如果有封包側錄或偵測是否網路是否有異常行為的的需求,可能會需要用到複製流量的功能,這時候SPAN就登場啦!
什麼是Mirror Port?
好一點的Switch大多內建有流量側錄功能
一般稱為Port Mirroring、Port Monitoring或Mirror Port。
在Cisco的流量側錄功能稱作 : SPAN( Switched Port Analyzer)
SPAN可以設定要把指定的Port都複製一份流量到另一個的Port上 ,還可以設
定只要複製進或出的流量。
舉例來說,SW 的Port 1接著對內外的流量,我想要側錄這段分析,
所以我可以將Port 1進與出的流量都複製一份到Port 2並將錄製或監控封包的
設備接到Port 2,完全不需要插拔線路。
接下來介紹一下Cisco 的交換器做流量側錄指令。
Command:
switch> enable
switch> show ip interface brief
switch# conf t
進入Global configuration mode 後
config# monitor session 1 source interface Fa0/2 both
// config# monitor session [自定義代號] [來源或目的地] interface [介面代號] [錄製進來流量或出去流量又或者全部]
這裡的來源=source =被監聽的port
反之目的地就是把監聽的port流量要丟到哪個port出去
你也可以選擇多個來源port要錄製:
monitor session 1 source interface fa0/11–12 , Fa1/13
//介面2–13與15都被複製一份流量
monitor session 1 source interface fa0/2 , fa0/4
//介面fa0/2 與 4 被複製
設定複製到指定Port:
config# monitor session 1 destination interface fa1/15
示意圖(Port的設定不同):
check一下設定值是否正確
1.退回P mode : exit
2. Show monitor session [號碼] or show monitor
show monitor session 1
舉例:
要移除SPAN的設定,只要在Global configuration mode下設定來源與目的的指令前面加上no
no monitor session 1
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供更多文章給您。
另外可以加入我的LinkedIn 希望認識各位閱讀者
加入後歡迎跟我打招呼認識一下 我每年都會參加社群
例如HITCON或COSCUP 樂意認親
其他聯絡方式 : https://kuronetwork.me/contact/
資安部落客 