漫谈以太网下的交换机端口倾听功能

      交换以太网的环境下，一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下，我们可能会需要进行这样的侦听，如：协议分析、流量分析、入侵检测。为此我们可以设置Cisco交换机的SPAN(SwitchedPortAnalyzer交换端口分析器)特性,或早期的“端口镜像”、“监控端口”功能。

　　  侦听的对象可以是一个或多个以太网交换机端口，或者整个VLAN。如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端口”)在同一台交换机上，我们只需配置SPAN;

　　  4000/6000CatOS交换机:

　　  setspan6/176/19//SPAN:源端口为6/17目标端口为6/19

　　  2950/3550/4000IOS/6000IOS交换机：

　　  monitorsession1local//SPAN

　　  monitorsession1sourceinterfacefastethernet0/17both//源端口，也可以是某个VLAN

　  　monitorsession1destinationinterfacefastethernet0/19//目标端口

　　  2900/3500XL交换机：

　　  setspan6/176/19//SPAN:源端口为6/17目标端口为6/19

　　  2950/3550/4000IOS/6000IOS交换机：

　　  monitorsession1local//SPAN
 
　　  monitorsession1sourceinterfacefastethernet0/17both//源端口，也可以是某个VLAN

　　  monitorsession1destinationinterfacefastethernet0/19//目标端口

　　  如果不在同一台交换机上，需要配置RSPAN(RemoteSPAN)。不同的以太网交换机对SPAN有不同的限制，如2900XL交换机中源端口和目标端口必须在同一VLAN、某些交换机不支持RSPAN等等，详见设备文档。在配置SPAN的时候，我们需要提供的参数是源端口或VLAN号以及目标端口。

　　  在配置RSPAN的时候，我们首先要定义一个类型为RSPAN的VLAN。在普通VLAN上如果源主机和目标主机都在同一台以太网交换机上，则它们之间的单播通讯不需要通过TRUNK传递到别的以太网交换机端口。

　　  而RSPANVLAN需要在TRUNK上转发这样的通讯，以保证监控机能够侦听到。在源交换机上，需设置使被侦听的端口或VLAN把流量转发到RSPANVLAN上(如果是运行IOS的交换机，需要另外设置一个端口作为反射端口);在目标交换机端口上，需设置把RSPANVLAN中的信息转发到连接监控主机的目标端口。

　　  IOS交换机,如3550:

　　  3550(config)#vlan900//建立RSPANVLAN

　　  3550(config-vlan)#remote-span

　　  monitorsession1remote//源交换机

　　  monitorsession1sourceinterfacefastethernet0/17both//源端口

　　  monitorsession1destinationremotevlan900reflector-portfastethernet0/20//目标RSPANVLAN，反射端口

　　  monitorsession2remote//目标交换机
 
　  　monitorsession2sourceremotevlan900//RSPANVLAN

　　  monitorsession2destinationinterfacefastethernet0/19//目标端口

　　  最近一次配置完RSPAN之后，有用户反映：部分网段出现严重丢包现象。仔细检查，发现部分以太网交换机的上联端口负载很重。再分析，原来在两台中心以太网交换机上启用了一个RSPAN进程，RSPANVLAN上的流量很大，达300M。

　　  由于VTP域中没有启用Pruning功能，这个RSPANVLAN的流量出现在所有的TRUNK上，造成了阻塞。把RSPANVLAN从这些TRUNK上修剪掉之后，网络恢复了正常。SPAN功能的出现，使保护交换机不被非法控制变得更为重要。因为假如黑客控制了一台主机和部分以太网交换机，他将能够使用SPAN/RSPAN和Sniffer窃听任何在网络上传递的信息。