Cisco 路由器在帧中继中的配置实例 Cisco 路由器在帧中继中的配置实例 网络入侵检测技术已成为网络防护的重要手段之一,入侵检测技术的基础是对网络中数据的收集,目前的方法主要有安放探针设备、采用共享式 Hub 以及利用网络设备本身提供的数据监控功能等。在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该是利用网络设备的自身功能进行数据收集。 我们在实际的网络集成工作中经常会使用 Cisco 公司 Catalyst 系列交换机,这里就此类设备监控功能的配置进行介绍,希望能够对网络管理人员以及安全防护的实施有一定的帮助(本文以 Catalyst4000 系列交换机为例)。 配置SPAN 对话(SPAN Session) 基本功能 通过设置SPAN 对话能够对本交换机端口或整个 VLAN 的数据流进行监视,被监控的数据流可以由协议分析设备进行分析处理。 工作方式 SPAN 对话由一个目的端口和一组源端口组成,它将一个或多个 VLAN 上的一个或多个源端口的数据包复制到目的端口上。SPAN 不影响源端口的正常工作,也不会影响正常的交换机操作。在交换网络中可以配置多个 SPAN 对话,只有当目的端口可操作,同时源端口或源 VLAN 中的任意一个端口活动时才可激活 SPAN 对话。 配置命令 将被监视的端口或 VLAN 配置为源端口,将接收被复制数据包的端口设置为目的端口。 set span {src_mod/src_ports | src_vlan} dest_mod/dest_port [rx | tx | both] [filter vlan] [inpkts {enable | disable}] [learning {enable | disable}] [create] 配置说明 src_mod/src_ports: 源模块/端口号。它们可以存在于任何VLAN 中,也可以配置一个或多个VLAN 作为源端口(src_vlans),此时该VLAN 中的所有端口作为SPAN 对话中的源端口。一个端口可以配置为多个SPAN 对话的源端口。 dest_mod/dest_port: 目的模块/端口号。每个SPAN 对话中只有一个目的端口,同一个端口不能作为多个SPAN 对话的目的端口,一个目的端口不能被配置为源端口,活动的目的端口不参与Spanning Tree。 [rx | tx | both]: 通过源端口的流量可以分为进入(ingress)、外出(egress)、双向(both)三类,可以在SPAN 对话中配置监视的是哪种类型的数据包。当监视整个VLAN 的数据时只能为双方向的数据流。 [filter vlan]: Trunk VLAN 过滤,6.3(1)以后的版本可以对源端口为Trunk 的端口进行 VLAN 限制过滤,只允许指定 VLAN...
