SPAN

SPAN er en teknologi som lar én nettverksport lytte på hva som skjer på en annen nettverksport. Den er nyttig dersom du for eksempel ser det er masse trafikk som går inn på en maskin (port), men ikke har tilgang til maskinen selv; da kan du ta en kopi over til en port du har en server i, og så kjøre tcpdump selv.

Vær obs på at når du setter opp SPAN, kan det være boksen på destinationporten (altså den du lytter med – ikke den du avlytter) ikke lenger får sin vanlige trafikk, så ikke sett opp SPAN mot cassarossa e.l..

Alle switchene våre har SPAN eller tilsvarende teknologi (som regel kalles det da port-mirroring e.l.). Slik gjøres det på Cisco-switchene våre, hvis du f.eks. vil la gi0/2 lytte på trafikken fra gi0/1:

merete# conf t
merete(config)#monitor session 1 source interface gi0/1 both
merete(config)#monitor session 1 destination interface gi0/2

og for å slå av når du er ferdig:

merete(config)#no monitor session 1

RSPAN

RSPAN er en Cisco-utvidelse av SPAN som gjør at du kan lytte på tvers av switcher; med andre ord, at source og destination kan være i forskjellig switch. (Dette er kjekt om du ikke vil kable om.) RSPAN fungerer kun mellom Cisco-switchene våre, og kun på lokalt nett, dvs. ikke over IP. (Da trenger du ERSPAN, som kun merete støtter, ikke 2960-ene.)

RSPAN-data går over eget VLAN, i vårt tilfelle nummer 20. For å la en port i hiphop lytte på en port i merete:

merete# conf t
merete(config)#monitor session 1 source interface gi0/1 both
merete(config)#monitor session 1 destination remote vlan 20

hiphop# conf t
hiphop(config)#monitor session 1 source remote vlan 20
hiphop(config)#monitor session 1 destination interface gi0/2

Husk å ta ned monitoreringen ( no monitor session 1 ) på begge switchene når du er ferdig.

Lenker: Start, farger, ios, vlan

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2019-06-09 19:08 | Revisjon: 3 (historie, blame) | Totalt: 1904 kB | Rediger