OSSIM系统中Sensor的设置-创新互联
Sensor的设置尤为重要,具体设置方法和嗅探器类似,很多人曾经都安装过嗅探器,在大型网络中这种做法并不像主机接入网络那样简单。作为网络管理人员,应该清楚所管理网络环境的具体情况。如图2-2所示的为某企业的网络拓扑结构。
目前成都创新互联已为千余家的企业提供了网站建设、域名、网站空间、网站托管维护、企业网站设计、尼勒克网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。图2-2如何选择嗅探器的位置
下面主要讨论交换式网络和路由式网络中的嗅探方法。
1.交换式网络
在交换式网络中,采用端口镜像是捕获流量最简单的方法,但所使用的交换机必须支持端口镜像(Port Mirroring)功能,以及有一个空闲端口,可插入嗅探器。大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
支持SPAN的设备:
Tp-link常用的有镜像功能的交换机有tplink sf2005 5口镜像交换机
Tp-link 2428WEB 24口可网管镜像交换机
Cisco WS-C6509、WS-C4006、WS-C3750G-24T-E、WS-C3550-48EMI、WS-C2950G-24-EI华为S2008/S2016/S2026/S2403H/S3026均支持端口镜像。因为SPAN的设置是重中之重,下面详细讲解。
图2- 3交换式网络中的Sensor部署
Cisco Catalyst系列交换机上配置镜像(SPAN)端口步骤
在进行网络故障排查、网络数据流量分析的过程中,有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析,而在交换机中设置镜像(SPAN)端口,可以对某些可疑端口进行监控,同时又不影响被监控端口的数据交换。
SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个监控端口镜像数据。SPAN 任务不会影响交换机的正常工作。当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。通过“show monitor session”命令可显示SPAN的当前状态。
SPAN数据流主要分为三类:
(1)输入数据流(Ingress SPAN):指被源端口接收进来,其数据副本发送至监控端口的数据流;
(2)输出数据流(Egress SPAN):指从源端口发送出去,其数据副本发送至监控端口的数据流;
(3)双向数据流(Both SPAN):即为以上两种的综合。
在配置SPAN任务时应遵循以下原则:
(1)对数据进行监控分析的设备应搭接在监控端口上;
(2)冗余链路端口只能作为SPAN任务的源端口;
(3)SPAN任务中所有的源端口的被监控方向必须一致;
(4)在设置端口为源端口时,如果没有指定数据流的监控方向,默认为双向;
(5)当SPAN任务含有多个源端口时,这些端口可以来自不同的VLAN;
(6)取消某一个SPAN任务的命令是:no monitor session任务号;
(7)取消所有SPAN任务的命令是:no monitor;
(8)SPAN任务的目的端口不能参与到生成树的距离计算中,但由于源端口的BPDU包可以被镜像,所以SPAN目的端口可以监控到来自源端口的BPDU数据包。
配置SPAN的源端口,命令格式如下:
Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both]
以下例子显示如何配置源端口为FastEthernet 5/l的SPAN任务,其监控对象为双向数据流:
Switch(config)# monitor session 1 source interface fastethrnet 5/l
配置SPAN的目的端口,命令格式如下:
Switch(config)# [no] monitor session(session_number){destination{interface type/num}}
以下例子显示如何配置目的端口为FastEthernet 5/48的SPAN任务:
Switch(config)#monitor session l destination interface fastethernet 5/48
当SPAN任务的源端口为Trunk端口时,命令格式如下:
Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[,|-]}
以下例子是当源端口为Trunk端口时,如何配置监控其中的VLANl~VLAN5和 VLAN9:
Switch(config)# monitor session 2 filter vlan 1-5,9
以下是一个综合例子,将用到前面所提到的各种命令:
监控Trunk端口FastEtheraet4/10上的双向数据流(在该端口上承载着VLANl~ VLANl005的数据流),只监控其中VLAN57中的数据流,端口
FastEthernet4/15为目的端口,具体配置方法如下:
Switch(config)# monitor session 1 source interface fastethernet 4/10
Switch(config)# monitor session 1 filter vlan 57
Switch(config)# monitor session 1 destination interface fastethernet 4/15
如果想释放该SPAN任务,输入如下命令:
Switch(config)# no monitor session 1
以下语句显示如何检验SPAN任务的配置结果:
Switch# show monitor session 2
在配置镜像端口(SPAN)过程中,还应考虑到数据流量过大时,设备的处理速度及端口数据缓存的大小,要尽量减少被监控数据包的丢失。
2.路由式网络嗅探器设置问题,大家可以参考我今年出版的新书。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
文章名称:OSSIM系统中Sensor的设置-创新互联
当前地址:http://pwwzsj.com/article/ddogde.html