[Cisco] 網路流量側錄功能教學-SPAN( Switched Port Analyzer)

如果有封包側錄或偵測是否網路是否有異常行為的的需求,可能會需要用到複製流量的功能,這時候SPAN就登場啦!

什麼是Mirror Port?

好一點的Switch大多內建有流量側錄功能

一般稱為Port Mirroring、Port Monitoring或Mirror Port

在Cisco的流量側錄功能稱作 : SPAN( Switched Port Analyzer)

SPAN可以設定要把指定的Port都複製一份流量到另一個的Port上 ,還可以設

定只要複製進或出的流量。

舉例來說,SW 的Port 1接著對內外的流量,我想要側錄這段分析,

所以我可以將Port 1進與出的流量都複製一份到Port 2並將錄製或監控封包的

設備接到Port 2,完全不需要插拔線路。

接下來介紹一下Cisco 的交換器做流量側錄指令。

Command:

switch> enable
switch> show ip interface brief
switch# conf t

Global configuration mode

進入Global configuration mode 後

config# monitor session 1 source interface Fa0/2 both

// config# monitor session [自定義代號] [來源或目的地] interface [介面代號] [錄製進來流量或出去流量又或者全部]

這裡的來源=source =被監聽的port

反之目的地就是把監聽的port流量要丟到哪個port出去

你也可以選擇多個來源port要錄製:

monitor session 1 source interface fa0/11–12 , Fa1/13

//介面2–13與15都被複製一份流量

monitor session 1 source interface fa0/2 , fa0/4

//介面fa0/2 與 4 被複製

設定複製到指定Port:

config# monitor session 1 destination interface fa1/15

示意圖(Port的設定不同):

check一下設定值是否正確

1.退回P mode : exit

2. Show monitor session [號碼] or show monitor

show monitor session 1

舉例:

要移除SPAN的設定,只要在Global configuration mode下設定來源與目的的指令前面加上no

no monitor session 1

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供更多文章給您。

另外可以加入我的LinkedIn 希望認識各位閱讀者

加入後歡迎跟我打招呼認識一下 我每年都會參加社群

例如HITCON或COSCUP 樂意認親

其他聯絡方式 : https://kuronetwork.me/contact/

所有文章: https://kuronetwork.me/posts/

想跟我聊聊資安、認識或準備考試,可以一起出來喝一杯咖啡(歡迎!!)

斜槓青年(我)做的資安貼圖,陸續上架中 :

也歡迎繼續閱讀:

讀書心得系列
https://medium.com/blacksecurity/tagged/reading
網路管理系列
https://medium.com/blacksecurity/tagged/network
財務金融系列
https://medium.com/blacksecurity/tagged/finance

--

--

--

業餘資安寫手,成員來自於四大會計師事務所、不同類型的資安與科技公司,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。另提供企業資安顧問服務,依照企業規模與需求評估企業網路安全設計、基礎資訊安全防禦規劃。contact@kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

Kuro Huang

充滿熱情的資安從業者,喜歡用專業興趣交朋友而非透過商業關係建立友誼。目前於安永 ( EY ) 擔任資訊安全顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn好友、文章目錄與個人介紹請參考 :https://kuronetwork.me

More from Medium

Generalized End-to-End Loss for Speaker Verification

Solving ‘Missing firmware for amdgpu’

How does the internet work?

HTTP Picture

A Few Technical Notes on Test Functions