在这篇文章中,小编要和读者聊聊RSPAN技术,这个技术小编非常喜欢啊,对于一个网络管理人员来说,为了保证内网服务器的安全,你不可能天天守着一堆服务器吧,RSPAN技术加上相关的监控软件可以帮助你来动态的监控内网服务器,这里小编使用华为的设备来实现。
实现了 RSPAN功能的交换机分为三种:
1. 源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。
2. 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN 把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
3. 目的交换机:远程镜像目的端口所在的交换机,将从 Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
各个交换机上参与镜像的端口如下图所示
为了实现远程端口镜像功能,需要定义一个特殊的 VLAN,称之为 Remote-probe VLAN。所有被镜像的报文通过该 VLAN从源交换机传递到目的交换机的镜像端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点:
1. 议将该 VLAN中的设备互连端口都配置为 Trunk端口;
2. 能将缺省 VLAN、管理 VLAN设置成 Remote-probe VLAN;
3. 需要通过配置保证 Remote-probe VLAN从源交换机到目的交换机的二层互通性;
4. 交换机作为中间设备或者目的设备的时候,不能支持双向(both)镜像。
配置准备
1. 定了源交换机、中间交换机、目的交换机
2. 确定了镜像源端口、反射端口、镜像目的端口、Remote-probe VLAN
3. 通过配置保证了 Remote-probe VLAN内从源交换机到目的交换机的二层互通性
4. 确定了被监控报文的方向
5. 中间交换机、目的交换机支持按 VLAN不学习 MAC的功能,并且把一个 VLAN配置成 Remote-probe VLAN后,系统会在该 VLAN下禁止 MAC地址学习
6. 如果要配置基于 MAC的远程镜像,需要确定配置的 MAC地址必须是 MAC地址表项中存在的静态 MAC地址
7. 如果要配置基于 VLAN的远程镜像,需要确定相应的 VLAN ID
源交换机上的配置过程
中间交换机上的配置过程
目的交换机上的配置过程
配置举例
a) 组网需求
用户网络描述如下:
1. Switch A通过 Ethernet1/0/2和数据检测设备相连
2. Switch A的Trunk端口Ethernet1/0/1和Switch B的Trunk端口Ethernet 1/0/1相连
3. Switch B的Trunk端口Ethernet1/0/2和Switch C的Trunk端口Ethernet 1/0/1相连
4. Switch C的端口 Ethernet1/0/2和 PC1相连
需求为通过数据检测设备对 PC1发送的报文进行监控和分析。
使用 RSPAN功能实现该需求,进行如下配置。
1. 定义 VLAN10 为 remote-probe VLAN
2. Switch A为目的交换机,连接数据监控设备的端口 Ethernet1/0/2为镜像目的端口,Ethernet1/0/2上不能使能 STP
3. Switch B为中间交换机
4. Switch C为源交换机,Ethernet1/0/2为镜像源端口,定义 Ethernet1/0/5为反射端口。Ethernet1/0/5为 access端口,并且不能使能 STP。
b). 组网图
c).配置步骤
# Switch C的配置
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan10] remote-probe vlan enable
[Quidway-vlan10] quit
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] port link-type trunk
[Quidway-Ethernet1/0/1] port trunk permit vlan 10
[Quidway-Ethernet1/0/1] quit
[Quidway] mirroring-group 1 remote-source
[Quidway] mirroring-group 1 mirroring-port ethernet1/0/2 outbound
[Quidway] mirroring-group 1 reflector-port ethernet1/0/5
[Quidway] mirroring-group 1 remote-probe vlan 10
[Quidway] display mirroring-group remote-source
# Switch B的配置
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan10] quit
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] port trunk permit vlan 10
[Quidway-Ethernet1/0/1] quit
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port link-type trunk
[Quidway-Ethernet1/0/2] port trunk permit vlan 10
# Switch A的配置
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan10] remote-probe vlan enable
[Quidway-vlan10] quit
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] port link-type trunk
[Quidway-Ethernet1/0/1] port trunk permit vlan 10
[Quidway-Ethernet1/0/1] quit
[Quidway] mirroring-group 1 remote-destination
[Quidway] mirroring-group 1 monitor-port ethernet1/0/2
[Quidway] mirroring-group 1 remote-probe vlan 10
[Quidway] display mirroring-group remote-destination
SW-C上查看镜像组
SW-A上查看镜像组
现在在监控主机端监控PC1来访问ftp服务器,小编这里使用的wireshark工具,可以清晰的抓到用户名和密码
SW-C参考配置
[SW-C]dis cu
#
sysname SW-C
#
mirroring-group 1 remote-source
#
radius scheme system
#
domain system
#
vlan 1
#
vlan 10
remote-probe vlan enable
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/2
mirroring-group 1 mirroring-port outbound
。。。。。
#
interface Ethernet1/0/5
duplex full
speed 100
mirroring-group 1 reflector-port
#
。。。。。。。
interface Ethernet1/0/24
#
interface NULL0
#
mirroring-group 1 remote-probe vlan 10
#
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple 123
#
Return
SW-B参考配置
<SW-B>dis cu
#
sysname SW-B
#
radius scheme system
#
domain system
#
local-user user
password simple 123456
service-type lan-access
service-type telnet terminal
level 3
service-type ftp
#
vlan 1
#
vlan 10
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/2
port link-type trunk
port trunk permit vlan 1 10
#
。。。。。。。
interface Ethernet1/0/24
#
interface NULL0
#
FTP server enable
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
set authentication password simple 123
protocol inbound telnet
#
Return
SW-A参考配置
<SW-A>dis cu
#
sysname SW-A
#
mirroring-group 1 remote-destination
#
radius scheme system
#
domain system
#
vlan 1
#
vlan 10
remote-probe vlan enable
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/2
port access vlan 10
mirroring-group 1 monitor-port
#
。。。。。
interface NULL0
#
mirroring-group 1 remote-probe vlan 10
#
user-interface aux 0
user-interface vty 0 4
#
Return