پیکربندی SPAN Port جهت آنالیز ترافیک و IDS در سوییچ سیسکو

خصوصیت (Switch Port Analyzer (SPAN که گاهی اوقات به نام Port Monitoring و یا Port Mirroring هم نامیده می شود، جهت آنالیز و بررسی ترافیک شبکه توسط ابزارهای آنالایزر شبکه استفاده می شود. ابزارهای آنالایزر شبکه می تواند تجهیزات کاوشگر سیسکو (Cisco Switchprobe) یا ابزارها یا نرم افزارهای کاوشگر راه دور (Remote Monitoring Probe)  باشد. از ساده ترین نرم افزارهای آنالیز شبکه می توان به Wireshark و یا Microsoft Network Monitor  اشاره کرد. به ابزارهای کاوشگر شبکه Sniffer می گویند.

پیش نیازها:

برای فعال سازی SPAN در سوییچ سیسکو ابتدا باید امکانات ذیل فراهم باشد:

Catalyst Switches That Support SPAN, RSPAN, and ERSPAN

Catalyst Switches

SPAN Support

RSPAN Support

ERSPAN Support

Catalyst Express 500 / 520 Series

Yes

No

No

Catalyst 6500/6000 Series

Yes

Yes

Yes Supervisor 720 with PFC3B or PFC3BXL running Cisco IOS Software Release 12.2(18)SXE or later. Supervisor 720 with PFC3A that has hardware version 3.2 or later and running Cisco IOS Software Release 12.2(18)SXE or later

Catalyst 5500/5000 Series

Yes

No

No

Catalyst 4900 Series

Yes

Yes

No

Catalyst 4500/4000 Series (includes 4912G)

Yes

Yes

No

Catalyst 3750 Metro Series

Yes

Yes

No

Catalyst 3750 / 3750E Series

Yes

Yes

No

Catalyst 3560 / 3560E Series

Yes

Yes

No

Catalyst 3550 Series

Yes

Yes

No

Catalyst 3500 XL Series

Yes

No

No

Catalyst 2970 Series

Yes

Yes

No

Catalyst 2960 Series

Yes

Yes

No

Catalyst 2955 Series

Yes

Yes

No

Catalyst 2950 Series

Yes

Yes

No

Catalyst 2940 Series

Yes

No

No

Catalyst 2948G-L3

No

No

No

Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A

Yes

Yes

No

Catalyst 2900XL Series

Yes

No

No

Catalyst 1900 Series

Yes

No

No

اطلاعات پس زمینه

SPAN چیست و چرا به آن نیاز داریم؟ خصوصیت SPAN برای سوییچ ها تولید شده، چرا که تفاوت اساسی بین سوییچ و هاب در عملکرد آنها وجود دارد. اصولا در هاب نیازی به SPAN وجود ندارد. در صورتیکه پکت اطلاعاتی به یکی از پورتهای هاب برسد، آن پکت به کلیه پورتها غیر از پورت اولیه کپی و ارسال می شود. ولی در سوییچ، بعد از روشن شدن آن جدول لایه 2 از MAC Address یا آدرس فیزیکی مبدا (Source Mac Address) پکت های ارسالی ساخته می شود. بعد از ساخته شدن این جدول، سوییچ پکت های ارسالی را مستقیما بر اساس این جدول به پورت مقصد ارسال می کند.

شکل زیر نحوه عملکرد یک هاب را در هنگام انتقال پکت از مبدا به مقصد نشان می دهد. همانطور که مشخص است هاب پکت ورودی به یک پورت را بر روی سایر پورتها کپی یا ارسال می کند که عملا با گذاشتن یک Sniffer می توان به راحتی ترافیک کل شبکه را شنود کرد.

116456_buwMRO0t[1]

اما در سوییچ هم همانطور که در شکل زیر مشخص است سوییچ آدرس فیزیکی کامپیوتر B را فهمیده و در جدول MAC خود نگهداری می کند. به محض ارسال پکت اطلاعاتی از کامپیوتر A به کامپیوتر B سوییچ با استفاده از اطلاعات جدول MAC، پکت را مستقیما به پورت متصل به کامپیوتر B ارسال می کند. لذا Sniffer ها نمی توانند به ترافیک درون شبکه دسترسی پیدا کنند. به این نوع ترافیک ارسالی با مقصد مشخص Unicast می گویند.

116456_y7E57t4x[1]

ولی در مثال بالا ترافیک های نوع زیر توسط Sniffer ها می تواند دریافت و آنالیز شود:

  • ترافیک های پخش همگانی Broadcast
  • ترافیک های پخش گروهی
  • ترافیک های تک پخشی ناشناخته

برای اینکه بتوان به پکت های نوع Unicast  دسترسی داشت نیاز به یک خصوصیت اضافه در سوییچ است . خصوصیت SPAN. همانند شکل زیر ، با این خصوصیت می توان ترافیکی که بین دو پورت در جریال است را روی پورت دیگری کپی کرد تا توسط Sniffer مورد استفاده قرار گیرد. به این پورت خاص SPAN می گویند. پیکربندی SPAN در دو مدل Local SPAN و Remote SPAN به صورت ذیل می باشد:smile icon

Local SPAN

Switch (config)# monitor session 1 source interface fast 0/1 – 3
Switch (config)# monitor session 1 destination interface fast 0/4

 Remore SPAN

Source Switch :

Switch (config)# vlan 30
Switch (config-vlan)# remote-span
Switch (config)# monitor session 1 source interface fast 0/1 – 3
Switch (config)# monitor session 1 destination  remote vlan 30 reflector-port fast 0/24

 

Destination Switch :

Switch (config)# monitor session 1 source remote vlan 30
Switch (config)# monitor session 1 destination  interface fast 0/10

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.