CISCO交換機(jī)端口鏡像配置

鏡像口配置
    大多數(shù)交換機(jī)都支持鏡像技術(shù)，這可以對(duì)交換機(jī)進(jìn)行方便的故障診斷。我們稱之為“mirroring ”或“Spanning ”。鏡像是將交換機(jī)某個(gè)端口的流量拷貝到另一端口(鏡像端口)，進(jìn)行監(jiān)測(cè)。

Cisco3550可以配置2個(gè)鏡像口
 
案例：將端口2~5鏡像到端口6
 
1、鏡像口配置
 
Switch>enable                         
Switch#conf  t                         
 
Step3: 配置鏡像源，可以是端口也可以是Vlan
Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx
上面命令最后一個(gè)參數(shù):
both  監(jiān)聽(tīng)雙向數(shù)據(jù),默認(rèn)為both
rx    接收
tx    發(fā)送
 
Step4: 配置鏡像目的端口
Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6
 
Switch(config)#exit
 
Switch#wr
 
Step7:查看配置結(jié)果
Switch#show monitor
Session 1
---------
Type              : Local Session
Source Ports      :
    RX Only       : Gi0/2-5
Destination Ports : Gi0/6
    Encapsulation : Native
          Ingress : Disabled
 
Both      監(jiān)聽(tīng)雙向數(shù)據(jù)
RX Only   監(jiān)聽(tīng)接收
Tx Only   監(jiān)聽(tīng)發(fā)送


2、刪除鏡像端口
Switch#conf t
Switch(config)#no monitor session 1
Switch(config)#end

Switch#wr

Switch#show monitor
 No SPAN configuration is present in the system.

3.其他
(1)端口鏡像的過(guò)濾，端口鏡像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口進(jìn)入的流量中，屬于哪些VLAN的可以從目的端口發(fā)出去。
(2)刪除鏡像
no monitor session {session_number | all | local | remote}
**session_number指定會(huì)話號(hào)，all是所有鏡像，local是本地鏡像，remote是遠(yuǎn)程鏡像。
(3)鏡像的目的端口不能正常收發(fā)數(shù)據(jù)，因此不能再作為普通端口使用，可以連接一些網(wǎng)絡(luò)分析和安全設(shè)備，例如裝有sniifer的計(jì)算機(jī)或者Cisco IDS設(shè)備。


    在交換以太網(wǎng)的環(huán)境下，一般兩臺(tái)工作站之間的通訊是不會(huì)被第三者偵聽(tīng)到的。在某些情況下，我們可能會(huì)需要進(jìn)行這樣的偵聽(tīng)，如：協(xié)議分析、流量分析、***檢測(cè)。為此我們可以設(shè)置Cisco交換機(jī)的SPAN (Switched Port Analyzer交換端口分析器)特性, 或早期的“端口鏡像”、“監(jiān)控端口”功能。 偵聽(tīng)的對(duì)象可以是一個(gè)或多個(gè)交換機(jī)端口，或者整個(gè)VLAN。如果要偵聽(tīng)的端口(“源端口”)或VLAN和連接監(jiān)控工作站的端口(“目標(biāo)端口”)在同一臺(tái)交換機(jī)上，我們只需配置SPAN; 如果不在同一臺(tái)交換機(jī)上，需要配置RSPAN (Remote SPAN)。不同的交換機(jī)對(duì)SPAN有不同的限制，如2900XL交換機(jī)中源端口和目標(biāo)端口必須在同一VLAN、某些交換機(jī)不支持RSPAN等等，詳見(jiàn)設(shè)備文檔。

在配置SPAN的時(shí)候，我們需要提供的參數(shù)是源端口或VLAN號(hào)以及目標(biāo)端口。

4000/6000 CatOS 交換機(jī):
set span 6/17 6/19//SPAN:源端口為6/17 目標(biāo)端口為6/19

2950/3550/4000IOS/6000IOS 交換機(jī)：
monitor session 1 local          //SPAN
monitor session 1 source interface fastethernet 0/17 both   //源端口，也可以是某個(gè)VLAN
monitor session 1 destination interface fastethernet 0/19   //目標(biāo)端口

2900/3500XL 交換機(jī)：
Switch(config)#interface fastethernet 0/19           //目標(biāo)端口
Switch(config-if)#port monitor fastethernet 0/17     //源端口

1900 交換機(jī): (或使用菜單 [M] Monitoring)
monitor-port monitored 0/17    //源端口(0/17和0/18端口)
monitor-port monitored 0/18
monitor-port port 0/19         //目標(biāo)端口
monitor-port                   //開(kāi)始監(jiān)控


在配置RSPAN的時(shí)候，我們首先要定義一個(gè)類(lèi)型為RSPAN的VLAN。在普通VLAN上如果源主機(jī)和目標(biāo)主機(jī)都在同一臺(tái)交換機(jī)上，則它們之間的單播通訊不需要通過(guò)TRUNK傳遞到別的交換機(jī)，而RSPAN VLAN需要在TRUNK上轉(zhuǎn)發(fā)這樣的通訊，以保證監(jiān)控機(jī)能夠偵聽(tīng)到。在源交換機(jī)上，需設(shè)置使被偵聽(tīng)的端口或VLAN把流量轉(zhuǎn)發(fā)到RSPAN VLAN上(如果是運(yùn)行IOS的交換機(jī)，需要另外設(shè)置一個(gè)端口作為反射端口); 在目標(biāo)交換機(jī)上，需設(shè)置把RSPAN VLAN中的信息轉(zhuǎn)發(fā)到連接監(jiān)控主機(jī)的目標(biāo)端口。

IOS交換機(jī),如3550:
3550(config)#vlan 900//建立RSPAN VLAN
3550(config-vlan)#remote-span

monitor session 1 remote//源交換機(jī)
monitor session 1 source interface fastethernet 0/17 both//源端口
monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20//目標(biāo)RSPAN VLAN，反射端口

monitor session 2 remote//目標(biāo)交換機(jī)
monitor session 2 source remote vlan 900//RSPAN VLAN
monitor session 2 destination interface fastethernet 0/19//目標(biāo)端口

CatOS 交換機(jī)，如6500:

set vlan 900 rspan//建立RSPAN VLAN

set rspan source 4/1-2 900 //源交換機(jī)

set rspan destination 4/19 900//目標(biāo)交換機(jī)


最近一次配置完RSPAN之后，有用戶反映：部分網(wǎng)段出現(xiàn)嚴(yán)重丟包現(xiàn)象。仔細(xì)檢查，發(fā)現(xiàn)部分交換機(jī)的上聯(lián)端口負(fù)載很重。再分析，原來(lái)在兩臺(tái)中心交換機(jī)上啟用了一個(gè)RSPAN進(jìn)程，RSPAN VLAN上的流量很大，達(dá)300M。由于VTP 域中沒(méi)有啟用Pruning 功能，這個(gè)RSPAN VLAN的流量出現(xiàn)在所有的TRUNK上，造成了阻塞。把RSPAN VLAN從這些TRUNK上修剪掉之后，網(wǎng)絡(luò)恢復(fù)了正常。

SPAN功能的出現(xiàn)，使保護(hù)交換機(jī)不被非法控制變得更為重要。因?yàn)榧偃?**控制了一臺(tái)主機(jī)和部分交換機(jī)，他將能夠使用SPAN/RSPAN和Sniffer竊聽(tīng)任何在網(wǎng)絡(luò)上傳遞的信息。


       先解釋一下端口鏡像：端口鏡像簡(jiǎn)單的說(shuō)，就是把交換機(jī)一個(gè)（數(shù)個(gè)）端口（源端口）的流量完全拷貝一份，從另外一個(gè)端口（目的端口）發(fā)出去，以便網(wǎng)絡(luò)管理人員從目的端口通過(guò)分析源端口的流量來(lái)找網(wǎng)絡(luò)存在問(wèn)題的原因。

cisco的端口鏡像叫做SWITCHED PORT ANALYZER，簡(jiǎn)稱SPAN（僅在IOS系統(tǒng)中，下同），因此，端口鏡像僅適用于以太網(wǎng)交換端口。Cisco的SPAN 分成三種，SPAN、RSPAN和VSPAN，簡(jiǎn)單的說(shuō)，SPAN是指源和目的端口都在同一臺(tái)機(jī)器上、RSPAN指目的和源不在同一交換機(jī)上，VSPAN可以鏡像整個(gè)或數(shù)個(gè)VLAN到一個(gè)目的端口。

配置方法：
1. SPAN
(1) 創(chuàng)建SPAN源端口
monitor session session_number source interface interface-id [, | -] [both | rx | tx]
**session_number,SPAN會(huì)話號(hào)，我記得3550支持的最多本地SPAN是2個(gè)，即1或者2。
**interface-id [, | -]源端口接口號(hào)，即被鏡像的端口，交換機(jī)會(huì)把這個(gè)端口的流量拷貝一份，可以輸入多個(gè)端口，多個(gè)用“,”隔開(kāi)， 連續(xù)的用“-”連接。

[both | rx | tx]，可選項(xiàng)，是指拷貝源端口雙向的(both)、僅進(jìn)入(rx)還是僅發(fā)出(tx)的流量，默認(rèn)是both。

(2)創(chuàng)建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL

[ingress]} | ingress vlan vlan id]
**一樣的我就不說(shuō)了。
**session_number要和上面的一致。
**interface-id目的端口，在源端口被拷貝的流量會(huì)從這個(gè)端口發(fā)出去，端口號(hào)不能被包含在源端口的范圍內(nèi)。
**[encapsulation {dot1q | isl}]，可選，指被從目的端口發(fā)出去時(shí)是否使用802.1q和isl封裝，當(dāng)使用802.1q時(shí)，對(duì)于本地VLAN不進(jìn)行封裝，其他VLAN封裝，ISL則全部封裝。

2.VSPAN
(1)創(chuàng)建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一樣的也不說(shuō)了，基本和SPAN相同，只是接口號(hào)變成了VLAN號(hào)，而且只能鏡像接收的流量。
(2)創(chuàng)建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一樣。


3.RSPAN
RSPAN的配置較為復(fù)雜，其流程可以這樣來(lái)看，交換機(jī)把要鏡像的端口流量復(fù)制一份，然后發(fā)到本機(jī)的一個(gè)反射端口上（reflector-port ） ，在由反射端口將其通過(guò)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到目的交換機(jī)中的VLAN上
（一般情況下，這個(gè)VLAN是專為鏡像而設(shè)的，不要作為客戶端接入所用），再在目的交換機(jī)中配置VSPAN，將該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN被使用，該鏡像專用VLAN的信息會(huì)被轉(zhuǎn)發(fā)到所有的VLAN 主干上，造成網(wǎng)絡(luò)帶寬的浪費(fèi)，因此要配置VLAN修剪(pruning)，另外RSPAN也可以鏡像VLAN。
(1)在源交換機(jī)上創(chuàng)建RSPAN源端口
**同SPAN或VSPAN
(2)在源交換機(jī)上創(chuàng)建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交換機(jī)上轉(zhuǎn)為鏡像而設(shè)的VLAN
**reflector-port interface源交換機(jī)上的鏡像端口
(3)在目的交換機(jī)上創(chuàng)建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的鏡像專用VLAN
(4)在目的交換機(jī)上創(chuàng)建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN



開(kāi)啟思科交換機(jī)telnet服務(wù)的配置命令：
enable secret cisco  #配置進(jìn)入特權(quán)模式的密碼（密文密碼，也可以設(shè)置明文密碼）
line vty 0 4         
  password cisco
int vlan1
ip add 172.16.5.1 255.255.0.0  #在vlan1上配置ip地址并進(jìn)行網(wǎng)管
no shut


Cisco交換機(jī)配置，寫(xiě)了很久的了，

2950交換機(jī)的基本配置，目前我們常用的是配置VLAN，另外就是便于管理，配置IP地址及允許Telnet登錄。象生成樹(shù)及VTP的培置，一般的小企業(yè)或系統(tǒng)都不用配置,未做講解。

1  基本概念

1.1交換機(jī)的分類(lèi)

Cisco的交換機(jī)按照交換機(jī)操作系統(tǒng)來(lái)分主要分為兩種：

基于Catalyst OS，常見(jiàn)的如4000、5000、6000系列的，比較高端，一般用不到，局方的核心交換機(jī)可能用到。

基于IOS的，如2950，3560等，配置命令與路由器類(lèi)似，我們用的一般是思科的接入（Access）交換機(jī)，屬于比較低端的。

 
1.2配置模式

交換機(jī)配置的幾種模式要清楚，不同的配置模式可用的命令不同。

根據(jù)提示符可以做判斷，常見(jiàn)的模式如下。

switch: ；ROM狀態(tài)， 路由器是rommon>

switch > ；用戶模式  用戶模式下能夠執(zhí)行的命令有限，從控制臺(tái)登錄可直接進(jìn)入用戶模式

switch # ；特權(quán)模式  執(zhí)行各種Show命令在特權(quán)模式下進(jìn)行

switch (config)# ；全局配置模式  進(jìn)行交換機(jī)的配置

switch (config-if)# ；接口模式    進(jìn)行該接口的相關(guān)配置

 
2 常見(jiàn)配置

2.1模式的切換

switch>enable ；進(jìn)入特權(quán)模式   如果設(shè)置了密碼則需輸入密碼才能登錄，未設(shè)密碼則直接可以輸入

switch#config terminal ；進(jìn)入全局配置模式

switch (config)interface ***;  進(jìn)入接口模式

在各個(gè)模式下輸入exit命令，返回上一級(jí)模式。

 
2.2口令設(shè)置

出于安全的考慮，需要設(shè)置相關(guān)的口令，主要是控制臺(tái)的登錄口令，Telnet口令等，用show run命令可以查看配置是否成功，相關(guān)的命令如下：

switch(config)#hostname  ；設(shè)置交換機(jī)的主機(jī)名

switch(config)#enable secret xxx ；設(shè)置特權(quán)加密口令，show run只能看到密文

switch(config)#enable password xxa ；設(shè)置特權(quán)非密口令，show run可以看到密碼

switch#exit ；返回命令

Telnet的口令設(shè)置見(jiàn)《2.5 管理地址及Telnet配置》。

 
2.3 配置查看

switch#write （或copy run start）；保存配置信息，如果不保存，重啟后配置丟失

switch#reload 重啟交換機(jī)

switch#show run ；查看當(dāng)前配置信息

switch#show start 查看保存的配置

switch#show vlan ；查看vlan配置信息

switch#show interface ；查看所有端口信息

switch#show int f0/0 ；查看指定端口信息

 
2.4 VLAN配置

思科交換機(jī)默認(rèn)只有一個(gè)VLAN，即Vlan1，Vlan1同時(shí)也充當(dāng)管理的功能。在較大的網(wǎng)絡(luò)中配置VLAN需要做好VTP域的規(guī)劃，還要考慮做VLAN間的路由等，相應(yīng)的來(lái)說(shuō)比較復(fù)雜，我們要做的只是在單臺(tái)交換機(jī)上劃分VLAN，相應(yīng)來(lái)說(shuō)比較簡(jiǎn)單。目前，一般企業(yè)所有的服務(wù)器都放在防火墻的Inside 口，甚至不用劃分VLAN。

VLAN配置主要有兩個(gè)步驟，第一步是創(chuàng)建VLAN，第二步就是將端口劃分到相應(yīng)的VLAN（默認(rèn)都在VLAN1）。

基本命令如下

switch#vlan database ；進(jìn)入VLAN設(shè)置

switch(vlan)#vlan 2 ；建VLAN 2

switch(vlan)#no vlan 2 ；刪vlan 2

switch(config)#int f0/1 ；進(jìn)入端口1

switch(config-if)#switchport access vlan 2 ；當(dāng)前端口加入vlan 2

 

再舉例如下：

創(chuàng)建VLAN：

 　　switch#config t

　　switch(config)#hostname GD2950 將交換機(jī)改名為GD2950，提示符將變化

　　GD2950 (config)#exit

　　GD2950#vlan database

　　　　GD2950(vlan)#vlan 2 name DMZ    /*創(chuàng)建名為DMZ的VLAN2

　　　　VLAN 2 added:

　　　　Name: DMZ

　　　　GD2950(vlan)#vlan 3 name Temp   /*創(chuàng)建名為T(mén)emp的VLAN3

　　　　VLAN 3 added:

　　　　Name: Temp

　　　　GD2950(vlan)#end

　　　　GD2950#

端口配置VLAN：

 　　交換機(jī)端口有Trunk模式用不上，默認(rèn)是Access模式

GD2950#config t

　　GD2950(config)#int f0/2　　

　　GD2950(config-if)#switchport access vlan 2     /*設(shè)置端口屬于VLAN2

　　GD2950(config-if)#int f0/3

　　GD2950(config-if)#switchport access vlan 3  /*設(shè)置端口屬于VLAN3

　　GD2950(config-if)#int f0/4

　　GD2950(config-if)#switchport access vlan 4     /*設(shè)置端口屬于VLAN4

　　GD2950(config-if)#exit

　　GD2950(config)#exit

　　GD2950#

2.5 管理地址及Telnet配置

思科的交換機(jī)和路由器默認(rèn)不能Telnet，需要進(jìn)行必需的配置。對(duì)于交換機(jī)要進(jìn)行Telnet，必需先配一個(gè)IP地址（即通常的管理地址），需要注意的是IP地址不是針對(duì)某個(gè)端口，而是針對(duì)VLAN1（一個(gè)網(wǎng)段）而言，這點(diǎn)同路由器有區(qū)別。

配置管理地址：

switch(config)#interface vlan 1 ；進(jìn)入vlan 1

switch(config-if)#ip address 192.168.1.20 255.255.255.0  ；設(shè)置IP地址為192.168.1.20，                                        掩碼為24位

switch(config)#ip default-gateway 192.168.1.1 ；設(shè)置默認(rèn)網(wǎng)關(guān)為192.168.1.1，網(wǎng)關(guān)一般可以不用設(shè)置

設(shè)置完成后，可以用其他機(jī)來(lái)Ping所配置的IP，看是否能夠Ping通。

Telnet設(shè)置：

switch(config)#line vty 0 4 ；進(jìn)入虛擬終端

switch(config-line)#login ；允許登錄

switch(config-line)#password xx ；設(shè)置登錄口令xx，需要注意的是一定要設(shè)置密碼，也不能將密碼設(shè)置為空，否則無(wú)法登錄。因?yàn)門(mén)elnet時(shí)必需輸入一個(gè)非空的密碼。

所有的配置完成后，記得用write或copy run start保存。

這時(shí)可以用telnet來(lái)查看是否可以登錄。要將明文方式的口令加密顯示，可執(zhí)行下面命令：

switch# service password-encryption