Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/

Một phần của tài liệu Luận văn: Hệ thống phát hiện xâm nhập mạng doc (Trang 30 - 54)

L ỜI NÓI ĐẦU

2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/

chạy CatOS

Lưu ý: Phần này chỉđược áp dụng cho dòng Switch Cisco Catalyst 2900 Series : • Cisco Catalyst 2948G-L2

• Cisco Catalyst 2948G-GE-TX • Cisco Catalyst 2980G-A

Phần này được áp dụng cho dòng Cisco Catalyst 4000 Series bao gồm: • Modular Chassis Switches:

o Cisco Catalyst 4003

o Cisco Catalyst 4006 • Fixed Chassis Switch:

SPAN cục bộ

Các tính năng SPAN được cập nhật lần lượt đến CatOS, và cấu hình một SPAN bao

gồm một lệnh đơn set SPAN . Hiện nay, một loạt các tuỳ chọn có sẵn cho lệnh :

switch (enable) set SPAN

Usage: set SPAN disable [dest_mod/dest_port|all] set SPAN <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both]

[inpkts <enable|disable>]

[learning <enable|disable>] [multicast <enable|disable>] [filter <vlans...>]

[create]

Lược đồ mạng này giới thiệu những khả năng khác nhau SPAN tuỳ theo yêu cầu:

Hình 2.5 : Kết nối theo từng VLAN

Lược đồ này đại diện cho một phần của một dòng thẻ mà nằm ở slot 6 của Catalyst 6500/6000. Trong phần này:

• Ports 6/1 and 6/2 belong to VLAN 1 • Port 6/3 belongs to VLAN 2

Kết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một số trường hợp khác nhau.

PSPAN, VSPAN : Giám sát một số cổng hoặc toàn bộ một VLAN

Nhập mẫu đơn giản nhất lệnh set SPAN để giám sát một cổng. Cú pháp là set

SPAN source_port destination_port.

Giám sát một cổng với SPAN

Hình 2.6 : Giám sát sát một cổng

switch (enable) set SPAN 6/1 6/2 Destination : Port 6/2

Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local SPAN

Với cấu hình này, mỗi gói được nhận hoặc gửi qua cổng 6/1 được sao chép trên cổng 6/2. Một mô tả rõ ràng lên đến khi bạn đưa vào cấu hình. Sử dụng show SPANđể nhận được một tóm tắt cấu hình SPAN hiện tại:

switch (enable) show SPAN Destination : Port 6/2

Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

Total local SPAN sessions: 1

Giám sát một số cổng với SPAN

Hình 2.7 : Giám sát nhiều cổng

Câu lệnh set SPAN source_ports destination_port cho phép người sử dụng chỉđịnh nhiều hơn một cổng nguồn . Đơn giản chỉ cần liệt kê tất cả các cổng trên mà bạn muốn thực hiện SPAN, phân tách các cổng với các dấu phẩy. Các thông dịch dòng lệnh cũng cho phép bạn sử dụng gạch nối để xác định một dải các cổng. Ví dụ này

minh họa khả năng này để xác định nhiều hơn một cổng. Ví dụ sử dụng SPAN trên cổng 6/1 và một dải 3 cổng 6/3 đến 6/5:

Lưu ý: Hiện chỉ có thể xác định một cổng đích. Luôn luôn xác định cổng đích sau nguồn SPAN .

switch (enable) set SPAN 6/1,6/3-5 6/2

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive

for destination port 6/2 Destination : Port 6/2

Admin Source : Port 6/1,6/3-5 Oper Source : Port 6/1,6/3-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2

Lưu ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000, 5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau với các phiên bản CatOS trước 5.1. Ởđây, các cổng giám sát được gán cho các VLANs 1, 2, và 3.

Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượng cục bộ một VLAN. Cú pháp là set SPAN source_vlan(s) destination_port.

Sử dụng một danh sách của một hoặc nhiều VLANs như là một nguồn, thay vì một danh sách các cổng:

Hình 2.8 : Sử dụng các VLAN như các nguồn cổng

switch (enable) set SPAN 2,3 6/2

2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive

for destination port 6/2 Destination : Port 6/2 Admin Source : VLAN 2-3 Oper Source : Port 6/3-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 07:40:10 %SYS-5- SPAN_CFGSTATECHG:local SPAN

Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản đến cổng 6/2.

Lưu ý: Kết quả là chính xác giống như nếu bạn thực hiện SPAN độc lập trên tất cả các cổng thuộc các VLANs mà câu lệnh chỉ rõ. So sánh các trường Oper Source và trường Admin Source . Trường Admin Source liêt kê cơ bản tất cả các cổng cấu hình cho phiên SPAN, và trường Oper Source liệt danh sách các cổng sử dụng SPAN.

Ingress/Egress SPAN

Ở ví dụ trong phần Monitor VLANs with SPAN, lưu lượng đi vào và đi ra khỏi các cổng được xác định được giám sát. Các trường hướng : truyền/nhận hiển thị lưu lượng. Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để thu thập chỉ các lưu lượng đi ra hoặc chỉ lưu lượng đi vào trên một cổng. Thêm vào các từ khoá RX (nhận) hoặc tx (truyền) cuối dòng lệnh lệnh. Giá trị mặc định là

both (tx và RX).

set SPAN source_port destination_port [rx | tx | both]

In this example, the session captures all incoming traffic for VLANs 1 and 3 and mirrors the traffic to port 6/2: Trong ví dụ này, phiên này lưu tất cả lưu lượng đến các VLANs 1 và 3 và nhân bản lưu lượng đến cổng 6/2:

Hình 2.9 : Nhân bản lưu lượng đến cổng 6/2

2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local SPAN session

inactive for destination port 6/2 Destination : Port 6/2

Admin Source : VLAN 1,3

Oper Source : Port 1/1,6/1,6/4-5,15/1 Direction : receive

Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 08:09:06 %SYS-5- SPAN_CFGSTATECHG:local SPAN

session active for destination port 6/2

Thực hiện SPAN trên một đường Trunk

Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mang thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the VLANs on this trunk is monitored. Nếu một đường trunk được chọn là một cổng nguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát.

Giám sát một tập nhỏ của các VLANs trên một đường trunk

Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs. Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN cho 2 cổng 6/4 và 6/5. Đơn giản là dùng lệnh :

Hình 2.10 : Giám sát lưu lượng qua đường trunk

Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang. Ví dụ, không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN 2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ VLAN 2:

switch (enable) set SPAN 2 6/2

Hình 2.11 : Thiết lập VLAN bị giám sát

Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từ đường trunk đó. Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạn không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựa chọn một số VLANs để giám sát từđường trunk

switch (enable) set SPAN 6/4-5 6/2 filter 2

2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive

for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : 2

Status : active

Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được theo dõi và giám sát. Bạn có thể chỉđịnh một số VLANs với tùy chọn lọc.

Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst

6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ trợ tùy chọn lọc sẵn có với câu lệnh set SPAN.

Trunking trên cổng đích

Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN của một gói bạn nhận được trên cổng SPAN đích . Điều này có thể được xác định là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho

SPAN. Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được gắn thẻ của họ tương ứng với VLAN ID.

Note: Your sniffer needs to recognize the corresponding encapsulation.

Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng. switch (enable) set span disable 6/2

This command will disable your span session. Do you want to continue (y/n) [n]?y

Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5

2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2

switch (enable) set trunk 6/2 nonegotiate isl

Port(s) 6/2 trunk mode set to nonegotiate. Port(s) 6/2 trunk type set to isl.

switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become

isl trunk

switch (enable) set span 6/4-5 6/2 Destination : Port 6/2

Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for

destination port 6/2

Tạo ra các phiên làm việc đồng thời

Trước đây, chỉ có một phiên Span đã được tạo ra. Mỗi lầng bạn nhập một lệnh mới

set span, cấu hình trước đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy

nhiều phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhập

lệnh set span source destination createđể tạo thêm một phiên SPAN. Trong phiên

này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 được giám sát:

Hình 2.12 : Giám sát đồng thời

switch (enable) set span 6/1 6/2

2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled

Learning : enabled Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2 switch (enable) set span 3 6/3 create Destination : Port 6/3

Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/3

Câu lệnh show spanđể xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span

Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

--- Destination : Port 6/3

Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

Total local span sessions: 2

Các phiên thêm vào được khởi tạo. Bạn muốn xoá một vài phiên. Câu lệnh là

set span disable {all | destination_port }

Bởi vì chỉ có thể có được một cổng đích mỗi phiên, cổng đó xác định một phiên. Xóa phiên đầu tiên được khởi tạo, là phiên sử dụng port 6/2 là cổng đích:

switch (enable) set span disable 6/2

This command will disable your span session. Do you want to continue (y/n) [n]?y

Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1

2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/2

switch (enable) show span Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled

Multicast : enabled Filter : -

Status : active

Total local span sessions: 1

Nhập câu lệnh sau nếu muốn khoá tất cả các phiên hiện tại trong một bước : switch (enable) set span disable all

This command will disable all span session(s). Do you want to continue (y/n) [n]?y

Disabled all local span sessions

2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/3 switch (enable) show span No span session configured

Các tuỳ chọn SPAN khác

Cú pháp của set span là : switch (enable) set span

Usage: set span disable [dest_mod/dest_port|all] set span <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both] [inpkts <enable|disable>] [learning <enable|disable>] [multicast <enable|disable>] [filter <vlans...>] [create]

Phần này giới thiệu ngắn gọn các tuỳ chọn mà tài liệu đề cập :

• sc0-Bạn chỉ rõ từ khóa sc0 khi cấu hình một Span khi bạn cần phải giám sát lưu lượng truy cập vào giao diện quản lý sc0. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS phiên bản 5.1 hoặc mới hơn. • inpkts enable/disable -Tùy chọn này là vô cùng quan trọng. Khi ở tuỳ chọn

này, một cổng mà bạn cấu hình là cổng Span đích vẫn thuộc về VLAN ban đầu của nó. Các gói được nhận trên một cổng đích sau đó đi vào VLAN đó, nếu cổng này là một cổng truy nhập bình thường. Động thái này có thểđược mong muốn. Nếu bạn sử dụng một máy tính như là một Sniffer, bạn có thể muốn máy PC hoàn toàn kết nối với VLAN đó. Tuy nhiên, các kết nối có thể được gây nguy hiểm nếu bạn kết nối cổng đích đến các thiết bị mạng khác , tạo loop trong mạng. Cổng SPAN đich, không chạy STP, và bạn có thể kết thúc trong một tình huống lặp dữ liệu. Cấu hình mặc định của tùy chọn này là vô hiệu hóa, điều đó có nghĩa là cổng đích span bỏ qua các mà cổng nhận được. Điều này bảo vệ cổng khỏi tình trạng bridging "loop". Tùy chọn này xuất hiện trong CatOS 4.2.

learning enable/disable — Tùy chọn này cho phép bạn vô hiệu hoá quá trình

học trên cổng đích. Theo mặc định, quá trình học được kích hoạt và cổng đích học các địa chỉ MAC từ các gói cổng nhận được. Tính năng này xuất

hiện trong CatOS 5,2 trên Catalyst 4500/4000 và 5500/5000, và trong CatOS 5,3 trên Catalyst 6500/6000.

• Như tên gọi, tùy chọn này cho phép bạn để kích hoạt hoặc vô hiệu hóa việc giám sát của các gói multicast. Mặc định là cho phép. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS 5,1 và sau

spanning port 15/1 —Trên Catalyst 6500/6000, bạn có thể sử dụng cổng

15/1 (hoặc 16/1) như là một SPAN nguồn. Cổng này có thể giám sát lưu lượng truy cập được gửi đến Multilayer Switch Feature Card (MSFC).. Cổng bắt lưu lượng được định tuyến-mềm hoặc đưa tới MSFC.

SPAN từ xa

Tổng quan về RSPAN

RSPAN cho phép bạn giám sát các cổng nguồn phân bố trên một mạng, không chỉ cục bộ trên một Switch với SPAN. Tính năng này xuất hiện trong CatOS 5.3 trong dòng Catalyst 6500/6000 Series và được cập nhật trong Catalyst 4500/4000 Series trong CatOS 6.3 và sau đó.

Các chức năng hoạt động chính xác như là một phiên SPAN thông thường. Lưu lượng được giám sát bởi SPAN không sao chép trực tiếp đến cổng đích, nhưng đẩy

Một phần của tài liệu Luận văn: Hệ thống phát hiện xâm nhập mạng doc (Trang 30 - 54)

Tải bản đầy đủ (PDF)

(111 trang)