所谓侦听端口是指这样一个端口,所有通过被侦听端口的流量都会被自动复制一份传至该端口,缺省的情况下交换机上的这种功能是被屏蔽(Disable)的。假如需要可以手工设置。
Egress Traffic: 离开交换机的流量
Ingress Traffic: 进入交换机的流量
Source Span ports: 被侦听端口
Destination Span Port: 侦听端口
Administrative Source : 所有配置为被侦听口或被侦听vlan 的列表
一、Cisco Catalyst 4000, 5000, and 6000 Series 系列交换机,有关设置侦听端口的命令由一系列set span 命令组成
switch (enable) set span
Usage: set span disable [dest_mod/dest_portall]
set span <src_mod/src_ports...src_vlans...sc0>
<dest_mod/dest_port> [rxtxboth]
[inpkts <enabledisable>]
注:src_mod 是指被侦听的端口号;src_ports 是指被侦听端口所在的模块号;
dest_mod,是指侦听端口号;dest_port 是指侦听端口所在的模块号;src_vlan 是vlan 名,表示属于该vlan 的端口都是被侦听端口;rx 是指只侦听接收的包;tx 是指只侦听发送的包;both 是指侦听收、发双方向的包。
配置过程如下:
1、使用基于端口的侦听方式:
switch (enable) set span enable
switch (enable) set span 6/1,6/3 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3
Oper Source : Port 6/1,6/3
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
这条命令执行后,端口6/2 设置为侦听口,端口6/1,6/3 设置为被侦听口。接在端口6/2 上的机器将能接收到通过端口6/1,6/3 的所有流量。
2、使用基于vlan 的侦听方式:
switch (enable) set span enable
switch (enable) set span 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
这条命令执行后,端口6/2 设置为侦听口,属于vlan 2,3 的所有端口设置为被侦听口。接在端口6/2 上的机器将能接收到通过属于vlan 2,3 的端口的所有流量。
3、可以使用命令Switch(enable) show span 来查看设置的结果:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
注:侦听口与被侦听口可以不属于同一个vlan。
二、Cisco Catalyst 2900XL/3500XL/2950 系列交换机,配置命令为:
Switch(config-if)#port monitor interface
注:interface 是指侦听端口。
举例:我们要将接口Fa0/1 设置为侦听口,Fa0/2 及Fa0/5 设置为被侦听口,基本过程如下:
1、在配置模式下,首先选择接口Fa0/1:
Switch(config)#int fa0/1
输入被侦听端口:
Switch(config-if)#port monitor fastEthernet 0/2
Switch(config-if)#port monitor fastEthernet 0/5
指定治理端口:
Switch(config-if)#port monitor VLAN 1
这条命令并不意味着接口Fa0/1 将侦听vlan 1 的所有端口,它只是用来指定治理接口。
退出保存后,接口Fa0/1 设置为侦听口,接口Fa0/2,Fa0/5 设置为被侦听口。连接在接口Fa0/1 上的机器将能接收到通过接口Fa0/2,Fa0/5 的流量。
可以用命令Switch# show port monitor 来查看设置的结果:
Switch#show port monitor
Monitor Port Port Being Monitored>FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
注:侦听口与被侦听口必须属于同一个vlan。
说了这么多的废话,只是的简单的介绍了下交换机侦听口这个东西和它的强大应用。
以及假如被入侵者利用的一个危害。所以建议对于网络中设备的安全也不应该忽视,尤其是默认的口令和SNMP 的要害字的问题都是需要注重,另外像WEB 这种服务最好也不好开。
CISCO 的设备很多都可以利用WEB 服务的越权访问漏洞进去的(在我其他的文章里有具体介绍)。总之保证网络中的每一个接点的安全才可以最终构建出一个真正安全的网络工作环境。
