远程SPAN-----------交换机上的数据流监控

SPAN技术是一种交换机端口镜像技术主要是用来监控交换机上的数据流,SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。SPAN大体分为两种类型,本地SPAN和远程SPAN. 它们在实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口(受控端口)的数据流复制一 份,发送给连接在监控端口上的流量分析主机(比如装了SNIFFER或者wireshark工具的PC.)从而进行流量监控和网络管理。 受控端口和 监控端口可以在同一台交换机上(本SPAN),也可以在不同的交换机上(远程SPAN)。下面为大家演示远程span实验。

拓扑图:

082918202.png


实验环境:

W1Quidway  S2000

W2Quidway  S2000

W3 Quidway  S2000

监控主机系统:redhat 5.42.6.18164.e15

抓包工具:       wireshark-1.0.8-1.e15.i386.rpm

由于主机有限PC-A~PC-B~使用华为防火墙代替

实验过程:

监控主机配置:

mkdir /mnt/cdrom

mount /dev/cdropm  /mnt/cdrom

rpm -ivh  /mnt/cdrom/Server/libsml-1.4.5-2.e15.i386.rpm

rpm -ivh  /mnt/cdrom/Server/wireshark-1.0.8-1.e15.i386.rpm

082735551.png

PC-A~防火墙A)配置:

int etn0/0

ip add 192.168.2.3 24

dis tcp status (查看tcp端口是否启动)

082751385.png

PC-B~防火墙B)配置

int etn0/0

ip add 192.168.2.4 24

dis tcp status (查看tcp端口是否启动)

082803582.png

W3 配置

system-view

mirroring-group 1 remote-source

vlan 10

remote-probe vlan enable

int e1/0/23

port link-type trunk

port trunk permit vlan 10

quit

mirroring-group 1 mirroring-port ethernet1/0/10 inbound

mirroring-group 1 mirroring-port ethernet1/0/20 inbound

mirroring-group 1 remote-probe vlan 10

mirroring-group 1 reflector-port e1/0/5

dis mirroring-group all

082809229.png

交换机2

system-view

vlan 10

remote-probe vlan enable

quit

int e1/0/24

port link-type trunk

port trunk permit vlan 10

int e1/0/23

port link-type trunk

port trunk permit vlan 10

082815854.png

082818394.png

交换机 1

system-view

vlan 10

remote-probe vlan enable

int e1/0/23

port link-type trunk

port trunk permit vlan 10

mirroring-group 1 remote-desttination

mirroring-group 1 monitor-port e1/0/24

mirroring-group 1 remote-probe vlan 10

dis mirroring-group all

082829887.png

PC-A~上采用telnet技术登陆PC-B~主机,同时在监控主机上抓包:

tshark  -ni eth0 -R tcp.port eq 23

082835987.png