OSSIM系統(tǒng)中Sensor的設(shè)置-創(chuàng)新互聯(lián)

Sensor的設(shè)置尤為重要，具體設(shè)置方法和嗅探器類似，很多人曾經(jīng)都安裝過(guò)嗅探器，在大型網(wǎng)絡(luò)中這種做法并不像主機(jī)接入網(wǎng)絡(luò)那樣簡(jiǎn)單。作為網(wǎng)絡(luò)管理人員，應(yīng)該清楚所管理網(wǎng)絡(luò)環(huán)境的具體情況。如圖2-2所示的為某企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

目前成都創(chuàng)新互聯(lián)已為千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、尼勒克網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

圖2-2如何選擇嗅探器的位置

下面主要討論交換式網(wǎng)絡(luò)和路由式網(wǎng)絡(luò)中的嗅探方法。

1．交換式網(wǎng)絡(luò)

在交換式網(wǎng)絡(luò)中，采用端口鏡像是捕獲流量最簡(jiǎn)單的方法，但所使用的交換機(jī)必須支持端口鏡像（Port Mirroring）功能，以及有一個(gè)空閑端口，可插入嗅探器。大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，但支持程度不同。

支持SPAN的設(shè)備:

Tp-link常用的有鏡像功能的交換機(jī)有tplink sf2005 5口鏡像交換機(jī)

Tp-link 2428WEB 24口可網(wǎng)管鏡像交換機(jī)

Cisco WS-C6509、WS-C4006、WS-C3750G-24T-E、WS-C3550-48EMI、WS-C2950G-24-EI華為S2008/S2016/S2026/S2403H/S3026均支持端口鏡像。因?yàn)镾PAN的設(shè)置是重中之重，下面詳細(xì)講解。

圖2- 3交換式網(wǎng)絡(luò)中的Sensor部署

Cisco Catalyst系列交換機(jī)上配置鏡像(SPAN)端口步驟

  在進(jìn)行網(wǎng)絡(luò)故障排查、網(wǎng)絡(luò)數(shù)據(jù)流量分析的過(guò)程中，有時(shí)需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)或骨干交換機(jī)的某些端口進(jìn)-行數(shù)據(jù)流量監(jiān)控分析，而在交換機(jī)中設(shè)置鏡像(SPAN)端口，可以對(duì)某些可疑端口進(jìn)行監(jiān)控，同時(shí)又不影響被監(jiān)控端口的數(shù)據(jù)交換。

  SPAN(Switched Port Analyzer)的作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流。它既可以實(shí)現(xiàn)一個(gè)VLAN中若干個(gè)源端口向一個(gè)監(jiān)控端口鏡像數(shù)據(jù)，也可以從若干個(gè)VLAN向一個(gè)監(jiān)控端口鏡像數(shù)據(jù)。SPAN 任務(wù)不會(huì)影響交換機(jī)的正常工作。當(dāng)一個(gè)SPAN任務(wù)被建立后，根據(jù)交換機(jī)所處的不同的狀態(tài)或操作，任務(wù)會(huì)處于激活或非激活狀態(tài)，同時(shí)系統(tǒng)會(huì)將其記入日志。通過(guò)“show monitor session”命令可顯示SPAN的當(dāng)前狀態(tài)。

SPAN數(shù)據(jù)流主要分為三類：

(1)輸入數(shù)據(jù)流(Ingress SPAN)：指被源端口接收進(jìn)來(lái)，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

(2)輸出數(shù)據(jù)流(Egress SPAN)：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

(3)雙向數(shù)據(jù)流(Both SPAN)：即為以上兩種的綜合。

在配置SPAN任務(wù)時(shí)應(yīng)遵循以下原則：

(1)對(duì)數(shù)據(jù)進(jìn)行監(jiān)控分析的設(shè)備應(yīng)搭接在監(jiān)控端口上；

(2)冗余鏈路端口只能作為SPAN任務(wù)的源端口；

(3)SPAN任務(wù)中所有的源端口的被監(jiān)控方向必須一致；

(4)在設(shè)置端口為源端口時(shí)，如果沒(méi)有指定數(shù)據(jù)流的監(jiān)控方向，默認(rèn)為雙向；

(5)當(dāng)SPAN任務(wù)含有多個(gè)源端口時(shí)，這些端口可以來(lái)自不同的VLAN；

(6)取消某一個(gè)SPAN任務(wù)的命令是：no monitor session任務(wù)號(hào)；

(7)取消所有SPAN任務(wù)的命令是：no monitor；

(8)SPAN任務(wù)的目的端口不能參與到生成樹(shù)的距離計(jì)算中，但由于源端口的BPDU包可以被鏡像，所以SPAN目的端口可以監(jiān)控到來(lái)自源端口的BPDU數(shù)據(jù)包。

配置SPAN的源端口，命令格式如下：

Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both]

以下例子顯示如何配置源端口為FastEthernet 5/l的SPAN任務(wù)，其監(jiān)控對(duì)象為雙向數(shù)據(jù)流：

Switch(config)# monitor session 1 source interface fastethrnet 5/l

配置SPAN的目的端口，命令格式如下：

Switch(config)# [no] monitor session(session_number){destination{interface type/num}}

以下例子顯示如何配置目的端口為FastEthernet 5/48的SPAN任務(wù)：

Switch(config)#monitor session l destination interface fastethernet 5/48

當(dāng)SPAN任務(wù)的源端口為T(mén)runk端口時(shí)，命令格式如下：

Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[，|-]}

以下例子是當(dāng)源端口為T(mén)runk端口時(shí)，如何配置監(jiān)控其中的VLANl～VLAN5和 VLAN9：

Switch(config)# monitor session 2 filter vlan 1-5，9

以下是一個(gè)綜合例子，將用到前面所提到的各種命令：

監(jiān)控Trunk端口FastEtheraet4/10上的雙向數(shù)據(jù)流(在該端口上承載著VLANl～ VLANl005的數(shù)據(jù)流)，只監(jiān)控其中VLAN57中的數(shù)據(jù)流，端口

FastEthernet4/15為目的端口，具體配置方法如下：

Switch(config)# monitor session 1 source interface fastethernet 4/10

Switch(config)# monitor session 1 filter vlan 57

Switch(config)# monitor session 1 destination interface fastethernet 4/15

如果想釋放該SPAN任務(wù)，輸入如下命令：

Switch(config)# no monitor session 1

以下語(yǔ)句顯示如何檢驗(yàn)SPAN任務(wù)的配置結(jié)果：

Switch# show monitor session 2

在配置鏡像端口(SPAN)過(guò)程中，還應(yīng)考慮到數(shù)據(jù)流量過(guò)大時(shí)，設(shè)備的處理速度及端口數(shù)據(jù)緩存的大小，要盡量減少被監(jiān)控?cái)?shù)據(jù)包的丟失。

2.路由式網(wǎng)絡(luò)嗅探器設(shè)置問(wèn)題，大家可以參考我今年出版的新書(shū)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章：OSSIM系統(tǒng)中Sensor的設(shè)置-創(chuàng)新互聯(lián)
當(dāng)前URL：http://muchs.cn/article14/ddogde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、品牌網(wǎng)站設(shè)計(jì)、微信小程序、網(wǎng)站導(dǎo)航、虛擬主機(jī)、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)