建站
咨詢
售后
建站咨詢
新聞中心
Sensor的設置尤為重要,具體設置方法和嗅探器類似,很多人曾經(jīng)都安裝過嗅探器,在大型網(wǎng)絡中這種做法并不像主機接入網(wǎng)絡那樣簡單。作為網(wǎng)絡管理人員,應該清楚所管理網(wǎng)絡環(huán)境的具體情況。如圖2-2所示的為某企業(yè)的網(wǎng)絡拓撲結(jié)構。
圖2-2如何選擇嗅探器的位置
下面主要討論交換式網(wǎng)絡和路由式網(wǎng)絡中的嗅探方法。
1.交換式網(wǎng)絡
在交換式網(wǎng)絡中,采用端口鏡像是捕獲流量最簡單的方法,但所使用的交換機必須支持端口鏡像(Port Mirroring)功能,以及有一個空閑端口,可插入嗅探器。大多數(shù)中檔以上的交換機都支持端口鏡像功能,但支持程度不同。
支持SPAN的設備:
Tp-link常用的有鏡像功能的交換機有tplink sf2005 5口鏡像交換機
Tp-link 2428WEB 24口可網(wǎng)管鏡像交換機
Cisco WS-C6509、WS-C4006、WS-C3750G-24T-E、WS-C3550-48EMI、WS-C2950G-24-EI華為S2008/S2016/S2026/S2403H/S3026均支持端口鏡像。因為SPAN的設置是重中之重,下面詳細講解。
圖2- 3交換式網(wǎng)絡中的Sensor部署
Cisco Catalyst系列交換機上配置鏡像(SPAN)端口步驟
在進行網(wǎng)絡故障排查、網(wǎng)絡數(shù)據(jù)流量分析的過程中,有時需要對網(wǎng)絡節(jié)點或骨干交換機的某些端口進-行數(shù)據(jù)流量監(jiān)控分析,而在交換機中設置鏡像(SPAN)端口,可以對某些可疑端口進行監(jiān)控,同時又不影響被監(jiān)控端口的數(shù)據(jù)交換。
SPAN(Switched Port Analyzer)的作用主要是為了給某種網(wǎng)絡分析器提供網(wǎng)絡數(shù)據(jù)流。它既可以實現(xiàn)一個VLAN中若干個源端口向一個監(jiān)控端口鏡像數(shù)據(jù),也可以從若干個VLAN向一個監(jiān)控端口鏡像數(shù)據(jù)。SPAN 任務不會影響交換機的正常工作。當一個SPAN任務被建立后,根據(jù)交換機所處的不同的狀態(tài)或操作,任務會處于激活或非激活狀態(tài),同時系統(tǒng)會將其記入日志。通過“show monitor session”命令可顯示SPAN的當前狀態(tài)。
SPAN數(shù)據(jù)流主要分為三類:
(1)輸入數(shù)據(jù)流(Ingress SPAN):指被源端口接收進來,其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;
(2)輸出數(shù)據(jù)流(Egress SPAN):指從源端口發(fā)送出去,其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;
(3)雙向數(shù)據(jù)流(Both SPAN):即為以上兩種的綜合。
在配置SPAN任務時應遵循以下原則:
(1)對數(shù)據(jù)進行監(jiān)控分析的設備應搭接在監(jiān)控端口上;
(2)冗余鏈路端口只能作為SPAN任務的源端口;
(3)SPAN任務中所有的源端口的被監(jiān)控方向必須一致;
(4)在設置端口為源端口時,如果沒有指定數(shù)據(jù)流的監(jiān)控方向,默認為雙向;
(5)當SPAN任務含有多個源端口時,這些端口可以來自不同的VLAN;
(6)取消某一個SPAN任務的命令是:no monitor session任務號;
(7)取消所有SPAN任務的命令是:no monitor;
(8)SPAN任務的目的端口不能參與到生成樹的距離計算中,但由于源端口的BPDU包可以被鏡像,所以SPAN目的端口可以監(jiān)控到來自源端口的BPDU數(shù)據(jù)包。
配置SPAN的源端口,命令格式如下:
Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both]
以下例子顯示如何配置源端口為FastEthernet 5/l的SPAN任務,其監(jiān)控對象為雙向數(shù)據(jù)流:
Switch(config)# monitor session 1 source interface fastethrnet 5/l
配置SPAN的目的端口,命令格式如下:
Switch(config)# [no] monitor session(session_number){destination{interface type/num}}
以下例子顯示如何配置目的端口為FastEthernet 5/48的SPAN任務:
Switch(config)#monitor session l destination interface fastethernet 5/48
當SPAN任務的源端口為Trunk端口時,命令格式如下:
Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[,|-]}
以下例子是當源端口為Trunk端口時,如何配置監(jiān)控其中的VLANl~VLAN5和 VLAN9:
Switch(config)# monitor session 2 filter vlan 1-5,9
以下是一個綜合例子,將用到前面所提到的各種命令:
監(jiān)控Trunk端口FastEtheraet4/10上的雙向數(shù)據(jù)流(在該端口上承載著VLANl~ VLANl005的數(shù)據(jù)流),只監(jiān)控其中VLAN57中的數(shù)據(jù)流,端口
FastEthernet4/15為目的端口,具體配置方法如下:
Switch(config)# monitor session 1 source interface fastethernet 4/10
Switch(config)# monitor session 1 filter vlan 57
Switch(config)# monitor session 1 destination interface fastethernet 4/15
如果想釋放該SPAN任務,輸入如下命令:
Switch(config)# no monitor session 1
以下語句顯示如何檢驗SPAN任務的配置結(jié)果:
Switch# show monitor session 2
在配置鏡像端口(SPAN)過程中,還應考慮到數(shù)據(jù)流量過大時,設備的處理速度及端口數(shù)據(jù)緩存的大小,要盡量減少被監(jiān)控數(shù)據(jù)包的丟失。
2.路由式網(wǎng)絡嗅探器設置問題,大家可以參考我今年出版的新書。
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。
本文名稱:OSSIM系統(tǒng)中Sensor的設置-創(chuàng)新互聯(lián)
地址分享:http://ef60e0e.cn/article/ddogde.html
