По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Ищете возможность анализировать сетевой трафик/отправлять его на систему записи телефонных разговоров? Изи. Коммутаторы Cisco (да и многие другие) дают возможность копировать пакеты с определенного порта или VLAN и отправлять эти данные на другой порт для последующего анализа (Wireshark, например).
Кстати, этот функционал полезен при использовании IDS (Intrusion Detection System) систем в целях безопасности. Мы уже рассказывали теоретические основы SPAN/RSPAN, поэтому, сегодняшняя статья будет посвящена практике настройке.
Про настройку SPAN
В рамках обычной SPAN сессии захват (копирование) сетевого трафика происходит с порта источника (source port) и отправляется на порт назначения (destination port). Обратите внимание на пример ниже: мы сделаем SPAN – сессию с порта fa 0/1 и отправим данные на порт fa 0/5:
Важно! SPAN – сессия может работать только в рамках одного коммутатора (одного устройства).
Конфигурация:
switch# configure terminal
switch(config)# monitor session 1 source interface fa0/1
switch(config)# monitor session 1 destination interface fa0/5
Просто, не правда ли? В рамках данной конфигурации весь трафик с порта fa 0/1 будет скопирован на порт fa 0/5.
Интереснее: пример RSPAN
Идем вперед. Более продвинутая реализация зеркалирования трафика это RSPAN (Remote SPAN). Эта фича позволяет вам зеркалировать трафик между различными устройствами (коммутаторами) по L2 через транковые порты. Копия трафика будет отправляться в удаленный VLAN между коммутаторами, пока не будет принята на коммутаторе назначения.
На самом деле, это легко. Давайте разберемся на примере: как показано на рисунке, мы хотим копировать трафик с коммутатора №1 (порт fa 0/1) и отправлять трафик на коммутатор №2 (порт fa 0/5). В примере показано прямое транковое подключение между коммутаторами по L2. Если в вашей сети имеется множество коммутаторов между устройствами источника и назначения – не проблема.
Конфигурация:
//Настройки на коммутаторе источнике
switch_source# config term
switch_source(config)# vlan 100 //Создаем Remote VLAN на первом коммутаторе (в который будем передавать данные с source порта)
switch_source(config-vlan)# remote span
switch_source(config-vlan)# exit
switch_source(config)# monitor session 10 source interface fa0/1
switch_source(config)# monitor session 10 destination remote vlan 100
//Настройки на коммутаторе получателе
switch_remote# config term
switch_remote(config)# vlan 100 //Создаем Remote VLAN на втором (удаленном) коммутаторе (в который будем передавать данные с source влана уже на порт назначения)
switch_remote(config-vlan)# remote span
switch_remote(config-vlan)# exit
switch_remote(config)# monitor session 11 source remote vlan 100
switch_remote(config)# monitor session 11 destination interface fa0/5
Таким образом, весь трафик с интерфейса fa 0/1 на локальном коммутаторе (источнике) будет отправлен в vlan 100, и, когда коммутатор получатель (remote) получит данные на 100 VLAN он отправит их на порт назначения fa 0/5. Такие дела.
Party Hard: разбираемся с ERSPAN
ERSPAN (Encapsulated Remote Switched Port Analyzer) - фича, которая используется для копирование трафика в L3 сетях. В основе работы механизма лежит GRE инкапсуляция.
Как показано ниже, между коммутатором источником и коммутатором получателем устанавливается GRE – туннель (между IP – адресами машин). Опять же, мы хотим отправить трафик с порт fa 0/1 на порт fa 0/5.
Конфигурация:
//Настройки на коммутаторе источнике
switch_source(config)# monitor session 1 type erspan-source
switch_source(config-mon-erspan-src)# source interface fa0/1
switch_source(config-mon-erspan-src)# destination
switch_source(config-mon-erspan-src-dst)# erspan-id 111 //Это значение должно быть одинаковым на всех устройствах
switch_source(config-mon-erspan-src-dst)# ip address 192.168.1.5 //IP - адрес коммутатора получателя
switch_source(config-mon-erspan-src-dst)# origin ip address 192.168.2.5 //IP - адрес коммутатора отправителя (источника)
//Настройки на коммутаторе получателе
switch_remote(config)# monitor session 1 type erspan-destination
switch_remote(config-mon-erspan-dst)# destination interface fa0/5
switch_remote(config-mon-erspan-dst)# source
switch_remote(config-mon-erspan-dst-src)# erspan-id 111
switch_remote(config-mon-erspan-dst-src)# ip address 192.168.1.5 //IP - адрес коммутатора получателя (назначения)
Траблшутинг
Мониторинг трафика в указанном VLAN:
monitor session 1 source vlan 13
Мониторинг входящего или только исходящего трафика:
monitor session 1 source vlan 13 rx/tx
Посмотреть конфигурацию сессии зеркалирования:
show monitor session 1
В предыдущей статье мы рассмотрели необходимость перераспределения маршрутов, а также рассмотрели некоторые примеры конфигурации. Эта статья основана на предыдущей конфигурации и рассматривает возможность фильтрации маршрутов с помощью карт маршрутов.
В частности, в предыдущем примере показано взаимное перераспределение маршрутов между EIGRP и OSPF, где все маршруты были перераспределены между двумя автономными системами. Однако некоторые сценарии проектирования могут потребовать, чтобы мы предотвратили перераспределение каждого отдельного маршрута. Один из способов сделать эту фильтрацию - использовать карту маршрутов.
Для справки, вот топология, с которой мы работаем:
Кроме того, с нашей текущей конфигурацией перераспределения маршрутов таблица IP-маршрутизации на роутере OFF1 выглядит следующим образом:
Скажем, по какой-то причине мы не хотим, чтобы сеть 192.168.2.0 /24 была перераспределена из EIGRP в OSPF. Один из способов сделать эту фильтрацию - использовать карту маршрутов, которая ссылается на список управления доступом (ACL).
Во-первых, давайте перейдем к роутеру CENTR и создадим ACL, который соответствует сети, которую мы хотим отфильтровать.
CENTR # conf term
Enter configuration commands, one per line. End with CNTL/Z.
CENTR (config) access-list 1 permit 192.168.2.0 0.0.0.255
Обратите внимание на использование ключевого слова permit в ACL. В этом контексте слово permit одно из ключевых среди match, notallow. Далее мы будем ссылаться на этот ACL в карте маршрутов, и это карта маршрутов, расскажет, что мы хотим запретить этой сети быть перераспределенной. Вот как мы можем создать эту карту маршрута:
CENTR (config)# route-map LAB deny 10
CENTR (config-route-map) # match ip address 1
CENTR (config-route-map) #exit
CENTR (config)# route-map LAB permit 20
CENTR (config-route-map) exit
CENTR (config)#
Обратите внимание, что у нас есть два оператора route-map с порядковыми номерами 10 и 20. Как и в ACL, route-map обрабатываются сверху вниз. В этом примере мы хотим запретить сеть 192.168.2.0 / 24 с порядковым номером 10. Затем, чтобы разрешить перераспределение всего остального трафика, мы создаем инструкцию route-map с порядковым номером 20. Обратите внимание, что в отличие от предыдущего оператора route-map (который содержал ключевое слово deny), этот оператор route-map содержит ключевое слово permit. В результате, без необходимости указывать условие соответствия, мы сопоставляем (и разрешаем) все остальные маршруты.
Далее, давайте применим нашу карту маршрута к команде redistribute в нашем процессе маршрутизации OSPF на роутере CENTR. В настоящее время команда redistribute для процесса маршрутизации OSPF выглядит следующим образом: edistribute eigrp 1 metric-type 1 subnets
То, что мы хотим сделать - это переписать эту команду, добавив ссылку на нашу недавно созданную карту маршрутов.
CENTR (config)# router ospf 1
CENTR (config-router)# redistribute eigrp 1 metric-type 1 subnets route-map LAB
CENTR (config-router)#end
CENTR#
Теперь давайте вернемся к роутеру OFF1 и посмотрим, исчезла ли сеть 192.168.2.0/24 из таблицы IP-маршрутизации.
Все отлично! Маршрут 192.168.2.0/24 был успешно отфильтрован. В следующей статье мы рассмотрим, как можно устранить неполадки с перераспределением маршрутов.
Всем привет! Недавно мы рассказывали об операционной системе Cisco IOS, которая работает на устройствах Cisco. Сегодня мы расскажем про особенности её интерфейса командной строки (CLI).
Операционная система Cisco IOS использует иерархическую систему режимов, по которым нужно переходить во время работы.
Основными режимами являются:
Пользовательский режим User executive (User EXEC) mode
Привилегированный режим Privileged executive (Privileged EXEC) mode
Глобальный режим конфигурации Global configuration mode
Другие режимы конфигурации, такие как режим конфигурации интерфейса
Каждый режим имеет свои отличия и используется для выполнения определенных задач, с определенным набором команд, доступных только для этого режима. Например, глобальный режим конфигурации позволяет настраивать параметры на устройстве, которые влияют на устройство в целом, например изменение имени устройства. Если нужно изменить параметры определенного порта, то необходимо войти в режим конфигурации интерфейса для этого порта. Все команды, введенные в режиме настройки интерфейса, применяются только к этому порту. Иерархическую структуру можно настроить для обеспечения безопасности - для каждого режима можно настроить различную аутентификацию.
Двумя основными режимами работы являются режим User EXEC и режим Privileged EXEC. В качестве безопасности IOS разделяет сессии EXEC на два уровня доступа, и привилегированный режим Privileged EXEC позволяет выполнять больше команд, влияющих на устройство.
Режим User EXEC
Режим пользователя User EXEC имеет ограниченные возможности, но может быть полезен для некоторых основных операций. Режим User EXEC находится на самом базовом уровне иерархической структуры и является первым режимом, возникающим при входе в CLI устройства. Он допускает только ограниченное количество основных команд мониторинга и не позволяет выполнять какие-либо команды, которые могут изменить конфигурацию устройства. По умолчанию для доступа к режиму User EXEC с консоли не требуется аутентификация. User EXEC идентифицируется подсказкой CLI, которая заканчивается символом ”>”. Выглядит это так:
Switch>
Режим Privileged EXEC
Выполнение конфигурационных команд требует использование привилегированного режима Privileged EXEC или более конкретного режима в иерархии. Это означает, что нужно сначала войти в User EXEC, а оттуда в Privileged EXEC.
Этот режим можно определить по символу “#”. Например:
Switch#
Глобальный режим конфигурации и все другие, специфические режимы могут быть достигнуты только из привилегированного режима EXEC. Чтобы войти в него нужно ввести команду enable. Для возврата в пользовательский режим используется команда disable.
Глобальный режим конфигурации
Основной режим конфигурации называется Global Configuration. В глобальном режиме конфигурации выполняются команды, которые влияют на работу устройства в целом. Доступ к глобальному режиму осуществляется перед доступом к определенным режимам конфигурации.
Для перехода устройства из привилегированного режима Privileged EXEC в режим Global Configuration используется команда:
Switch# configure terminal
После ее выполнения устройство перейдет в режим конфигурации:
Switch(config)#
Особые режимы конфигурации
Из режима глобальной конфигурации можно войти в различные режимы подконфигурации. Каждый из этих режимов позволяет конфигурировать определенную часть или функцию устройства. Например, режим интерфейса (настройка одного из сетевых интерфейсов - Fa0/0, S0/0/0)) или режим линии (настройка одной из физических или виртуальных линий - консоль, AUX, VTY).
Switch(config)# Interface FastEthernet 0/0
Switch(config-if)#
Чтобы выйти из определенного режима конфигурации и вернуться в режим глобальной конфигурации Global Configuration, нужно ввести exit в командной строке. Чтобы полностью выйти из режима конфигурации и вернуться в режим Privileged EXEC, нужно ввести end или использовать последовательность клавиш Ctrl-Z.