Cisco und der Mirror Port

abgelegt unter: Techniken

Früher war alles so einfach. Der Admin musste nur seinen Analyzer auf einem Hubport stecken, und schon kamen alle Frames bei ihm vorbei. In den heutigen geswitchten Netzen ist das Aufzeichnen des Netzwerkverkehrs nicht mehr ganz so einfach.

Fast alle Hersteller bieten dazu bei ihren managebaren Switches die Möglichkeit der Portspiegelung an. Dabei wird der Traffic eines Ports an einen Mirror-Port gespiegelt.

An diesen Mirror-Port kann ein Analyzer oder ein IDS angeschlossen werden. Auch Cisco's Catalyste bieten die Möglichkeit, Traffic zu spiegeln. Dort nennt sich dieses Feature Switched Port Analyzer (SPAN).

Je nach Modell und IOS-Version variieren die Kommandos zum Einrichten eine SPAN-Ports etwas.

Cisco Catalyst 2940, 2950, 2955, 2970 und 3550

Um auf den diesen IOS-Switches eine Portspiegelung einzurichten, sind die folgenden Kommandos erforderlich.

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source 
                   interface FastEthernet0/7
Switch(config)# monitor session 1 destination 
                  interface FastEthernet0/9
Switch(config)# end

Die Monitor Session 1 spiegelt den Verkehr vom Interface FastEthernet0/7 auf das Interface FastEthernet0/9. Dort kann ein Analyzer wie Ethereal angeschlossen werden. Mit dem Kommando show monitor session können die aktiven Monitor Sessions angezeigt werden.

Switch# show monitor session 1
Session 1
---------
Type              : Local Session
Source Ports      :
    RX Only       : None
    TX Only       : None
    Both          : Fa0/7
Source VLANs      :
    RX Only       : None
    TX Only       : None
    Both          : None
Source RSPAN VLAN : None
Destination Ports : Fa0/9
Reflector Port    : None
Filter VLANs      : None
Dest RSPAN VLAN   : None

Das IOS-Kommando no monitor session 1 löscht die Portspiegelung wieder. Achten Sie beim Einrichten eines Mirror-Ports immer auf die Bandbreiten der Interface. Schon der Traffic eines Fastethernets im Vollduplex kann nicht auf einen Fastethernet-Port gespiegelt werden. Es stehen ja outgoing nur 100 MBit/s zur Verfügung. Über zwei Monitoring Session kann der Traffic eines Interfaces auf 2 SPAN-Ports (rx, tx) aufgeteilt werden.

Lesen Sie hierzu auch das Dokument Configuring SPAN bei Cisco.

geschrieben am 11.04.2006 von Mirko Kulpa

Cisco und der Mirror Port

Cisco Catalyst 2940, 2950, 2955, 2970 und 3550

Site

Kategorien

Archiv

Projekte

Webtools



Cisco und der Mirror Port abgelegt unter: Techniken Früher war alles so einfach. Der Admin musste nur seinen Analyzer auf einem Hubport stecken, und schon kamen alle Frames bei ihm vorbei. In den heutigen geswitchten Netzen ist das Aufzeichnen des Netzwerkverkehrs nicht mehr ganz so einfach. Fast alle Hersteller bieten dazu bei ihren managebaren Switches die Möglichkeit der Portspiegelung an. Dabei wird der Traffic eines Ports an einen Mirror-Port gespiegelt. An diesen Mirror-Port kann ein Analyzer oder ein IDS angeschlossen werden. Auch Cisco's Catalyste bieten die Möglichkeit, Traffic zu spiegeln. Dort nennt sich dieses Feature Switched Port Analyzer (SPAN). Je nach Modell und IOS-Version variieren die Kommandos zum Einrichten eine SPAN-Ports etwas. Cisco Catalyst 2940, 2950, 2955, 2970 und 3550 Um auf den diesen IOS-Switches eine Portspiegelung einzurichten, sind die folgenden Kommandos erforderlich. Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface FastEthernet0/7 Switch(config)# monitor session 1 destination interface FastEthernet0/9 Switch(config)# end Die Monitor Session 1 spiegelt den Verkehr vom Interface FastEthernet0/7 auf das Interface FastEthernet0/9. Dort kann ein Analyzer wie Ethereal angeschlossen werden. Mit dem Kommando `show monitor session` können die aktiven Monitor Sessions angezeigt werden. Switch# show monitor session 1 Session 1 --------- Type : Local Session Source Ports : RX Only : None TX Only : None Both : Fa0/7 Source VLANs : RX Only : None TX Only : None Both : None Source RSPAN VLAN : None Destination Ports : Fa0/9 Reflector Port : None Filter VLANs : None Dest RSPAN VLAN : None Das IOS-Kommando `no monitor session 1` löscht die Portspiegelung wieder. Achten Sie beim Einrichten eines Mirror-Ports immer auf die Bandbreiten der Interface. Schon der Traffic eines Fastethernets im Vollduplex kann nicht auf einen Fastethernet-Port gespiegelt werden. Es stehen ja outgoing nur 100 MBit/s zur Verfügung. Über zwei Monitoring Session kann der Traffic eines Interfaces auf 2 SPAN-Ports (rx, tx) aufgeteilt werden. Lesen Sie hierzu auch das Dokument Configuring SPAN bei Cisco. geschrieben am 11.04.2006 von Mirko Kulpa	Site Home Impressum Kategorien Protokolle Tools Techniken Security Hardware Archiv Februar 2008 November 2006 Oktober 2006 Juli 2006 Juni 2006 Mai 2006 April 2006 Projekte Netzwerkservice network lab netzikon RFID-Informationen Webtools DNS Stuff Web-Sniffer