RSPAN (Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,远程端口镜像(RSPAN)是本地端口镜像(SPAN)的扩展,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像,端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。
在我们的网络中,最为可靠的设备要数防火墙了,通过我们的精心配制安全方案,他确实能给我们带来不错的效果,但这还是远远不够的,像不经过防火前的攻击它还是无能为力的(来自内部网络的攻击、不经过防火墙直接通过电话线等上网的主机有可能就成为了别人攻击的跳板主机),一种叫做数据驱动式的攻击(内含逻辑炸弹),内网主机下载下来携带病毒木马的文件包,还有一些加密后的攻击,这些都是防火墙无能为力的,这时我们可以使用一种叫做ids的检测机制,它重在检测没有什么防御功能,升级后的ids叫做ips,相比ids它重在防御,当别人攻击它是它会做出回应常见的ids有:hids、session-wall、snort这些都是软件,需要安装在主机上,使用起来既麻烦价格又不便宜,还有一种网络ids叫做nids,它只需要安装在网络设备上便可做到对数据的检测,但是它往往不能做到对全网信息的检测(交换机是点到点通讯),在交换机上有一种概念叫端口镜像span便可以解决这个问题。
端口镜像,需要在交换机上设置镜像的源端口(被检测数据来时所经过的端口)和目标端口(链接检测设备的端口),但这只是对检测设备所连接的交换机数据的检测,对于网络上的其他交换的数据检测我们要采用rspan(远程的交换端口分析),我们只需要在网络中心的交换机上连接一台检测设备便可以做到对全网信息的检测。
Rspan中各个交换机和交换机端口的作用:
本地端口镜像配置命令:
创建端口镜像组
mirroring-group group-id local
进入镜像目的端口的以太
interface interface-type interface-number
定义当前端口为镜像目的端口
monitor-port
进入镜像源端口的以太网
interface interface-type interface-number
配置镜像源端口,同时指定被镜像报文的方向
mirroring-port { inbound |outbound | both }
或者用这种方法:
创建端口镜像组
mirroring-group group-id local
配置镜像目的端口
mirroring-group group-id
monitor-port monitor-port
配置镜像源端口,同时指定被镜像报文的方向
mirroring-group group-id
mirroring-port mirroring-port-list { both | inbound | outbound }
下面是一个本地端口span镜像案例: