نشرت تحت تصنيف Wireless Networking

Switch Port Analyzer – SPAN



قد تحتاج في بعض الأحيان الي مراقبة تدفقات البيانات في سويتش و ذلك لأسباب أمنية لمعرفة نوع البروتوكولات المارة أو لأسباب تصميمية تساعدك علي إعادة تدوير أو تعديل في تصميم الشبكة , و هنا ستحتاج الي طريقة لنسخ و توجيه البيانات من بورت ما أو VLAN الي بورت في السويتش ثم ما عليك الا أن تقوم بتحليل التدفقات خلال الشبكة عبر اتصال البورتات المستلمة للبيانات بأجهزة بها برنامج مثل Wireshark أو جهاز لتحليل التدفقات مثل جهاز Cisco SwitchProbe

و هذه الطريقة تسمي في سيسكو Switch Port Analyzer أو SPAN و تسمي أحيانا هذه الخاصية بـ port monitoring أو Port mirroring

و قديما و قبل استخدام السويتش لم نكن نحتاج هذه الطريقة لأن جهاز Hub كان من السهل مراقبة بياناته بوضع جهاز أو برنامج تحليل التدفقات عبر اي بورت لأنه ببساطة يقوم باستلام الفريم من بورت ثم ينشرها في جميع البورتات عدا التي جاء منها الفريم و بهذا فمن السهل جدا مراقبة البيانات عبر اي بورت كما تري


أما في السويتش فبمجرد أن يتعرف السويتش علي عنوان المرسل Source MAC و عنوان المستقبل destination MAC و يخزن عناوينهم الفيزيائية MAC في جدول العناوين لديه فإن أي تدفقات للبيانات يتم استلامها عبر بورت ما يتم ارسالها عبر البورت المخصص و ليس كل البورتات مثل الهب و بهذا سيمنعك من مراقبة البيانات لعدم توفر البيانات الا عبر البورت أو البورتات المحددة


و لمراقبة البيانات المارة في السويتش فإنه لابد أن يتم اعداد أحد البورتات Destination (SPAN) port لمراقبة دخول البيانات Ingress traffic أو خروجها Egress traffic من بورت Source (SPAN) port   أو خلال شبكة ظاهرية Source (SPAN) VLAN و ارسال نسخه من هذه التدفقات الي برنامج أو جهاز المراقبة و تحليل التدفقات Sniffer عبر Destination (SPAN) port


Source Port

يسمي أيضا monitored port و هو البورت الذي يستقبل الفريم في السويتش received (Rx) أو يرسله Transmitted (Tx) و قد يكون بورت واحد أو عدة بورتات أو جميع بورتات السويتش , و تستطيع أن تجعل نفس البورت خاضع لأكثر من عملية مراقبة في نفس الوقت أو ما يسمي بـ multiple SPAN sessions في نفس VLAN أو غيرها

قد يكون SPAN Source Port في كثير من السويتشات و ليس كلها عبارة عن Routed Port أو Physical Port أو Physical Switch Port أو Access Port أو Trunk Port أو Etherchannel Port

VLAN Filtering

عندما تقوم بعمل monitoring لـ Trunk Port فإنه افتراضيا ستتم مراقبة كل VLAN الموجودة علي السويتش و لهذا فإننا نستخدم VLAN Filtering لتحديد التدفقات التي نريد أن نراقبها في Trunk Port , و يتم استخدام VLAN Filter فقط في trunk ports أو voice VLAN ports

Source VLAN

يعتبر VSPAN هو مراقبة تدفق البيانات في الشبكة عبر VLAN و يكون source interface هنا هو VLAN ID يتم اختيار بورت واحد فقط و نعتبره destination port و الباقي سيكون source VLAN

Destination Port

و هو البورت المراقب للبيانات الذي سيستقبل نسخة من التدفقات المرسلة و المستقبلة المراد تحليلها و مراقبتها

و لا يستطيع أن يلعب دور source port و لا يقوم بأي عمل او استجابة لبروتوكولات الطبقة الثانية Layer 2 protocols مثل STP, VTP, CDP, DTP, PagP

هذا البورت هو الذي ستقوم بتوصيله علي الكمبيوتر الذي يحتوي علي برنامج تحليل البيانات sniffer أو الجهاز الذي سيقوم بنفس المهمة

تستطيع اعداد 64 destination ports لكل السويتشات المربوطة في Stack

Reflector Port

هو بورت وهمي Loop Back أو فعلي يقوم بنسخ كل التدفقات المرسلة و المستقبلة لكل monitored source ports و لا يصلح ان يكون Trunk و هو غير مرئي لكل VLANs و يتم تعطيل Spanning tree عليه أوتوماتيكيا

Local SPAN

و فيها يكون destination port علي نفس السويتش الذي به Source Port و ينتمي فقط SPAN session واحدة و قد يكون هو و Source port علي سويتشات مختلفة و لكنها في نفس Stack Wise و هي طريقة لربط السويتشات فيزيائيا و هي موجودة في سويتشات 3750 و 3560 و الفرق موضح في الصورة التالية


Remote SPAN

يعتبر Remote SPAN مختلفا عن Local SPAN في كونه يمكننا من مراقبة تدفقات البياتات لبورتات في عدة سويتشات و ليس سويتش واحد أو سويتشات مربوطة بتقنية Stack wise و يتم حمل هذه التدفقات من source port الي RSPAN VLAN محددة لكل session و تمريرها عبر trunk ports الي destination port


RSPAN VLAN

و هي الشبكة الظاهرية التي تحمل تدفقات SPAN بين RSPAN Source و RSPAN Destination و تمر هذه التدفقات فقط عبر trunk ports و يتم استخدام الأمر remote-span لإعدادها و يفضل أن تبدأ بإعدادها قبل أن تقوم بإعداد
source أو destination


SPAN Sessions

و هو ما يسمي بجلسة SPAN و التي يسمح فيها بمراقبة تدفقات البيانات ذهابا أو ايابا أو كلاهما في source ports واحد أو أكثر أو لـ VALN أو أكثر و ارسال نسخة من هذه التدفقات الي destination ports واحد أو أكثر

تطبيق SPAN بواسطة برنامج Cisco Network Assistant

بعض السويتشات تستطيع اعداد SPAN فيهم بواسطة برنامج Cisco Network Assistant (CNA) و قد شرحت طريقة تحميله و اعداده هنا و هنا

قم بالضغط علي Smartport


ثم قم باختيار البورت الذي تريد اتصال الكمبيوتر الذي يحمل برنامج المراقبه sniffer به و اضغط علي modify لتظهر لك صفحة المهام Roles ثم اختر Diagnostics  ثم اختر source port المراد مراقبته و كذلك VLAN التي ستراقب تدفق البيانات عبر فغن لم تخترها سيقوم فقط بمراقبة source port كما تري


قم بعد ذلك بإعداد برنامج مراقبة علي جهازك مثل الوايرشارك لتظهر لك البيانات كهذه


إعداد SPAN مبسط علي سويتشات 3560


و تعتبر سويتشات 3560 هي المعتمدة في امتحان CCIE R & S و هذا المثال صالح أيضا للتطبيق علي سويتشات Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series Switches

هنا سيتم مراقبة التدفقات المرسلة و المستقبلة من و الي fa0/12 و ذلك بإرسال نسخة من كل البيانات المرسلة و المستقبلة الي fa0/24 و المتصل بدوره علي برنامج المراقبة مثل وايرشارك

S3560#configure terminal

S3560(config)#monitor session 11 source interface fastethernet 0/12

S3560(config)#monitor session 11 destination interface fastethernet 0/24

و للتأكد مما فعلناه نقوم باستخدام الأمر show monitor متبوعه برقم الجلسة

S3560#show monitor session 11

Session 1

———

Source Ports:

RX Only: None

TX Only: None

Both: Fa012

Destination Ports: Fa0/24

S3560#

الغاء جلسة SPAN

تستطيع الغاء جلسة كاملة بإستخدام الأمر no monitor session متبوعا برقم الجلسة

Switch(config)# no monitor session 1

تستطيع ايضا التحكم في ما تريد ان تلغيه من الجلسة فهنا مثال قمنا فيه بحذف gigabitethernet1/0/1 كـ
source port

Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1

و هنا تم الغاء مراقبة التدفقات المستلمة من نفس البورت مع الإبقاء علي مراقبة التفقات المرسلة

Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 rx

إعداد RSPAN

في البداية سنقوم بعمل VLAN لتصبح RSPAN VLAN في RSPAN session و في حال كان VLAN ID أكبر من 1005 فإنه لابد من عمل هذه VLAN في جميع السويتشات التي ستتشارك هذه الجلسة و في حال كانت VLAN-ID في مدي أقل من 1005 و كان VTP مفعل في الشبكة فإنه بمجرد عمل RSPAN VLAN علي سويتش واحد ستقوم باقي السويتشات في VTP Domain بإستلام اعداداتها أوتوماتيكيا

لعمل RSPAN VLAN 901 قم بكتابة الآتي

Switch(config)# vlan 901

Switch(config-vlan)# remote span

Switch(config-vlan)# end

سنقوم بعدها بإزالة اي جلسة سابقة مثل session 1 بعدها سنقوم بعمل جلسة جديدة لمراقبة التدفق المرسل من g1/0/1 و المستقبل من g1/0/2 و port-channel 2 و سيتم نقل نسخة من هذه التدفقات الي RSPAN VLAN 901 التي أنشأناها سابقا

Switch(config)# no monitor session 1

Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 tx

Switch(config)# monitor session 1 source interface gigabitethernet1/0/2 rx

Switch(config)# monitor session 1 source interface port-channel 2

Switch(config)# monitor session 1 destination remote vlan 901

Switch(config)# end

بعدها سنقوم بالإنتقال الي سويتش آخر و الذي سيكون به البورت الذي سيلعب دور destination و سيكون vlan 901 هو source هكذا

Switch(config)# monitor session 1 source remote vlan 901

Switch(config)# monitor session 1 destination interface gigabitethernet2/0/1

Switch(config)# end

في المثال التالي سنقوم بعمل جلسة جديدة لـ RSPAN أكثر تعقيدا بتحديد أن تكون التدفقات الإفتراضية من VLAN 6

Switch(config)# monitor session 2 source remote vlan 901

Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 ingress

vlan 6

Switch(config)# end

كذلك تستطيع فلترة التدفقات المستقبلة من g1/0/2 شرط أن تكون منتمية هذه التدفقات من vlan من 1 الي 5 و vlan 9

Switch(config)# no monitor session 2

Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx

Switch(config)# monitor session 2 filter vlan 1 – 5 , 9

Switch(config)# monitor session 2 destination remote vlan 902

Switch(config)# end

show monitor و show running-configتستطيع التأكد من اعداداتك بواسطة الأمرين

إعداد SPAN مركب علي سويتشات 2960


و في المثال التالي سيتم اعداد السويتش لمراقبة التدفقات المستقبلة علي fa0/18 و المرسلة علي fa0/9 و المرسلة و المستقبلة علي fa0/19 مع عدم التقاط التدفقات القادمة من الشبكات الظاهرية VLAN برقم 1 و 2 و 3 و 229 , و سيتم ارسال نسخ هذه التدفقات لبورت المراقبة الذي هو برقم fa0/24

S2960#configure terminal

S2960(config)#monitor session 11 source interface fa0/18 rx

S2960(config)#monitor session 11 source interface fa0/9 tx

S2960(config)#monitor session 11 source interface fa0/19

S3560(config)#monitor session 11 filter vlan 1 – 3 , 229

S2960(config)#monitor session 11 destination int fa0/24 encapsulation replicate

إعداد جلستين SNAP علي سويتشات 2900XL/3500XL


كما تري في الشكل التالي فهذا مثال علي عمل جلستين SPAN و سيتم التطبيق هنا علي سويتشات Catalyst 2900XL/3500XL و هي مختلفة في اعدادها عن السويتشات السابقة 3560


أحدهما يقوم فيه البورت Fast Ethernet 0/1 (Fa0/1) بمراقبة التدفقات بين Fa0/2 و Fa0/5 كذلك مراقبة التدفقات خلال management interface VLAN 1

الجلسة الثانية يقوم فيها البورت Fa0/4 بمراقبة التدفقات بين Fa0/3 و Fa0/6و تم وضعهم جميعا في VLAN 2

و هذا هو طريقة إعداد الجلستين علي السويتشين Catalyst 2900XL/3500XL و في هذه السويتشات لابد أن تكون جميع البورتات source أو destination في نفس VLAN و غير موجودة في EtherChannel أو تم اعداد port security عليها أو كان Monitor port في وضع trunk

لإعداد البورت Fa0/1 ليكون destination port و يكون البورتين Fa0/2 و Fa0/5 و الشبكة الظاهرية management interface (VLAN 1) كـ source ports فإننا سنقوم بالعمل أولا علي البورت Fa0/1 و بوضع الأمر port monitor متبوعا بالبورتين Fa0/2 و Fa0/5 و VLAN1 و ذلك لنسخ البيانات المرسلة و المستقبلة الي Fa0/1 و لبيان administrative interface للسويتش و هو VLAN 1

Switch(config)#interface fastethernet 0/1

Switch(config-if)#port monitor fastethernet 0/2

Switch(config-if)#port monitor fastethernet 0/5

Switch(config-if)#port monitor vlan 1

و بنفس الطريقة لإعداد البورت Fa0/4 ليكون destination port و يكون البورتين Fa0/3 و Fa0/3 كـ source ports فإننا سنقوم بالعمل أولا علي البورت Fa0/4 و بوضع الأمر port monitor متبوعا بالبورتين Fa0/3 و Fa0/6 و ذلك لنسخ البيانات المرسلة و المستقبلة الي Fa0/4

Switch(config-if)#interface fastethernet 0/4

Switch(config-if)#port monitor fastethernet 0/3

Switch(config-if)#port monitor fastethernet 0/6

Switch(config-if)#^Z

و للتأكد مما صنعناه نقوم بكتابة الأمر  show running  أو  show port
monitor

Switch#show port monitor


إعداد SPAN علي سويتشات 6000 /5000/4000


في هذه السويتشات الخارقة قابلة لإضافة line card لـ Cisco Intrusion Detection System (IDS) sensor appliance تعمل بورتاته كـ destination port

أو موديولات ايثرنت لزيادة عدد البورتات و لهذا فلا تفاجيء عندما تجد أرقام بورتات الإيثرنت يبدأ بهذا الشكل fa6/1 في أمثلتنا


البورتات 6/1 و 6/2 مرتبط بـ VLAN 1 و البورت 6/3 ينتمي الي VLAN2 و البورت 6/4 و 6/5 ينتمي الي VLAN 3 و سنربط البورت 6/2 ببرنامج المراقبة ليقوم بنسخ أي تدفقات في البورت 6/1 و هذه هي إعدادت السويتش و ذلك بإستخدام الأمر set span source_ports destination_port

switch (enable) set span 6/1 6/2

switch (enable) show span

Destination : Port 6/2

Admin Source : Port 6/1

Oper Source : Port 6/1

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : –

Status : active

switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2

نستطيع بإستخدام الأمر set span source_ports destination_port  أن نقوم بمتابعة أكثر من Source Port و ذلك بفصل أكثر من بورت بواسطة فاصلة مع العلم أن بورت destination واحد ففي المثال التالي سنقوم بمراقبة البورت 6/1 و مدي البورتات 6/3 – 6/5 و يكون البورت المراقب هو 6/2


switch (enable) set span 6/1,6/3-5 6/2

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/2

Destination : Port 6/2

Admin Source : Port 6/1,6/3-5

Oper Source : Port 6/1,6/3-5

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : –

Status : active

switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2

و في هذه السويتشات أيضا تستطيع مراقبة أكثر من بورت تنتمي لأكثر من VLAN و هو من ميزاته التي تختلف عن سويتشات أخري مثل 2900 و 3500

نادر المنسي

المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s