[Cisco] 網路流量側錄功能教學-SPAN( Switched Port Analyzer)

Kuro Huang
資安工作者的學習之路
7 min readOct 4, 2019

如果有封包側錄或偵測是否網路是否有異常行為的的需求,可能會需要用到複製流量的功能,這時候SPAN就登場啦!

關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang

什麼是Mirror Port?

好一點的Switch大多內建有流量側錄功能

一般稱為Port Mirroring、Port Monitoring或Mirror Port

在Cisco的流量側錄功能稱作 : SPAN( Switched Port Analyzer)

SPAN可以設定要把指定的Port都複製一份流量到另一個的Port上 ,還可以設

定只要複製進或出的流量。

舉例來說,SW 的Port 1接著對內外的流量,我想要側錄這段分析,

所以我可以將Port 1進與出的流量都複製一份到Port 2並將錄製或監控封包的

設備接到Port 2,完全不需要插拔線路。

接下來介紹一下Cisco 的交換器做流量側錄指令。

Command:

switch> enable
switch> show ip interface brief
switch# conf t

Global configuration mode

進入Global configuration mode 後

config# monitor session 1 source interface Fa0/2 both

// config# monitor session [自定義代號] [來源或目的地] interface [介面代號] [錄製進來流量或出去流量又或者全部]

這裡的來源=source =被監聽的port

反之目的地就是把監聽的port流量要丟到哪個port出去

你也可以選擇多個來源port要錄製:

monitor session 1 source interface fa0/11–12 , Fa1/13

//介面2–13與15都被複製一份流量

monitor session 1 source interface fa0/2 , fa0/4

//介面fa0/2 與 4 被複製

設定複製到指定Port:

config# monitor session 1 destination interface fa1/15

示意圖(Port的設定不同):

check一下設定值是否正確

1.退回P mode : exit

2. Show monitor session [號碼] or show monitor

show monitor session 1

舉例:

要移除SPAN的設定,只要在Global configuration mode下設定來源與目的的指令前面加上no

no monitor session 1

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供更多文章給您。

另外可以加入我的LinkedIn 希望認識各位閱讀者

加入後歡迎跟我打招呼認識一下

關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang

其他聯絡方式 : https://kuronetwork.me/contact/

所有文章: https://kuronetwork.me/posts/

想跟我聊聊資安、認識或準備考試,可以一起出來喝一杯咖啡(歡迎!!)

斜槓青年(我)做的資安貼圖,陸續上架中 :

也歡迎繼續閱讀:

讀書心得系列
https://medium.com/blacksecurity/tagged/reading
網路管理系列
https://medium.com/blacksecurity/tagged/network
財務金融系列
https://medium.com/blacksecurity/tagged/finance

已取得(有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得點我)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得

2021 (心得連結在最後證照簡稱上)

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07 — Certified Information Systems Security Professional (CISSP

--

--

資安工作者的學習之路
資安工作者的學習之路

Published in 資安工作者的學習之路

業餘資安寫手,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。個人介紹參考 https://portaly.cc/kurohuang

Kuro Huang
Kuro Huang

Written by Kuro Huang

對教育充滿期待的資安從業者,現任ISC2台北分會理監事,希望對資安社群盡一點心力。期望自己與各位夥伴能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。個人介紹 https://portaly.cc/kurohuang

No responses yet