网络安全性——端口流量监控RSPAN

在这篇文章中,小编要和读者聊聊RSPAN技术,这个技术小编非常喜欢啊,对于一个网络管理人员来说,为了保证内网服务器的安全,你不可能天天守着一堆服务器吧,RSPAN技术加上相关的监控软件可以帮助你来动态的监控内网服务器,这里小编使用华为的设备来实现。

实现了 RSPAN功能的交换机分为三种:

1. 源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。

2. 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN 把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。

3. 目的交换机:远程镜像目的端口所在的交换机,将从 Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。

各个交换机上参与镜像的端口如下图所示

clip_image002

     为了实现远程端口镜像功能,需要定义一个特殊的 VLAN,称之为 Remote-probe VLAN。所有被镜像的报文通过该 VLAN从源交换机传递到目的交换机的镜像端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点:

1. 议将该 VLAN中的设备互连端口都配置为 Trunk端口;

2. 能将缺省 VLAN、管理 VLAN设置成 Remote-probe VLAN;

3. 需要通过配置保证 Remote-probe VLAN从源交换机到目的交换机的二层互通性;

4. 交换机作为中间设备或者目的设备的时候,不能支持双向(both)镜像。

配置准备

1. 定了源交换机、中间交换机、目的交换机

2. 确定了镜像源端口、反射端口、镜像目的端口、Remote-probe VLAN

3. 通过配置保证了 Remote-probe VLAN内从源交换机到目的交换机的二层互通性

4. 确定了被监控报文的方向

5. 中间交换机、目的交换机支持按 VLAN不学习 MAC的功能,并且把一个 VLAN配置成 Remote-probe VLAN后,系统会在该 VLAN下禁止 MAC地址学习

6. 如果要配置基于 MAC的远程镜像,需要确定配置的 MAC地址必须是 MAC地址表项中存在的静态 MAC地址

7. 如果要配置基于 VLAN的远程镜像,需要确定相应的 VLAN ID

源交换机上的配置过程

clip_image004

clip_image006

中间交换机上的配置过程

clip_image008

目的交换机上的配置过程

clip_image010

clip_image012

配置举例

a) 组网需求

用户网络描述如下:

     1. Switch A通过 Ethernet1/0/2和数据检测设备相连

     2. Switch A的Trunk端口Ethernet1/0/1和Switch B的Trunk端口Ethernet 1/0/1相连

     3. Switch B的Trunk端口Ethernet1/0/2和Switch C的Trunk端口Ethernet 1/0/1相连

     4. Switch C的端口 Ethernet1/0/2和 PC1相连

需求为通过数据检测设备对 PC1发送的报文进行监控和分析。

使用 RSPAN功能实现该需求,进行如下配置。

     1. 定义 VLAN10 为 remote-probe VLAN

     2. Switch A为目的交换机,连接数据监控设备的端口 Ethernet1/0/2为镜像目的端口,Ethernet1/0/2上不能使能 STP

     3. Switch B为中间交换机

     4. Switch C为源交换机,Ethernet1/0/2为镜像源端口,定义 Ethernet1/0/5为反射端口。Ethernet1/0/5为 access端口,并且不能使能 STP。

b). 组网图

clip_image014

c).配置步骤

# Switch C的配置

<Quidway> system-view

[Quidway] vlan 10

[Quidway-vlan10] remote-probe vlan enable

[Quidway-vlan10] quit

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] port link-type trunk

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

[Quidway] mirroring-group 1 remote-source

[Quidway] mirroring-group 1 mirroring-port ethernet1/0/2 outbound

[Quidway] mirroring-group 1 reflector-port ethernet1/0/5

[Quidway] mirroring-group 1 remote-probe vlan 10

[Quidway] display mirroring-group remote-source

# Switch B的配置

<Quidway> system-view

[Quidway] vlan 10

[Quidway-vlan10] quit

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

[Quidway] interface ethernet1/0/2

[Quidway-Ethernet1/0/2] port link-type trunk

[Quidway-Ethernet1/0/2] port trunk permit vlan 10

# Switch A的配置

<Quidway> system-view

[Quidway] vlan 10

[Quidway-vlan10] remote-probe vlan enable

[Quidway-vlan10] quit

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] port link-type trunk

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

[Quidway] mirroring-group 1 remote-destination

[Quidway] mirroring-group 1 monitor-port ethernet1/0/2

[Quidway] mirroring-group 1 remote-probe vlan 10

[Quidway] display mirroring-group remote-destination

SW-C上查看镜像组

clip_image016

SW-A上查看镜像组

clip_image018

现在在监控主机端监控PC1来访问ftp服务器,小编这里使用的wireshark工具,可以清晰的抓到用户名和密码

clip_image020

SW-C参考配置

[SW-C]dis cu

#

sysname SW-C

#

mirroring-group 1 remote-source

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 10

remote-probe vlan enable

#

interface Aux1/0/0

#

interface Ethernet1/0/1

port link-type trunk

port trunk permit vlan 1 10

#

interface Ethernet1/0/2

mirroring-group 1 mirroring-port outbound

。。。。。

#

interface Ethernet1/0/5

duplex full

speed 100

mirroring-group 1 reflector-port

#

。。。。。。。

interface Ethernet1/0/24

#

interface NULL0

#

mirroring-group 1 remote-probe vlan 10

#

user-interface aux 0

user-interface vty 0 4

user privilege level 3

set authentication password simple 123

#

Return

SW-B参考配置

<SW-B>dis cu

#

sysname SW-B

#

radius scheme system

#

domain system

#

local-user user

password simple 123456

service-type lan-access

service-type telnet terminal

level 3

service-type ftp

#

vlan 1

#

vlan 10

#

interface Aux1/0/0

#

interface Ethernet1/0/1

port link-type trunk

port trunk permit vlan 1 10

#

interface Ethernet1/0/2

port link-type trunk

port trunk permit vlan 1 10

#

。。。。。。。

interface Ethernet1/0/24

#

interface NULL0

#

FTP server enable

#

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

user privilege level 3

set authentication password simple 123

protocol inbound telnet

#

Return

SW-A参考配置

<SW-A>dis cu

#

sysname SW-A

#

mirroring-group 1 remote-destination

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 10

remote-probe vlan enable

#

interface Aux1/0/0

#

interface Ethernet1/0/1

port link-type trunk

port trunk permit vlan 1 10

#

interface Ethernet1/0/2

port access vlan 10

mirroring-group 1 monitor-port

#

。。。。。

interface NULL0

#

mirroring-group 1 remote-probe vlan 10

#

user-interface aux 0

user-interface vty 0 4

#

Return

你可能感兴趣的:(RSPAN,端口流量监控)