Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Port Mirroring auf Cisco Catalyst 2940, 2950, 2955, 2970 und 3550

Um einen Sniffer wie Wireshark oder ein IDS an einem Switch zu betreiben, benötigt der Adminstrator an diesem Switch einen Spiegelport. An diesen Port kann sämtlicher Traffic eines anderen Ports gespiegelt werden. Dieses Feature wird auch SPAN-Port, Monitor Port und Mirror Port genannt.

Für die Konfiguration eines SPAN-Ports gibt es bei Cisco ja nach Switch unterschiedliche Kommandos. Dieses Tutorial beschreibt das Vorgehen für die Switche der Reihen 2940, 2950, 2955, 2970 und 3550.

Terminologie

Eine eingerichtete Portspiegelung wird bei Cisco als SPAN-Session bezeichnet. Jede SPAN-Session benötigt mindestens einen Source Port und einen Destination Port.

Der Source Port ist die Quelle der interessierenden Daten. Er wird auch "monitored port" genannt. Mit einer SPAN-Session können mehrere Source Ports gespiegelt werden. Der Source Port darf Member in einem EtherChannel sein.

Eine Kopie aller Frames der Source Ports wird an den Destination Port geleitet. Er wird auch als "monitoring port" bezeichnet. Jede SPAN-Session hat genau einen Destination Port. Achten Sie auf die Bandbreite des Destination Ports. Der Switch kann nicht den kompletten Traffic von zwei oder mehr FastEthernet-Ports auf einen FastEthernet-Port spiegeln.

Einrichten der Portspiegelung

Zur Einrichten einer SPAN-Session wird zuerst mit dem Kommando configure terminal in den Konfigurationmodus gewechselt. Dort werden dann die folgenden Kommandos abgesetzt: 

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface FastEthernet0/5
Switch(config)# monitor session 1 destination interface FastEthernet0/1
Switch(config)# end

Das no monitor session 1 löscht ein eventuell vorhandenes Port Mirroring. Die beiden folgenden Zeilen legen den Source und Destination Port fest. Im gezeigten Beispiel werden alle Frames von FastEthernet0/5 auf FastEthernet0/1 gespiegelt. An FastEthernet0/1 könnte ein PC mit Wireshark angeschlossen werden. Zur Kontrolle der SPAN-Session dient das Kommando show monitor session. 

Switch# show monitor session 1
Session 1
---------
Type              : Local Session
Source Ports      :
    RX Only       : None
    TX Only       : None
    Both          : Fa0/5
Source VLANs      :
    RX Only       : None
    TX Only       : None
    Both          : None
Source RSPAN VLAN : None
Destination Ports : Fa0/1
Reflector Port    : None
Filter VLANs      : None
Dest RSPAN VLAN   : None

Nach Beendigung der Arbeiten sollte der Spiegelport mit dem Kommando no monitor session 1 wieder deaktiviert werden.

Weiterführende Informationen

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012