网络安全――Span 安全监控

SPAN释义：

SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装SNIFFE工具的PC 受控端口和 监控端口可以在同一台交换机上的，那就是本地SPAN。

 

背景环境：

防火墙，这是大家提到安全时候想到的第一个词，最为可靠的设备要数防火墙了，通过我们的精心配制安全方案，他确实能给我们带来不错的效果，但这还是远远不够的，因为防火墙是针对进入网络时候进行检测的，一种叫做数据驱动式的攻击（内含逻辑炸弹），内网主机下载下来携带病毒木马的文件包，还有一些加密后的攻击，这些都是防火墙无能为力的而如果在网络内有了不正常的情况，防火墙也无能为力，此时就需要在网络内有进行监控的服务，所以防火墙是有局限性的，所以我们就结合一下端口镜像。

端口镜像在我们的网络中，在交换机上有一种概念叫端口镜像span便可以解决这个问题。端口镜像，需要在交换机上设置镜像的源端口（被检测数据来时所经过的端口）和目标端口（链接检测设备的端口），但这只是对检测设备所连接的交换机数据的检测，对于网络上的其他交换的数据检测我们要采用rspan（远程的交换端口分析），我们只需要在网络中心的交换机上连接一台检测设备便可以做到对全网信息的检测。

本地端口镜像配置命令：

创建端口镜像组           mirroring-group group-id local

进入镜像目的端口的以太    interface interface-type interface-number

定义当前端口为镜像目的端口              monitor-port

进入镜像源端口的以太网       interface interface-type interface-number

配置镜像源端口，同时指定被镜像报文的方向    mirroring-port { inbound |outbound | both }

或者用这种方法：创建端口镜像组             mirroring-group group-id local

配置镜像目的端口                mirroring-group group-idmonitor-port monitor-port

配置镜像源端口，同时指定被镜像报文的方向         mirroring-group group-idmirroring-port mirroring-port-list { both |inbound | outbound }

下面是一个本地端口镜像案例： [sw]dis mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/10 bothEthernet1/0/20 bothmonitor port: Ethernet1/0/2在pc2上建一个ftp服务器并建立用户：

[pc2]ftp server enable[pc2]local-user user1      

[pc2-luser-user1]password 123456[pc2-luser-user1]service-type ftp

从pc1上登录pc2的ftp服务器：

在检测设备上检测到登录信息：

 

这个就是本地span，可以看出我们检测到了交换机上的数据流，看到账号，密码没，嘿嘿！

利用这个我们就可以随时随地检测网络上的流量，进行安全控制。

好的，我们下期做RSPAN。