但這 SPAN 功能卻無法在 Cisco Router 上執行,還好有另一個方法可以取代 SPAN,就是「IP traffic export」。
LAB 環境:
| 介面 | 說明 |
| Gi0/0 | Wan,連接 Internet,對外服務 |
| Gi0/1 | Lan,連接內部 CoreSW |
| Gi0/2 | 側錄主機 |
目標:將 Wan 端 (Gi0/0) 所有進出流量 Mirror 一份至 Gi0/2 給 Wireshark 側錄封包。
# conf t
(config) # ip traffice-export profile <profilename> mode export
(config-rite) # bidirectional
(config-rite) # interface GigabitEthernet0/2
(config-rite) # mac-address 0011.2233.4455
(config-rite) # exit
- <profilename>:自訂一個 Profile 名稱。
- mode:有 export 與 capture 參數可選擇。
- export:匯出資料到 interface
- capture:截取資料到 memory
- bidirectional:所有 incoming 及 outgoing 的流量都要 mirror,若沒有執行該指令,預設只 mirror incoming 流量。
- interface:指定要 mirror 到哪個介面,就是收集封包的那端。
- mac-address:指定接收封包的主機 MAC Address。
2. 套用到指定介面
(config) # interface GigabitEthernet 0/0
(config-if) # ip traffice-export apply <profilename>
3. 檢視 traffic export 狀態
# show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface GigabitEthernet0/0
Export Interface GigabitEthernet0/2
Destination MAC address 0011.2233.4455
bi-directional traffic export is on
Output IP Traffic Export Information Packets/Bytes Exported 14294/1954000
Packets Dropped 0
Sampling Rate one-in-every 1 packets
No Access List configured
Input IP Traffic Export Information Packets/Bytes Exported 31886/4340111
Packets Dropped 0
Sampling Rate one-in-every 1 packets
No Access List configured
Profile R1 is Active
限制:
- 因為需指定接收主機的 MAC Address,故主機必須是與 Router 同網段 / VLAN,或直接連接的介面。
- 指定收集封包的介面必須是 Ethernet (10/100/1000),被監控的那端可以是任何介面。
資料參考來源:
IP traffic export: how to mirror traffic on a router
利用路由器的流量导出功能部署IPS的配置方法
沒有留言:
張貼留言