端口镜像抓包

最新推荐文章于 2024-05-22 18:53:56 发布
最新推荐文章于 2024-05-22 18:53:56 发布
阅读量1k 收藏 10
点赞数 26
分类专栏: 思科NA/NP/IE 文章标签: 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64050217/article/details/136671603
版权
本文详细介绍了Cisco网络中的端口镜像技术,包括SPAN(本地抓包)、RSPAN(远程抓包,基于VLAN)和ERSPAN(基于三层环境的远程抓包)。通过配置实例展示了如何在不同场景下使用这些技术进行数据包监控和分析。
摘要由CSDN通过智能技术生成

SPAN(Switch poort Analyze)

SPAN是本地抓包,思科里面吧SPAN叫做交换机端口分析器,其实也就是端口镜像。

配置案例:让PC1 ping PC2,我们通过查看SW的e0/2端口的状态来查看数据包
image.png

//SW
en
conf ter
monitor session 1 source interface e0/0 both/rx/tx  //默认为both
monitor session 1 destination interface e0/2
end

"1"表示镜像的进程编号,一台设备可以起多个镜像线程

"both"表示抓取该端口接收和发送的数据,“rx”表示只抓取该端口接收到的数据,“tx”表示只抓取该端口发送的数据。默认就是both

EVE的桥接是二次桥接,没有办法让物理机使用wireshark来进行抓包,所以我们只能通过查看接口状态来进行判断。如果安装了EVE的抓包插件,就可以直接抓取SW的e0/2口数据包进行查看

注意:抓包主要是在接入层的设备进行抓包,不然可能在核心上抓包会导致设备宕机

此时我们让PC1 ping PC2查看交换机的e0/2的接口状态

//SW
show int e0/2

image.png
此时发现有很多从e0/2出去的包,说明实验成功

RSPAN(Remote SPAN)

问题引入

RSPAN是远程抓包,它是通过VLAN承载的,一定是运用在纯二层的环境之下。因为不是每个设备下面都接了一台抓包的服务器
典型远程抓包案例:PC1给PC2发送消息,PC3抓取它们发送的数据
image.png

PC3使用wireshark抓包软件,早期使用的抓包软件是sniffer,注意:镜像口是不能够用于日常上网的,只能用于抓包使用。并且抓包不要随便使用,抓包很消耗硬件资源

此时我们会发现使用SPAN是无法实现这种情况的抓包的,我们需要使用RSPAN远程抓包。而要实现RSPAN的远程抓包一定是要求在纯二层的环境下面(交换机和交换机之间是trunk),通过VLAN承载的形式来进行抓包(相当于是把你抓包的数据打赏一个标签,然后通过vlan进行承载 )

如果使用SPAN在这种情况下抓包也没有问题,只不过需要在三台SW上都要配置SPAN。一般交换机之间都会连接一条专门用来抓包的线路

应用配置

配置案例:让PC1 ping PC2,我们通过查看SW3的e0/1端口的状态来查看数据包
image.png

//SW1
en
conf ter
vlan 10
remote-span //让vlan10成为rspan的承载vlan
exit
monitor session 1 source interface e0/1
monitor session 1 destination remote vlan 10
end

//SW2
en
conf ter
vlan 10
remote-span
end

//SW3
en
conf ter
vlan 10
remote-span
exit
monitor session 1 source vlan 10
monitor session 1 destination interface e0/1
end

配置完成之后,我们让PC1一直pingPC2,然后我们查看SW3的e0/1接口的状态查看出去的数据包,如果数据包一下增长很多说明实验成功

注意:此时的vlan10只能用于承载rspan,进行抓包使用,不能用于其他的业务

ERSPAN(Encapsulation Remote SPAN)

问题引入

RSPAN远程抓包只能在纯二层的环境下面使用,需要承载在VLAN上。使用的环境太过于局限了,ERSPAN是思科私有的,现在没有思科模拟器可以配置

ERSPAN 可以通过三层的环境远程抓包,也就是通过 tunnel 之间传递(把你抓的包封装成单播包,然后通过 IP 的形式传递),现在目前来说只支持 Cisco 6500以上级别和 Cisco Nexus 7K 9k 系列的设备才可以配置

应用配置

配置案例:PC1 ping PC2,PC3通过远程进行抓包
image.png

源设备

monitor session 1 type erspan-source
source interface e0/1 //抓取的源端口
destination
erspan-id 130 //注意:对端的ERSPAN-ID也要一样
ip address 10.1.1.1 //要去往的目的地址
origin ip address 32.1.1.1 //我自己本地的源地址
end

目的设备

monitor session 1 type erspan-destination //代表这个设备是承接去往目的数据的
destination interface e0/0
source
erspan-id 130
ip address 10.1.1.1 //我本地的接口地址
end
孑然i
关注
  • 26
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
最佳实践--如何在交换机上实现抓包端口镜像
07-23
最佳实践--如何在交换机上实现抓包端口镜像
镜像抓包方法
03-29
镜像抓包方法,怎么抓取服务器,交换机上的包,用HUB和相关命令
端口镜像技术
最新发布
qq_74299778的博客
05-22 1448
端口镜像技术,也被称为SPAN(Switched Port Analyzer)或RSPAN(Remote Switched Port Analyzer),是网络管理员用于监控和调试网络流量的一种常用技术。这项技术允许从一个网络设备(如交换机或路由器)上的特定源端口捕获数据包,并将这些数据包的副本转发到另一个端口,以供分析工具进行实时监控和故障排查。
交换机端口镜像及Wireshake抓包
热门推荐
qq_40170041的博客
04-29 1万+
1、首先配置交换机,先将交换机断开与其他交换机连接的网线,保证电脑端只与这一个交换机通信 2、之前配置过交换机的,如果记得IP,可以直接通过交换机的IP进行登录 3、如果忘记交换机的IP,则可以重置,交换机上有一个reset按键,重置后,我的交换机的IP是192.168.1.199,别的交换机重置后的IP可能不一样,需要去查一下 重置后,这时就要配置电脑的IP,保证能和交换机通信 这样就能够和交换机通信了,因为在同一网段,也就是同一个局域网 3、登录交换机 因为我的交换机IP被我修改过了,所以我用这个I
华三交换机端口镜像抓包实战
weixin_43472459的博客
10-09 1万+
华三交换机配置端口镜像,wireshark抓包深度分析。
Wireshake抓取镜像端口数据包
hansem的专栏
04-14 1224
设置需捕获网卡的混杂模式,就能捕获局域网内所有发包内容,包括非广播包和非发给自己主机的数据包。
使用wireshark分析网络流量实例
weixin_34345753的博客
12-12 7273
工具:Wireshark(Windows或Linux),tcpdump(Linux) 要求:使用过滤器捕获特定分组;用脚本分析大量流量数据(建议用perl)。 内容:Web流量分析 清除本机DNS缓存(ipconfig /flushdns),访问某一网站主页,捕获访问过程中的所有分组,分析并回答下列问题: (1)简述访问web页面的过程。 (2)找出DNS解析...
端口隔离配置命令、端口镜像抓包配置)详解(附图,建议PC观看)
qq_62311779的博客
02-01 3754
目录 一、端口隔离: 二、端口镜像:(抓包配置) (1)思科: (2)华为: 一、端口隔离: 实列:客户需求:pc1和pc2可以访问pc3,但pc1和pc2之间不能相互访问 (1)私有vlan——Pvlan(以后博文之中会详细讲解) (2)端口隔离: 解决方案: 1.端口隔离 int f0/1 switchport protected exit int f0/2 switchport protected exit 两个启用端口隔离的接口无法互相访问,端口隔离也可以应...
IPTV抓包教程.doc
07-05
该教程详细介绍了抓包的步骤、设置镜像口、使用 Wireshark 抓包和使用 VLC 播放 IPTV 流量的过程。 一、抓包前的准备 在开始抓包之前,需要准备好 Wireshark 抓包软件和 VLC 播放器。Wireshark 是一款功能强大的抓...
Wireshark抓包工具
05-30
Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具
tcpmon,webservice抓包工具
03-08
在处理涉及隐私和安全的Web Service时,可能需要使用其他更安全的抓包工具,如Wireshark。 总的来说,TCPMon是一个对Web Service开发者极具价值的工具,它简化了网络通信的调试过程,提高了开发效率。掌握TCPMon的...
交换机镜像端口建立方法
09-16
"交换机镜像端口建立方法" 交换机镜像端口建立方法是指在交换机中配置镜像端口,以便对网络流量进行监听和分析。本文将介绍Cisco Catalyst交换机和3COM交换机中镜像端口的建立方法。 一、Cisco Catalyst交换机镜像...
现网真机怎么抓包端口镜像实战!(9-2)
xiaoli8748的专栏
09-02 347
- 不影响正常业务前提下,做网络流量排查。业务实时的监控 故障处理分析 网络流量优化。不影响数据转发的情况下,对于数据进行采集和分析。3.部署端口镜像实现网络流量实时分析;将镜像端口的数据复制一份到观察端口;1.数据采集对于网络有什么意义?2.端口镜像有哪些种类?
交换机镜像抓包使用教程
zengliguang的专栏
12-12 531
5口接抓包设备,也就是我们安装了抓包软件的笔记本。1、2、3、4口接入设备端网线即可。【金山文档】 未命名文件(22)
华为交换机AR怎么做镜像,从一个端口到另外一个端口,数据抓包
zhangyulin54321的专栏
11-23 5392
在做镜像之前要查看之前有没有做过镜像,有的话要删除,之前在8口上面做过: [Huawei-Ethernet0/0/8]undo mirror outbound 下面是将7口的数据镜像到5口,监听查看 [Huawei]observe-port interface e0/0/5 [Huawei]int e0/0/7[Huawei-Ethernet0/0/7]mirror to ob
linux镜像数据抓包监控
weixin_33940102的博客
12-12 613
主要是用户监控和分析进出设备端口报文和数据,根据目的端口抓包对出现故障进行分析。1.三层交换机划分vlan 区别不同网段2.三层交换机做端口镜像vlan32监控端口 vlan31为被监控端口3.Centos5.6平台把bssgate和bssgate.ini拷贝到/bin文件夹,打开bssgate.ini修改下配置脚本。4.Centos5.6平台的bin文件里面执行./bssg...
路由器_端口镜像&流量镜像_详解
weixin_46505763的博客
01-12 2652
用户通过配置镜像功能,可以“捕获”指定接口接收或发送的报文,从而了解指定接口的数据情况,进而进行网络问题定位。网络运行过程中,经常需要对网络设备的端口状况进行监控和分析。如果直接对转发端口进行监控和分析,可能会影响端口的转发效率。用户可以通过配置镜像功能,将网络中某个接口(镜像端口)接收或发送的报文,复制一份到指定接口(观测端口),然后发送到和观测端口直连的报文分析设备上。用户通过分析镜像报文,可进行网络监控和故障排查。端口镜像:指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。
wireshark设置端口镜像_eNodeB近端镜像抓包方法
weixin_30959465的博客
01-02 3803
【问题】基站传输侧如果有问题需要镜像抓包分析定位,下面的方法可以实现基站的镜像抓包。【方法】1. eRAN2.1 SPC400以后或者LTE2.2 SPC200以后,可以使用MML命令启动端口镜像抓包。 (1) 开启抓包:比如设置从0号网口镜像到1号网口的抓包,PC机上装好抓包工具后连接到1号网口进行接收和发送方向的抓包。 STRPORTREDIRECT: CN=0, SRN=...
华为交换机做镜像-抓包
WXW的博客
01-24 1万+
在系统视图下配置端口镜像 先配置观察端口 [Quidway]observe-port 1 interface GigabitEthernet 0/0/24 然后再进入需要镜像的端口 [Quidway]interface GigabitEthernet 0/0/23 在配置镜像端口模式 [Quidway-GigabitEthernet0/0/23]port-mirroring t...
C9300端口镜像抓包
08-26
您好!要在C9300交换机上进行端口镜像抓包,您可以按照以下步骤操作: 1. 确保您的C9300交换机已经安装并配置好了Cisco IOS XE 16.6.1版本及以上的固件。 2. 登录到C9300交换机的命令行界面。 3. 进入全局配置模式,输入命令:`configure terminal`。 4. 选择要进行端口镜像的源端口,例如,我们将选择GigabitEthernet1/0/1作为源端口:`interface GigabitEthernet1/0/1`。 5. 启用端口镜像功能,输入命令:`monitor session 1 source interface GigabitEthernet1/0/1`。这里创建了一个编号为1的监控会话,并将源端口设置为GigabitEthernet1/0/1。 6. 选择要将抓包数据发送到的目标接口,例如,我们将选择GigabitEthernet1/0/2作为目标接口:`monitor session 1 destination interface GigabitEthernet1/0/2`。这里将抓包数据发送到了编号为1的监控会话的目标接口GigabitEthernet1/0/2。 7. 输入命令`end`保存设置并退出全局配置模式。 完成上述步骤后,C9300交换机将会通过镜像功能将源端口的数据复制到目标接口上,从而实现了抓包功能。您可以在目标接口上连接抓包工具进行数据分析和捕获。 请注意,不同型号的交换机和不同版本的固件可能会有一些差异,以上步骤仅供参考,请根据您的具体设备和固件版本进行相应的调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孑然i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值