SPAN(Switch poort Analyze)
SPAN是本地抓包,思科里面吧SPAN叫做交换机端口分析器,其实也就是端口镜像。
配置案例:让PC1 ping PC2,我们通过查看SW的e0/2端口的状态来查看数据包
//SW
en
conf ter
monitor session 1 source interface e0/0 both/rx/tx //默认为both
monitor session 1 destination interface e0/2
end
"1"表示镜像的进程编号,一台设备可以起多个镜像线程
"both"表示抓取该端口接收和发送的数据,“rx”表示只抓取该端口接收到的数据,“tx”表示只抓取该端口发送的数据。默认就是both
EVE的桥接是二次桥接,没有办法让物理机使用wireshark来进行抓包,所以我们只能通过查看接口状态来进行判断。如果安装了EVE的抓包插件,就可以直接抓取SW的e0/2口数据包进行查看
注意:抓包主要是在接入层的设备进行抓包,不然可能在核心上抓包会导致设备宕机
此时我们让PC1 ping PC2查看交换机的e0/2的接口状态
//SW
show int e0/2
此时发现有很多从e0/2出去的包,说明实验成功
RSPAN(Remote SPAN)
问题引入
RSPAN是远程抓包,它是通过VLAN承载的,一定是运用在纯二层的环境之下。因为不是每个设备下面都接了一台抓包的服务器
典型远程抓包案例:PC1给PC2发送消息,PC3抓取它们发送的数据
PC3使用wireshark抓包软件,早期使用的抓包软件是sniffer,注意:镜像口是不能够用于日常上网的,只能用于抓包使用。并且抓包不要随便使用,抓包很消耗硬件资源
此时我们会发现使用SPAN是无法实现这种情况的抓包的,我们需要使用RSPAN远程抓包。而要实现RSPAN的远程抓包一定是要求在纯二层的环境下面(交换机和交换机之间是trunk),通过VLAN承载的形式来进行抓包(相当于是把你抓包的数据打赏一个标签,然后通过vlan进行承载 )
如果使用SPAN在这种情况下抓包也没有问题,只不过需要在三台SW上都要配置SPAN。一般交换机之间都会连接一条专门用来抓包的线路
应用配置
配置案例:让PC1 ping PC2,我们通过查看SW3的e0/1端口的状态来查看数据包
//SW1
en
conf ter
vlan 10
remote-span //让vlan10成为rspan的承载vlan
exit
monitor session 1 source interface e0/1
monitor session 1 destination remote vlan 10
end
//SW2
en
conf ter
vlan 10
remote-span
end
//SW3
en
conf ter
vlan 10
remote-span
exit
monitor session 1 source vlan 10
monitor session 1 destination interface e0/1
end
配置完成之后,我们让PC1一直pingPC2,然后我们查看SW3的e0/1接口的状态查看出去的数据包,如果数据包一下增长很多说明实验成功
注意:此时的vlan10只能用于承载rspan,进行抓包使用,不能用于其他的业务
ERSPAN(Encapsulation Remote SPAN)
问题引入
RSPAN远程抓包只能在纯二层的环境下面使用,需要承载在VLAN上。使用的环境太过于局限了,ERSPAN是思科私有的,现在没有思科模拟器可以配置
ERSPAN 可以通过三层的环境远程抓包,也就是通过 tunnel 之间传递(把你抓的包封装成单播包,然后通过 IP 的形式传递),现在目前来说只支持 Cisco 6500以上级别和 Cisco Nexus 7K 9k 系列的设备才可以配置
应用配置
配置案例:PC1 ping PC2,PC3通过远程进行抓包
源设备
monitor session 1 type erspan-source
source interface e0/1 //抓取的源端口
destination
erspan-id 130 //注意:对端的ERSPAN-ID也要一样
ip address 10.1.1.1 //要去往的目的地址
origin ip address 32.1.1.1 //我自己本地的源地址
end
目的设备
monitor session 1 type erspan-destination //代表这个设备是承接去往目的数据的
destination interface e0/0
source
erspan-id 130
ip address 10.1.1.1 //我本地的接口地址
end