,需设置把RSPAN VLAN中的信息转发到连接监控主机的目标端口。
IOS交换机,如3550:
3550(config)#vlan 900//建立RSPAN VLAN
3550(config-vlan)#remote-span
monitor session 1 remote//源交换机
monitor session 1 source interface fastethernet 0/17 both//源端口
monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20//目标RSPAN VLAN,反射端口
monitor session 2 remote//目标交换机
monitor session 2 source remote vlan 900//RSPAN VLAN
monitor session 2 destination interface fastethernet 0/19//目标端口
CatOS 交换机,如6500:
set vlan 900 rspan//建立RSPAN VLAN
set rspan source 4/1-2 900 //源交换机
set rspan destination 4/19 900//目标交换机
最近一次配置完RSPAN之后,有用户反映:部分网段出现严重丢包现象。仔细检查,发现部分交换机的上联端口负载很重。再分析,原来在两台中心交换机上启用了一个RSPAN进程,RSPAN VLAN上的流量很大,达300M。由于VTP 域中没有启用Pruning 功能,这个RSPAN VLAN的流量出现在所有的TRUNK上,造成了阻塞。把RSPAN VLAN从这些TRUNK上修剪掉之后,网络恢复了正常。
SPAN功能的出现,使保护交换机不被非法控制变得更为重要。因为假如黑客控制了一台主机和部分交换机,他将能够使用SPAN/RSPAN和Sniffer窃听任何在网络上传递的信息。
先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找网络存在问题的原因。
cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。Cisco的SPAN 分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像整个或数个VLAN到一个目的端口。
配置方法:
1. SPAN
(1) 创建SPAN源端口
monitor session session_number source interface interface-id [, | -] [both | rx | tx]
**session_number,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。
**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开, 连续的用“-”连接。
[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。
(2)创建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL
[ingress]} | ingress vlan vlan id]
**一样的我就不说了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。
**[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封装,其他VLAN封装,ISL则全部封装。
2.VSPAN
(1)创建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。
(2)创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一样。
3.RSPAN
RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port ) ,在由反射端口将其通过网络转发到目的交换机中的VLAN上
(一般情况下,这个VLAN是专为镜像而设的,不要作为客户端接入所用),再在目的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN被使用,该镜像专用VLAN的信息会被转发到所有的VLAN 主干上,造成网络带宽的浪费,因此要配置VLAN修剪(pruning),另外RSPAN也可以镜像VLAN。
(1)在源交换机上创建RSPAN源端口
**同SPAN或VSPAN
(2)在源交换机上创建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交换机上转为镜像而设的VLAN
**reflector-port interface源交换机上的镜像端口
(3)在目的交换机上创建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的镜像专用VLAN
(4)在目的交换机上创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN
开启思科交换机telnet服务的配置命令:
enable secret cisco #配置进入特权模式的密码(密文密码,也可以设置明文密码)
line vty 0 4
password cisco
int vlan1
ip add 172.16.5.1 255.255.0.0 #在vlan1上配置ip地址并进行网管
no shut
Cisco交换机配置,写了很久的了,
2950交换机的基本配置,目前我们常用的是配置VLAN,另外就是便于管理,配置IP地址及允许Telnet登录。象生成树及VTP的培置,一般的小企业或系统都不用配置,未做讲解。
1 基本概念
1.1交换机的分类
Cisco的交换机按照交换机操作系统来分主要分为两种:
基于Catalyst OS,常见的如4000、5000、6000系列的,比较高端,一般用不到,局方的核心交换机可能用到。
基于IOS的,如2950,3560等,配置命令与路由器类似,我们用的一般是思科的接入(Access)交换机,属于比较低端的。
1.2配置模式
交换机配置的几种模式要清楚,不同的配置模式可用的命令不同。
根据提示符可以做判断,常见的模式如下。
switch: ;ROM状态, 路由器是rommon>
switch > ;用户模式 用户模式下能够执行的命令有限,从控制台登录可直接进入用户模式
switch # ;特权模式 执行各种Show命令在特权模式下进行
switch (config)# ;全局配置模式 进行交换机的配置
switch (config-if)# ;接口模式 进行该接口的相关配置
2 常见配置
2.1模式的切换
switch>enable ;进入特权模式 如果设置了密码则需输入密码才能登录,未设密码则直接可以输入
switch#config terminal ;进入全局配置模式
switch (config)interface ***; 进入接口模式
在各个模式下输入exit命令,返回上一级模式。
2.2口令设置
出于安全的考虑,需要设置相关的口令,主要是控制台的登录口令,Telnet口令等,用show run命令可以查看配置是否成功,相关的命令如下:
switch(config)#hostname ;设置交换机的主机名
switch(config)#enable secret xxx ;设置特权加密口令,show run只能看到密文
switch(config)#enable password xxa ;设置特权非密口令,show run可以看到密码
switch#exit ;返回命令
Telnet的口令设置见《2.5 管理地址及Telnet配置》。
2.3 配置查看
switch#write (或copy run start);保存配置信息,如果不保存,重启后配置丢失
switch#reload 重启交换机
switch#show run ;查看当前配置信息
switch#show start 查看保存的配置
switch#show vlan ;查看vlan配置信息
switch#show interface ;查看所有端口信息
switch#show int f0/0 ;查看指定端口信息
2.4 VLAN配置
思科交换机默认只有一个VLAN,即Vlan1,Vlan1同时也充当管理的功能。在较大的网络中配置VLAN需要做好VTP域的规划,还要考虑做VLAN间的路由等,相应的来说比较复杂,我们要做的只是在单台交换机上划分VLAN,相应来说比较简单。目前,一般企业所有的服务器都放在防火墙的Inside 口,甚至不用划分VLAN。
VLAN配置主要有两个步骤,第一步是创建VLAN,第二步就是将端口划分到相应的VLAN(默认都在VLAN1)。
基本命令如下
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2
再举例如下:
创建VLAN:
switch#config t
switch(config)#hostname GD2950 将交换机改名为GD2950,提示符将变化
GD2950 (config)#exit
GD2950#vlan database
GD2950(vlan)#vlan 2 name DMZ /*创建名为DMZ的VLAN2
VLAN 2 added:
Name: DMZ
GD2950(vlan)#vlan 3 name Temp /*创建名为Temp的VLAN3
VLAN 3 added:
Name: Temp
GD2950(vlan)#end
GD2950#
端口配置VLAN:
交换机端口有Trunk模式用不上,默认是Access模式
GD2950#config t
GD2950(config)#int f0/2
GD2950(config-if)#switchport access vlan 2 /*设置端口属于VLAN2
GD2950(config-if)#int f0/3
GD2950(config-if)#switchport access vlan 3 /*设置端口属于VLAN3
GD2950(config-if)#int f0/4
GD2950(config-if)#switchport access vlan 4 /*设置端口属于VLAN4
GD2950(config-if)#exit
GD2950(config)#exit
GD2950#
2.5 管理地址及Telnet配置
思科的交换机和路由器默认不能Telnet,需要进行必需的配置。对于交换机要进行Telnet,必需先配一个IP地址(即通常的管理地址),需要注意的是IP地址不是针对某个端口,而是针对VLAN1(一个网段)而言,这点同路由器有区别。
配置管理地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address 192.168.1.20 255.255.255.0 ;设置IP地址为192.168.1.20, 掩码为24位
switch(config)#ip default-gateway 192.168.1.1 ;设置默认网关为192.168.1.1,网关一般可以不用设置
设置完成后,可以用其他机来Ping所配置的IP,看是否能够Ping通。
Telnet设置:
switch(config)#line vty 0 4 ;进入虚拟终端
switch(config-line)#login ;允许登录
switch(config-line)#password xx ;设置登录口令xx,需要注意的是一定要设置密码,也不能将密码设置为空,否则无法登录。因为Telnet时必需输入一个非空的密码。
所有的配置完成后,记得用write或copy run start保存。
这时可以用telnet来查看是否可以登录。要将明文方式的口令加密显示,可执行下面命令:
switch# service password-encryption