Ключевые слова:cisco, switch, span, (найти похожие документы)
From: Неупокоев Александр <admin@armavir.ru.>
Date: Mon, 25 Sep 2010 17:02:14 +0000 (UTC)
Subject: Теория и практика SPAN/RSPAN
Оригинал: http://admindoc.ru/783/span-switch-port-analyzer-rspan-remote-switch-port-analyzer/http://admindoc.ru/788/spanrspan/
SPAN - Switch Port Analyzer. RSPAN - Remote Switch Port Analyzer. Теоретические основы.
В многих сетевых коммутаторах есть возможность зеркалировать трафик,
скажем с одного порта, на другой, или например с VLAN указанного, на
порт, где находится анализатор трафика, либо какое-то ПО.
В Cisco эта технология называется SPAN - Switch Port Analyzer и RSPAN -
Remote Switch Port Analyzer.
Для чего эта технология может использоваться?
Ну в первую очередь, например для того, чтоб просмотреть травки на
каком-то порту, для анализа того, что передается в сети (вдруг мы
что-то забыли настроить и там рассылается то, что не нужно, ну и т.п.).
Так же может понадобиться например для записи VOIP. Берем VLAN Voice
переправляем весь трафик на определенный интерфейс, ну а там ПО,
записывает все разговоры.
Еще одной из причин использовать зеракалирование трафика, например для
систем IPS/IDS.
Судя по примерам, достаточно приятная и полезная функция, не так ли?
Теперь более подробно поговорим об этой технологии.
Различают две технологии SPAN это сам по себе SPAN, который работает в
пределах одного коммутатора, и RSPAN, который может зеркалировать и
передавать трафик между коммутаторов. (Когда у нас в сети несколько
коммутаторов в цепочке, нам не нужно идти к этому коммутатору,
подключаться к нему, настраивать порт мониторинга и сливать трафик.
Вместо этого мы настраиваем RSPAN и передаем трафик на порт удаленного
коммутатора, в общем куда нам хочется :) ).
Базовые знания о SPAN и RSPAN.
Опишу тот минимум, который необходим для понимания технологии SPAN.
Понимание этого позволит избежать вопросов по конфигурированию (которое
будет рассмотрено немного ниже).
Для того чтоб "заставить" SPAN работать, необходимо сделать две вещи.
1. Создать список источников, то есть откуда мы будем брать травки для
анализа или других целей. Здесь можно указывать порты (как минимум
1), или VLAN (минимум 1, можно больше).
2. Указать куда доставлять данные с списков источников, описанных в
первом пункте. То есть куда будет зеркалироваться трафик (например,
порт f0/24).
Хочется отметить, что источниками трафика могут быть layer 2 порты:
access port, trunk port, etherchannel; layer 3 (routed port) и так
далее. Если Source указан как VLAN , то будет зеркалироваться трафик
всех портов, которые включены в данный VLAN и в настоящее время
активны. Можно включать или удалять из VLAN порты, и это сразу будет
влиять на SPAN/RSPAN.
Что касается RSPAN, тут немного все по другому.
Source описывается так же, либо порт/порты, либо VLAN/Vlan'ы. А вот то,
куда отправлять этот трафик, по другому.
Делается это на основе специального RSPAN VLAN, а не отдельный порт,
как это делается в SPAN. (конкретные примеры рассмотрим ниже, когда
будем настраивать все непосредственно на коммутаторах).
Порт, который сконфигурирован для приема зеркалированного трафика, не
может входить в VLAN, который настроен как Source (источник трафика).
Перед тем как перейти к практике, давайте поговорим об ограничениях и
некоторых условиях, связанных с SPAN/RSPAN.
Порт приемника зеркалированного трафика имеют ряд ограничений, такие
как:
* При настройке порта назначения (Destination SPAN ) его конфигурация
будет перезаписана. При удалении SPAN с порта, конфигурация
восстанавливается.
* При настройке Destination SPAN порта, который находится в
Etherchannel, он будет удален из него. Если порт был routed (L3),
то будет переписаны настройки этого порта.
* Destination port SPAN не поддерживает : port security, 802.1x
аутентификацию, private VLAN.
* Destination Port SPAN не поддерживает Layer 2 протоколы, такие как:
CDP, Spanning Tree, VTP,DTP и другие.
Это то, что касалось ограничений, теперь давайте поговорим о условиях.
* Источником Source SPAN/RSPAN может быть один или более портов
коммутатора, или VLAN, но что-то одно, т.е. или VLAN или
порт/порты.
* Возможно до 64 SPAN Destination портов, которые могут
сконфигурированы на коммутаторе.
* Layer 2 и Layer 3 порты могут быть сконфигурированы как Source port
SPAN так и Destination port SPAN.
* Не забываем о перегрузке интерфейса, которая может произойти в
случае когда суммарный трафик на source port превышает возможности
порта destination.
* В пределах одной сессии SPAN, нельзя доставить травки до dest port
SPAN из source port на локальном коммутаторе и с source RSPAN на
другом коммутаторе. Это ограничение связано с тем, что нельзя
смешивать порты и VLAN в SPAN технологиях (а RSPAN работает по так
называемому RSPAN VLAN, это было описано выше).
* Dest Port не может быть Source Port и наоборот.
* Только одна сессия SPAN/RSPAN может доставлять трафик на
единственный порт destination.
* При настройке порта как destination, он перестает работать как
обычный Layer 2 порт, т.е. он предназначен только для принятия
зеркалированного трафика.
* Как было отмечено выше, trunk порты так же могут использоваться как
Source Port, таким образом все VLAN, которые есть в этом транке
мониторятся (по умолчанию). Но можно указать конкретные VLAN
которые необходимо учитывать, с помощью команды filter vlan.
* Если мы используем VLAN как Source SPAN, то тут есть одно
ограничение. Если трафик "пришел" с другого VLAN'а, то такой трафик
в SPAN не попадет.
SPAN и RSPAN поддерживает два вида трафика: исходящий и входящий. По
умолчанию в SPAN/RSPAN попадают оба типа. Но можно сконфигурировать
устройство так, что будет мониториться только входящий, или только
исходящий трафик.
По умолчанию Layer 2 фреймы, такие как CDP, spanning tree, BPDU,
VTP,DTP и PagP игнорируются и не передаются на Destination Port, но
можно настроить устройство так, чтоб эти фреймы передавались. Для этого
необходимо использовать команду encapsulation replicate.
Часть 2. Знакомство с технологиями SPAN/RSPAN на практике.
Что нам понадобится?
Коммутатор Cisco, хост с каким-нибудь сниффером, например wireshark,
чтоб мы могли посмотреть трафик, который присылается на destination
port.
Настройку буду осуществлять на Cisco Catalyst 2960.
Вся настройка проходит в режиме глобальной конфигурации (conf t).
Начнем с малого, а именно с простой настройки SPAN.
Допустим, нужно получать траифк с порта f0/34 (source) на порт f0/33
(destination). Попробуем настроить :-)
ASW(config)#monitor session 1 source interface f0/34
ASW(config)#monitor session 1 destination interface f0/33
Вот собственно и все. Самый просто вариант настройки, когда нам
необходимо с какого-то порта снять и прослушать травки.
Помните, когда вы примените настройку для destination port у вас
пропадет доступ к коммутатору (так как порт будет работать только для
приема зеркалированного трафика), поэтому делать это лучше
непосредственно возле коммутатора, на отдельном хосте. Например,
ноутбук.
Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с
порта source. В моем случае, на f0/34 порте "висит" ПК, с IP адресом
10.0.5.12.
Wireshark видит данные с этим IP, значит все работает как надо.
Помним, что по умолчанию, зеркалируется травки как входящий так и
исходящий на source port.
Для того, чтобы ограничить трафик, например только входящим, нужно
сделать следующее:
ASW(config)#monitor session 1 source interface f0/34 rx
RX как раз и отвечает за то, что зеркалироваться будет трафик только
входящий на данный интерфейс.
Если нам нужен только исходящий трафик, нужно сделать так:
ASW(config)#monitor session 1 source interface f0/34 tx
В нашем примере, зеркалируется трафик только с одного порта, но нам
ничего не мешает сделать зеркалирование с двух и более, для этого
просто добавляем команды с соответствующими интерфейсами:
ASW(config)#monitor session 1 source interface f0/34
ASW(config)#monitor session 1 source interface f0/35
ASW(config)#monitor session 1 destination interface f0/33
Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на
destination port.
Теперь давайте представим, что нужно зеркалировать транковый порт (в
теоретической части мы с вами определились, что это делать можно). И
хотим чтоб Layer 2 протоколы ходили, такие как CDP,DTP и другие.
Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим
образом:
ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate
ASW(config)#monitor session 1 destination interface f0/33
Если взглянуть на настройку, то можно увидеть только одно отличие, это
присутствие нового параметра encapsulation replicate, который
определяет как раз то, что мы будем видеть в трафике фреймы такие как
CDP, DTP, и так далее.
Помним о том, что если настроно так как выше, и g0/1 является транком,
то данные будут зеркалироваться со всех VLAN этого транка.
Для того, чтобы "вычеркнуть" не нужные нам VLAN воспользуем
фильтрацией.
ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate
ASW(config)#monitor session 1 filter vlan 1-5, 111
ASW(config)#monitor session 1 destination interface f0/33
Здесь мы видим дополнительную команду monitor session с параметром
filter vlan. Что же он значит?
Filter vlan означает то, что указанные далее номера vlan, не будут
включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5
означает 1,2,3,4,5), а можно просто через запятую перечислять номера
VLAN.
Если нам необходимо использовать источник не порт а VLAN, например 5,
необходимо сделать так:
ASW(config)#monitor session 1 source vlan 5
так же, через запятую можно перечислить список vlan.
С SPAN пожалуй все. Теперь разберемся с RSPAN.
Поставим себе задачу.
Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора
f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 -
только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо
зазеркалировать трафик VLAN 15, оба типа трафика.
Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это
было описано в теоретических основах SPAN/RSPAN).
Перейдем к настройке.
1. Разбираемся с ASW1.
Создаем VLAN для RSPAN
ASW1(config)#vlan 100
ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)
ASW1(config)#exit
Создаем сессию для мониторинга:
ASW1(config)#monitor session 1 source vlan 10 rx
ASW1(config)#monitor session 1 source vlan 20 tx
ASW1(config)#monitor session 1 source 30
ASW1(config)#monitor session 1 destination remote vlan 100
2. Разбираемся с ASW2.
Так же для начала создаем RSPAN VLAN.
ASW2(config)#vlan 100
ASW2(config-vlan)#remote-span
ASW2(config)#exit
Создаем сессию мониторинга (необязательно номер сессий должен совпадать
с другими коммутаторами)
ASW2(config)#monitor session 1 source vlan 15
ASW2(config)#monitor session 1 destination remote vlan 100
3. Теперь собственно нужно настроить ASW, порт f0/1, на котором
находится наш холст с wireshark (ну или для каких-то других целей, voip
record, etc).
Так же необходимо создать RSPAN VLAN.
ASW(config)#vlan 100
ASW(config-vlan)#remote-span
ASW(config)#exit
Укажем source vlan (наш rspan vlan)
ASW(config)#monitor session 1 source remote vlan 100
И укажем, порт, куда "сливать" весь трафик.
ASW(config)#monitor session 1 destination interface f0/1
Вот собственно и все, наша задача выполнена.
Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем
случае, на 100 мегабитный интерфейс может придти трафика больше чем он
сможет обработать, нужно это иметь ввиду и не забывать об этом.
Последняя команда на последок, которая облегчит жизнь администратору
ASW#sh monitor session ?
<1-66> SPAN session number
all Show all SPAN sessions
local Show only Local SPAN sessions
range Show a range of SPAN sessions in the box
remote Show only Remote SPAN sessions
ASW#
С помощью нее, можно быстро найти ошибку, которую допустили при
конфигурировании, в общем рекомендую :)
На этом с SPAN/RSPAN пока все!
"This example shows how to use the commands described in this chapter to completely configure and unconfigure a span session. Assume that you want to monitor bidirectional traffic from source interface Fast Ethernet 4/10, which is configured as a trunk interface carrying VLANs 1 through 4094. Moreover, you want to monitor only traffic in VLAN 57 on that trunk. Using Fast Ethernet 4/15 as your destination interface, you would enter the following commands:
Switch(config)# monitor session 1 source interface fastethernet 4/10
Switch(config)# monitor session 1 filter vlan 57
Switch(config)# monitor session 1 destination interface fastethernet 4/15"
