網絡安全——Span 安全監控

SPAN釋義：

SPAN技術我們可以把交換機上某些想要被監控端口（以下簡稱受控端口）的數據流COPY或MIRROR一 份，發送給連接在監控端口上的流量分析儀，比如CISCO的IDS或是裝SNIFFE工具的PC受控端口和 監控端口可以在同一臺交換機上的，那就是本地SPAN。

背景環境：

防火墻，這是大家提到安全時候想到的第一個詞，最為可靠的設備要數防火墻了，通過我們的精心配制安全方案，他確實能給我們帶來不錯的效果，但這還是遠遠不夠的，因為防火墻是針對進入網絡時候進行檢測的，一種叫做數據驅動式的***（內含邏輯×××），內網主機下載下來攜帶病毒***的文件包，還有一些加密后的***，這些都是防火墻無能為力的而如果在網絡內有了不正常的情況，防火墻也無能為力，此時就需要在網絡內有進行監控的服務，所以防火墻是有局限性的，所以我們就結合一下端口鏡像。

端口鏡像在我們的網絡中，在交換機上有一種概念叫端口鏡像span便可以解決這個問題。端口鏡像，需要在交換機上設置鏡像的源端口（被檢測數據來時所經過的端口）和目標端口（鏈接檢測設備的端口），但這只是對檢測設備所連接的交換機數據的檢測，對于網絡上的其他交換的數據檢測我們要采用rspan（遠程的交換端口分析），我們只需要在網絡中心的交換機上連接一臺檢測設備便可以做到對全網信息的檢測。

本地端口鏡像配置命令：

創建端口鏡像組           mirroring-group group-id local

進入鏡像目的端口的以太    interface interface-type interface-number

定義當前端口為鏡像目的端口              monitor-port

進入鏡像源端口的以太網       interface interface-type interface-number

配置鏡像源端口，同時指定被鏡像報文的方向    mirroring-port { inbound |outbound | both }

或者用這種方法：創建端口鏡像組             mirroring-group group-id local

配置鏡像目的端口                mirroring-group group-idmonitor-port monitor-port

配置鏡像源端口，同時指定被鏡像報文的方向         mirroring-group group-idmirroring-port mirroring-port-list { both |inbound | outbound }

下面是一個本地端口鏡像案例： [sw]dis mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/10 bothEthernet1/0/20 bothmonitor port: Ethernet1/0/2在pc2上建一個ftp服務器并建立用戶：

[pc2]ftp server enable[pc2]local-user user1      

[pc2-luser-user1]password 123456[pc2-luser-user1]service-type ftp

從pc1上登錄pc2的ftp服務器：

在檢測設備上檢測到登錄信息：

這個就是本地span，可以看出我們檢測到了交換機上的數據流，看到賬號，密碼沒，嘿嘿！

利用這個我們就可以隨時隨地檢測網絡上的流量，進行安全控制。

好的，我們下期做RSPAN。