Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Port Mirroring unter CatOS auf Catalyst 4500/4000, 5500/5000 und 6500/6000 Series Switches

Cisco's Betriebssystem CatOS läuft unter anderem auf den Switchen der Reihen Catalyst 4500/4000, 5500/5000 und 6500/6000. Um einen Sniffer wie Wireshark oder ein IDS wie Snort oder Prelude an einem solchen Switch zu betreiben, benötigt der Admin einen Spiegelport. An diesen Port wird sämtlicher Traffic eines anderen Ports gespiegelt. Dieses Feature wird auch SPAN-Port, Monitor Port und Mirror Port genannt.

Einrichten der Portspiegelung

Zum Einrichten eines Spiegelports wird das Kommando set span genutzt.

Spiegeln einzelner Ports PSPAN

Um den Traffic von Port 4/1 auf den Port 4/5 zu spiegeln lautet das Kommando: 

switch (enable) set span 4/1 4/5

An den Port 4/5 könnte ein Analyzer angeschlossen werden. Mit dem Kommando show span können die konfigurierten Spiegelports angezeigt werden. 

switch (enable) show span 
Destination     : Port 4/5 
Admin Source    : Port 4/1 
Oper Source     : Port 4/1 
Direction       : transmit/receive 
Incoming Packets: disabled 
Learning        : enabled 
Multicast       : enabled 
Filter          : - 
Status          : active 

Total local span sessions: 1

Spiegeln mehrerer Ports PSPAN

Es können auch mehrere Interface gespiegelt werden. Das Kommando 

switch (enable) set span 4/1,6/3-5 4/5

spiegelt den Traffic von den Ports 4/1 und 6/3 bis 6/5 auf den Port 4/5.

Spiegeln eines VLAN VSPAN

Um den Traffic von VLAN 5 auf den Port 4/5 zu spiegeln lautet das Kommando: 

switch (enable) set span 5 4/5

Es können auch mehrere VLAN's getrennt durch Komma angegeben werden. Der Switch kann allerdings nur Daten spiegeln, bis die Bandbreite des Destination Ports erreicht ist. Danach werden Daten verworfen und der erstellte Trace ist wertlos.

SPAN-Session beenden

Nach Beendigung der Arbeiten sollten die Portspiegelungen wieder aufgehoben werden. Das Kommando set span disable all löscht alle bestehenden SPAN-Sessions auf dem Switch.

Weiterführende Informationen

CatOS bietet noch weitere Möglichkeiten beim Port Mirroring. Es können mehrere SPAN-Session eingerichtet werden oder Filter eingerichtet werden.

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012