هدف از این مقاله بررسی و پیاده سازی روال Port mirroring در سوئیچ های Cisco بوده و اتصال آن به نرم افزارهای مانیتورینگ می باشد . ویژگی اخیر (SPAN (Switched Port Analyzer در سوئیچ های سیسکو که از آن به عنوان Port mirroring یاد می شود ترافیک درون سوئیچ را جهت آنالیز انتخاب می کند . تحلیل کننده این ترافیک می تواند یک دستگاه Switch Probe و یا یک دستگاه نظارت از راه دور باشد) RMON Probe . پیش از این، SPAN یکی از ویژگی های نسبتا اساسی در سوئیچ سیسکو کاتالیست سری بود. با این حال، آخرین نسخه از OS کاتالیست (CatOS) معرفی پیشرفت های بزرگ و بسیاری از امکانات جدید که در حال حاضر در دسترس برای کاربر می باشد .
اینجا از CatOS 5.5 به عنوان یک مرجع برای کاتالیست 4500//4000، 5500//5000، 6500//6000 و کلید سری. در سوئیچ کاتالیست 2900XL // 3500XL سری، سیسکو IOS® نرم افزار انتشار 12.0 (5) XU استفاده شده است.و تمام مواردی که عنوان می شود نتیجه حاصله در آزمایشگاه شرکت سیسکو می باشد .
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
نظر به تفاوت پایه ای در سوئیچ ها و هاب ها عملکرد آنها در زمینه SPAN به قرار زیر است هنگامیکه یک هاب بسته ای دریافت می کند بسته را بر روی تمامی پورت ها به جز پورتی که بسته را دریافت کرده ارسال می نماید .زمانیکه یک سوئیچ شروع به کار میکند در ابتدا نسبت به ایجاد جدول mac address اقدام می نماید و پس از ایجاد جدول مذکور بسته دریافتی را بر اساس جدول Mac address به پورت مقصد ارسال می نماید .به طور مثال اگر شما می خواهید ترافیک ارسالی از هاست A به هاست B را مورد انتخاب قرار دهید و در این ارتباط از هاب استفاده شده باشد در صورت اتصال یک شنود کننده به یکی از پورتهای آن هاب این امکان وجود دارد که تمامی ترافیک توسط این شنود کننده بدون هیچگونه مشکلی شنود شود.
اما اگر در همین ارتباط به جای استفاده از هاب از یک سوئیچ استفاده شود سوئیچ پس از شناخت پورت مقصد که همان پورت B باشد بسته دریافتی از هاست A صرفا و فقط و فقط بر روی همان پورت B ارسال میکند و امکان شنود ترافیک توسط شنود کننده فراهم نخواهد بود .
در این دیاگرام شنود کننده صرفا قادر به شنود ترافیک های Broadcast ، ترافیک های Multicast با پرتکل CGMP یا IGMP و ترافیک های ناشناخته unicast خواهد بود .ترافیک unicast ترافیکی می باشد که سوئیچ مقصد و یا همان Mac address مقصد را در جدول خود را ندارد و به همین جهت بسته را به تمامی Vlan ها و پورتها ارسال می نماید که به صورت اضافی بسته به پورت شنود کننده ارسال می شود .
در این نمودار، شنود کننده متصل به به یک پورت سوئیچ است که پیکربندی شده برای دریافت یک کپی از هر بسته که میزبان می فرستد به این پورت یک پورت SPAN گویند.
پورت مبنع، همان پورتی می باشد که می بایست مانیتور شود که این پورت می تواند پورتی از یک سوئیچ و یا یک روتر باشد در یک span local یا یک RSPAN( مانیتور از راه دور ) شما می توانید این پورت را مانیتور کنید ایتم هایی مانند بسته های دریافتی (RX ) یا بسته های انتقالی ( TX ) و یا دو طرفه سوئیچها از تمامی تعداد پورتها و Vlan ها پشتیبانی میکنند .مشخصات پورتهای مبداء :
زمانیکه شما یک پورت ترانک را به عنوان یک پورت منبع شروع به مانیتور کردن میکنید تمامی Vlan های فعال آن بصورت پیش فرض مانیتور خواهند شد برای همین شما می توانید به جهت محدود سازی مانیتور کردن پورت ترانک از Vlan filtering استفاده نمائید :
VSPAN نظارت بر ترافیک شبکه را در یک یا چند VLAN است ، مانیتور کردن local و یا از راه دور یک vlan و یا چندین vlan از طریق vlan ID می باشد که ترافیک تمام پورتهای موجود بر Vlan ها رو مانیتور میکند . VSPANها دارای مشخصات زیر می باشند :
تمامی SPAN ها و یا RSPAN ها می بایست دارای پورت مقصد باشند ( که همان پورت مانیتور کننده نامیده می شود ) که یک کپی از ترافیک منابع را دریافت میکند:
Catalyst Express 500 یا Catalyst Express 520 صرفا از SPAN پشتیبانی میکند و برای این منظوراز Cisco Network Assistant (CNA) استفاده می نماید که پیکر بندی کامل آن به صورت زیر می باشد:
پشتیبانی از Span در این نوع سوئیچ گسترده نبوده و به آسانی قابل درک است در این نوع سوئیچ می توان تعداد زیادی Pspan بسته به نوع نیاز تعریف کرد .محدودیت اصلی در این نوع سوئیچ این است که تمامی پورت ها و Vlan ها می بایست مربوط به یک Vlan باشد .اگر شما یک Vlan با یک Ip مخصوص به آن در سوئیچ ایجاد کرده باشید .مثال ایجاد دو Span همزمان :
!--- Output suppressed.!interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5 ! interface FastEthernet0/6 switchport access vlan 2 ! !--- Output suppressed. ! interface VLAN1 ip address 10.200.8.136 255.255.252.0 no ip directed-broadcast no ip route-cache ! !--- Output suppressed.
برای تعریف Fa0//1 به عنوان پورت مانیتور کننده Fa0//2 و Fa0//5 و مدیریت Vlan 1 می بایست وارد مد تنظیمات پورت شده و دستورات زیر را وارد کنید :
Switch(config)#interface fastethernet 0/1
لیست پورتهایی که می خواهید مانیتور کنید را وارد می کنیم :
Switch(config-if)#port monitor fastethernet 0/2 Switch(config-if)#port monitor fastethernet 0/5
با دستور های فوق تمامی ترافیکی که بر روی دو پورت هستند کپی برداری شده و به پورت Fa0//1 ارسال می شود همچنین برای مانیتور Administrator interface از دستور زیر استفاده می شود :
Switch(config-if)#port monitor vlan 1
دستور زیر نشان می دهد نظارت بر روی یک پورت Vlan غیر ممکن است :
Switch(config-if)#port monitor fastethernet 0/3 FastEthernet0/1 and FastEthernet0/3 are in different vlan
به منظور پایان پیکربندی، پیکربندی یک session دیگر. در این زمان، استفاده Fa0//4 به عنوان یک مقصد پورت SPAN در نظر گرفته می شود :
Switch(config-if)#interface fastethernet 0/4 Switch(config-if)#port monitor fastethernet 0/3 Switch(config-if)#port monitor fastethernet 0/6 Switch(config-if)#^Z
و به جهت مشاهده تنظیمات انجام شده می توان از دستور Show Running و یا Show port monitoring استفاده نمود :
Switch#show port monitor Monitor Port Port Being Monitored --------------------- --------------------- FastEthernet0/1 VLAN1 FastEthernet0/1 FastEthernet0/2 FastEthernet0/1 FastEthernet0/5 FastEthernet0/4 FastEthernet0/3 FastEthernet0/4 FastEthernet0/6
در این مدل از سوئیچ ها به دلیل ثابت بودن تنظیمات امکان Span وجود ندارد برای اطلاعات بیشتر به سند Features Not Supported مراجعه کنید .
یک تنظیمات بسیار ساده تحت عنوان snooping در این دسته از سوئیچ ها وجود دارد . پورت snooping این اجازه را به شما می دهد که یک کپی از ترافیک را از روی یک یا چند منبع به یک پورت مقصد ارسال نمائید . Snoop پورت به صورت کلی port-base بوده و در صورت انتخاب ایتم No غیر فعال خواهد بود :
snoop interface source_port direction snoop_direction no snoop interface source_port
متغییر source__port اشاره به پورتی دارد که قرار بر مانیتور شدن آن می باشد و عبارت snoop__direction مانیتور کننده بسته های دریافت شده ، انتقال داده شده و یا هر دوی آنهاست :
8500CSR#configure terminal 8500CSR(config)#interface fastethernet 12/0/15 8500CSR(config-if)#shutdown 8500CSR(config-if)#snoop interface fastethernet 0/0/1 direction both 8500CSR(config-if)#no shutdown
مثال زیر خروجی یک دستور Show Snoop می باشد :
8500CSR#show snoop Snoop Test Port Name: FastEthernet1/0/4 (interface status=SNOOPING) Snoop option: (configured=enabled)(actual=enabled) Snoop direction: (configured=receive)(actual=receive) Monitored Port Name: (configured=FastEthernet1/0/3)(actual=FastEthernet1/0/3)
این قسمت فقط توسط سوئیچ های ذیل سری 2900 پشتیبانی می شوند :
Cisco Catalyst 2948G-L2 Switch Cisco Catalyst 2948G-GE-TX Switch Cisco Catalyst 2980G-A Switch
و همچنین توسط سوئیچ های سری 4000 ذیل
Modular Chassis Switches: Cisco Catalyst 4003 Switch Cisco Catalyst 4006 Switch Fixed Chassis Switch: Cisco Catalyst 4912G Switch
تنظیمات SPAN تک به تک درون CatOS هر سوئیچ اضافه شده و تنظیمات آن شامل تک دستورات با set span می باشد که در زیر به معرفی تعدادی از آنها می پردازیم :
switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
set span <src_mod/src_ports...|src_vlans...|sc0>
<dest_mod/dest_port> [rx|tx|both]
[inpkts <enable|disable>]
[learning <enable|disable>]
[multicast <enable|disable>]
[filter <vlans...>]
[create]
دیاگرام زیر نمایش دهنده SPAN های مختلف با قابلیت استفاده از متغییر های گوناگون است
دیاگرام نمایش دهنده قسمتی از line card واقع شده در اسلات ششم یک سوئیچ سری 6000/6500 می باشد در این سناریو :
ساده ترین شکل نمایش دستورات Set Span جهت مانیتور کردن یک تک پورت دستور شامل :
Set Span source_port destenition_port
switch (enable) set span 6/1 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
در این نوع تنظیم یک کپی از تمامی بسته ها یی که توسط پورت 1//6 ارسال و دریافت می شوند به پورت 2//6 ارسال می شود و با دستور Show Span امکان دیدن تنظیمات وجود دارد:
switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 1
دستور set span source__ports destination__port به شما این اجازه را می دهد که بیش از یک پورت را مانیتور نمائید مثال زیر نمونه ای کاربردی از دستور فوق است که 3 پورت 3//6 تا 5//6 را به وسیله پورت 1//6 مانیتور میکند :
switch (enable) set span 6/1,6/3-5 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3-5
Oper Source : Port 6/1,6/3-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
شما به وسیله دستور set span source__vlan(s) destination__port . قادر به مانیتور کردن Vlan خواهید بود :
switch (enable) set span 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
یک پورت ترانک پورتی خاص در مجموعه یک سوئیچ می باشد چرا که حمل کننده چندین vlan است اگر پورت ترانک را به عنوان یک پورت منبع در نظر بگیریم ترافیک تمامی vlan ها از طریق همین پورت نمایش داده خواهد شد .در این دیاگرام پورت 5//6 ترانک بوده که اطلاعات تمامی vlan ها را با خود حمل میکند تصور کنید که شما می خواهید ترافیک پورت های 5//6 و 4//6 متعلق به vlan2 را با استفاده از Span مانیتور کنید حالت ساده دستور به شرح ذیل می باشد :
switch (enable) set span 1,3 6/2 rx
2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 1,3
Oper Source : Port 1/1,6/1,6/4-5,15/1
Direction : receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
در این سناریو ترافیک دریافتی توسط Span با ترافیک سایر Vlan آمیخته شده است و هیچ راهی جهت تلفیق ترافیک ها وجود نخواهد داشت امکان دیگر ایجاد Span بر روی Vlan2 خواهد بود
switch (enable) set span 6/4-5 6/2
با این راهکار حداقل می توان ترافیک Vlan2 را به وسیله پورت ترانک مانیتور کرد . تنها مشکل ترافیک اضافی دریافتی از پورت 3//6 می باشد CatOS شامل کلید های دستوری دیگری نیز می باشد که به شما اجازه انتخاب تعدادی از Vlan ها را جهت مانیتور شدن به وسیله پورت ترانک می دهد
switch (enable) set span 6/4-5 6/2 filter 2
2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : 2
Status : active
در صورتیکه شما دارای پورت های مختلفی در vlan های مختلف هستید و یا دارای Span بر روی vlan های مختلف بر روی پورت ترانک هستید شاید نیاز به شناسایی ترافیک ارسالی به تفکیک Vlan های موجود باشید این امکان وجود دارد در صورتیکه پورت مقصد شما از نوع ترانک تعریف شده باشد در این روش تمامی بسته های ارسالی به شنود کننده برچسپ Vlan Id خود را خواهند داشت .
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
switch (enable) set trunk 6/2 nonegotiate isl
Port(s) 6/2 trunk mode set to nonegotiate.
Port(s) 6/2 trunk type set to isl.
switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become
isl trunk
switch (enable) set span 6/4-5 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
destination port 6/2
تا کنون تمامی موارد ارائه شده به صورت single SPAN session ایجاد شد هر زمان که شما یک دستور Set span جدید ایجاد میکنید دستورات قبلی نامعتبر می شوند اما در حال حاضر CatOS قادر به اجرای چندین دستور همزمان می باشد بنابر این قادر خواهیم بود در یک زمان چندین پورت مقصد داشته باشیم به مثال زیر توجه کنید
switch (enable) set span 6/1 6/2
2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
switch (enable) set span 3 6/3 create
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/3
Show Span نشان دهنده دو Span فعال همزمان خواهد بود :
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
------------------------------------------------------------------------
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 2
همچنین شما توانای پاک کردن session ایجاد شده را خواهید داشت :
set span disable {all | destination_port}
نظر باینکه هر session دارای یک پورت مقصد است ، پورت مقصد session را شناسایی میکند :
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
و حالا شما می توانید به جهت تست صحت عملکرد با دیگر از دستور show Span استفاده نمائید
switch (enable) show span
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
این دستور برای غیر فعال سازی تمامی session های حاضر در حالت Single – step می باشد :
switch (enable) set span disable all
This command will disable all span session(s).
Do you want to continue (y/n) [n]?y
Disabled all local span sessions
2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/3
switch (enable) show span
No span session configured
در دوره آموزش نتورک پلاس مهندس نصیری در خصوص مفاهیم مانیتورینگ شبکه و مبحث Port Mirror هم صحبت شده است که غیر از دوره های آموزشی سیسکو می توانید ویدیوهای مربوط به این مبحث را نیز در آن مشاهده کنید.