Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Port Mirroring auf Cisco Catalyst 2900 XL und 3500 XL

Um einen Sniffer wie Wireshark oder ein IDS wie Snort oder Prelude an einem Switch zu betreiben, benötigt der Adminstrator einen Spiegelport. An diesen Port wird sämtlicher Traffic eines anderen Ports gespiegelt. Dieses Feature wird auch SPAN-Port, Monitor Port und Mirror Port genannt.

Für die Konfiguration eines SPAN-Ports gibt es bei Cisco ja nach Switch unterschiedliche Kommandos. Dieses Tutorial beschreibt das Vorgehen für die Switche der Reihen 2900 XL und 3500 XL. Also Geräte wie den 2924 XL, 3524 XL und 3548 XL.

Terminologie

Eine eingerichtete Portspiegelung wird bei Cisco als SPAN-Session bezeichnet. Wird das Port Mirroring auf Basis von Ports eingerichtet wird, spricht Cisco von PSPAN (Port-Based SPAN). Jede SPAN-Session benötigt mindestens einen Source Port und einen Destination Port.

Der Source Port ist die Quelle der interessierenden Daten. Er wird auch "monitored port" genannt. Eine Kopie aller Frames der Source Ports wird an den Destination Port geleitet. Er wird auch als "monitoring port" bezeichnet. Jede SPAN-Session hat genau einen Destination Port. Bei den Switchen Catalyst 2900XL und 3500XL müssen alle Ports Member des selben VLAN's sein. Der "monitor port" darf nicht Mitglied in einem EtherChannel sein. Port Security darf auf dem "monitor port" nicht aktiv sein.

Achten Sie auf die Bandbreite des Destination Ports. Der Switch kann nicht den kompletten Traffic von zwei oder mehr FastEthernet-Ports auf einen FastEthernet-Port spiegeln.

Einrichten der Portspiegelung

Das Port Mirroring wird auf dem Destination Port konfiguriert. Also auf dem Port mit dem Sniffer. Zur Einrichten einer SPAN-Session wird zuerst mit dem Kommando configure terminal in den Konfigurationmodus gewechselt. Dort werden dann die folgenden Kommandos abgesetzt: 

Switch(config)# interface FastEthernet0/7
Switch(config)# port monitor FastEthernet0/3
Switch(config)# end

Im Beispiel werden alle Frames von FastEthernet0/3 auf FastEthernet0/7 gespiegelt. An FastEthernet0/7 könnte ein PC mit Wireshark oder das IDS angeschlossen werden. Durch mehrfache Eingabe von "port monitor" mit dem entsprechenden Interface, können auch mehrere Ports auf den Sniffer gespiegelt werden. Zur Kontrolle der SPAN-Session dient das Kommando show port monitor. 

Switch# show port monitor 
Monitor Port     Port Being Monitored
---------------  --------------------
FastEthernet0/7  FastEthernet0/3

Nach Beendigung der Arbeiten sollte der Spiegelport mit dem Kommando no port monitor auf dem Interface FastEthernet 0/7 wieder deaktiviert werden.

Weiterführende Informationen

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012