论文部分内容阅读
公司在建立了高速局域网之后,根据业务需求,将公司局域网接入Internet,但随后的网络使用却变了性质。互联网对于网络管理来说是一个既可爱又可恨的对象,接入Internet之后,有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点,甚至一边拿着老板工资一边在网上找工作等。这不仅消耗公司资源,还会影响公司效率、泄露公司机密甚至丢失客户资源。
交换网络的监听之困
某公司的网络管理员原来利用Sniffer(嗅探器)监听内网信息,安装网管机之后就可以将网卡设置成混杂模式的,在HUB(集线器)组网的情况下,Sniffer工作非常正常。但随着交换机的成本和价格的大幅度降低,这家公司已经实现了交换网络,从而使Sniffer失去了用武之地。如何在交换网络中依然使用原有工具监控内网信息呢?
监听模式普遍用于内部网络的监控管理。监听模式部署遇到的最大问题是部署与安装问题。早期以太网中,很多网络都通过共享式HUB组建,这个模式是一个比较通用的方法,但由于HUB基本都是10MB的,因此在网络性能上受到很大限制,也意味丢包的危险。目前HUB几乎到了被淘汰的命运,不适合大型网络环境,而通过交换机镜像功能部署成为更理想的方法。
在交换以太网的环境下,两台工作站之间的通信是不会被第三者偵听到的。在这种情况下,可能会需要进行这样的侦听,如协议分析、流量分析、入侵检测。网管员可以设置Cisco交换机智能地捕获网络流量的交换接口分析工具(SPAN)和远程交换接口分析工具(RSPAN)。
通过SPAN分析流量
使用SPAN或者RSPAN可以有效地分析通过接口或VLAN的网络流量。借助SPAN或RSPAN,可以将一个交换机的接口映像至另一个交换机接口,即将发送流量备份到该交换机或者其他交换机的另一个接口,这样只需将分析或侦听设备连接至监控接口,即可实现对被监听接口的分析和侦听。由于SPAN采用复制(或镜像)源接口或源VLAN上的接收或发送(或两者都有的)流量到目的接口,因此SPAN不影响源接口或VLAN的网络交换。事实上除了SPAN或RSPAN会话所需的流量之外,目的接口不会接收或转发流量。
在交换机上启用SPAN功能,是因为交换机和集线器有着根本的差别。当集线器在某接口上接收到一个数据包时,它将向除接收该数据包接口之外的其他所有接口发送一份数据包的拷贝。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关接口。
例如,如果想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该HUB上安装一Sinffer,如图所示,所有接口均可看见主机A和主机B之间传输的数据。
在交换机中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的接口。因此Sniffer将看不见主机A到主机B的单播数据。
在这个配置中,Sniffer将仅截获扩散至所有接口的业务,例如广播业务、具有CGMP或者IGMP侦听禁止的组播业务以及未知的单播业务。当交换机的CAM表中没有目的地的MAC地址时,将发生单播泛滥。它无法理解向何处发送业务,而将数据包大量发送至VLAN中的所有接口。将主机A发送的单播数据包人工复制到Sniffer接口需要一些附加功能来实现。
与Sniffer相连的接口配置为:对主机A发送的每一个数据包拷贝进行接收,该接口被称为SPAN接口。
不同的交换机对SPAN有不同的限制,如Cisco Catalyst 2900XL交换机中源接口和目标接口必须在同一VLAN、某些交换机不支持RSPAN等,详细信息可以参考设备的操作文档。
当监视源接口和目的接口都在同一台交换机上时,应当配置本地SPAN。输入SPAN配置命令不能移除以前配置的SPAN参数,必须输入 no monitor session {session_number | all | local | remote} 全局配置命令,才能删除已配置的SPAN参数。
对本地SPAN而言,如果encapsulation replicate关键字被指定,向外发送的数据包通过SPAN目的接口时,将携带初始封装报头。如果该关键字没有被指定,数据包就会以本地模式发送。对于RSPAN目的接口,向外发送的数据是没有被标记的。我们同样可以限制SPAN通信到指定的VLAN,使用filter vlan关键字。如果一个汇聚接口被监控,只有具有关键字的在指定的VLAN上的通信才可以被监控。默认情况下,所有在中继接口上的VLAN都被监控。
交换网络的监听之困
某公司的网络管理员原来利用Sniffer(嗅探器)监听内网信息,安装网管机之后就可以将网卡设置成混杂模式的,在HUB(集线器)组网的情况下,Sniffer工作非常正常。但随着交换机的成本和价格的大幅度降低,这家公司已经实现了交换网络,从而使Sniffer失去了用武之地。如何在交换网络中依然使用原有工具监控内网信息呢?
监听模式普遍用于内部网络的监控管理。监听模式部署遇到的最大问题是部署与安装问题。早期以太网中,很多网络都通过共享式HUB组建,这个模式是一个比较通用的方法,但由于HUB基本都是10MB的,因此在网络性能上受到很大限制,也意味丢包的危险。目前HUB几乎到了被淘汰的命运,不适合大型网络环境,而通过交换机镜像功能部署成为更理想的方法。
在交换以太网的环境下,两台工作站之间的通信是不会被第三者偵听到的。在这种情况下,可能会需要进行这样的侦听,如协议分析、流量分析、入侵检测。网管员可以设置Cisco交换机智能地捕获网络流量的交换接口分析工具(SPAN)和远程交换接口分析工具(RSPAN)。
通过SPAN分析流量
使用SPAN或者RSPAN可以有效地分析通过接口或VLAN的网络流量。借助SPAN或RSPAN,可以将一个交换机的接口映像至另一个交换机接口,即将发送流量备份到该交换机或者其他交换机的另一个接口,这样只需将分析或侦听设备连接至监控接口,即可实现对被监听接口的分析和侦听。由于SPAN采用复制(或镜像)源接口或源VLAN上的接收或发送(或两者都有的)流量到目的接口,因此SPAN不影响源接口或VLAN的网络交换。事实上除了SPAN或RSPAN会话所需的流量之外,目的接口不会接收或转发流量。
在交换机上启用SPAN功能,是因为交换机和集线器有着根本的差别。当集线器在某接口上接收到一个数据包时,它将向除接收该数据包接口之外的其他所有接口发送一份数据包的拷贝。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关接口。
例如,如果想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该HUB上安装一Sinffer,如图所示,所有接口均可看见主机A和主机B之间传输的数据。
在交换机中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的接口。因此Sniffer将看不见主机A到主机B的单播数据。
在这个配置中,Sniffer将仅截获扩散至所有接口的业务,例如广播业务、具有CGMP或者IGMP侦听禁止的组播业务以及未知的单播业务。当交换机的CAM表中没有目的地的MAC地址时,将发生单播泛滥。它无法理解向何处发送业务,而将数据包大量发送至VLAN中的所有接口。将主机A发送的单播数据包人工复制到Sniffer接口需要一些附加功能来实现。
与Sniffer相连的接口配置为:对主机A发送的每一个数据包拷贝进行接收,该接口被称为SPAN接口。
不同的交换机对SPAN有不同的限制,如Cisco Catalyst 2900XL交换机中源接口和目标接口必须在同一VLAN、某些交换机不支持RSPAN等,详细信息可以参考设备的操作文档。
当监视源接口和目的接口都在同一台交换机上时,应当配置本地SPAN。输入SPAN配置命令不能移除以前配置的SPAN参数,必须输入 no monitor session {session_number | all | local | remote} 全局配置命令,才能删除已配置的SPAN参数。
对本地SPAN而言,如果encapsulation replicate关键字被指定,向外发送的数据包通过SPAN目的接口时,将携带初始封装报头。如果该关键字没有被指定,数据包就会以本地模式发送。对于RSPAN目的接口,向外发送的数据是没有被标记的。我们同样可以限制SPAN通信到指定的VLAN,使用filter vlan关键字。如果一个汇聚接口被监控,只有具有关键字的在指定的VLAN上的通信才可以被监控。默认情况下,所有在中继接口上的VLAN都被监控。