(Switch Port Analyzer) - Catalyst 2900XL/3500XL Catalyst 2950/3550 Configuration de SPAN (Switch Port Analyzer) - Catalyst 2900XL/3500XL Catalyst 2950/3550 ccnp_cch
Sommaire • Introduction - Description de SPAN - Terminologie • SPAN sur Catalyst 2900XL/3500XL - Fonctionnalités et restrictions - Exemple de configuration • SPAN sur sur Catalyst 2950/3550 • Impact sur les performances des plateformes Catalyst - Catalyst 2900XL/3500XL ccnp_cch
Introduction La fonctionnalité SPAN (Switch Port Analyzer) appelé quelquefois "port mirroring" ou "port monitoring" permet de prendre une copie du trafic réseau pour l'aiguiller vers un analyseur de réseau tel un équipement avec logiciel d'analyse ou vers une sonde RMON (Remote Monitoring). Au début SPAN était une fonctionnalité très basique mais les dernières versions de l'IOS Cisco ont introduit des améliorations et de nouvelles possibilités très significatives sur les commutateurs de la famille Catalyst. Ce docu- ment n'est pas un guide de configuration mais plus une présentation des améliora- tions implémentées. Ce document est fait pour répondre aux questions suivantes: • SPAN c'est quoi et comment le configurer? • Quelles sont les différentes fonctionnalités disponibles et quel niveau de logiciel est nécessaire? • Est-ce que SPAN a un impact sur les performances du commutateur? Description du SPAN Le SPAN c'est quoi et pourquoi en avons nous besoin? La fonctionnalité SPAN a été introduite sur les commutateurs à cause de leur différence fondamentale avec les Hubs. Quand un commutateur a appris une adresse MAC sur un port, il achemine le trafic pour cette adresse MAC directement sur le port correspondant. Par exemple, si vous voulez capturer le trafic Ethernet transmis par le Host A vers le Host B connec- tés au moyen d'un Hub, connectez l'analyseur à ce Hub car tous les ports voient le trafic entre A et B. B A HUB Analyseur ccnp_cch
Sur un commutateur l'adresse MAC du Host B est apprise, le trafic unicast de A vers B est acheminé uniquement sur le port attaché à B et par conséquent ne sera pas vu par l'analyseur. B A Switch Analyseur Dans cette configuration, l'analyseur capturera uniquement le trafic diffusé sur tous les ports (Broadcast et Multicast). Il est nécessaire d'avoir une fonctionnalité supplé- mentaire pour copier les paquets unicast transmis par le Host A et les transmettre vers l'analyseur. B A Switch Analyseur Terminologie SPAN • Ingress traffic ou Trafic entrant : Trafic entrant dans le commutateur • Egress traffic ou Trafic sortant : Trafic sortant du commutateur • Source (SPAN) Port ou Port Source : Port qui est supervisé avec la fonctionnalité SPAN • Destination (SPAN) Port ou Port Destination : Port qui supervise les ports source, port sur lequel est connecté l'analyseur. • Monitor Port ou Port de Supervision : C'est aussi un port SPAN destination pour les commutateurs Catalyst 2900XL, 3500XL et 2950XL. ccnp_cch
ccnp_cch B Trafic sortant Analyseur Trafic entrant A Switch Ports source Port SPAN destination • Local SPAN : La fonctionnalité SPAN est locale quand les ports supervisés sont tous situés sur le même commutateur que le port SPAN destination. • Remote SPAN ou RSPAN : Certains ports source ne sont pas situés sur le même commutateur que le port SPAN destination. Ceci est une fonctionnalité avancée qui demande un VLAN particulier pour transporter le trafic capturé entre les commuta- teurs. • PSPAN : Cela signifie Port-based SPAN. L'utilisateur spécifie un ou plusieurs ports source et un port destination sur le commutateur. • VSPAN : Cela signifie VLAN-based SPAN. Sur un commutateur donné, l'utilisateur peut choisir de superviser tous les ports appartenant à un VLAN particulier avec une seule commande. • Administrative Source : Liste des ports source ou des VLANs qui ont été configurés pour être supervisés. • Operationnal Source : Liste des ports qui sont effectivement supervisés. Cette liste peut être différente de celle de la source administrative. Par exemple un port qui est hors-service peut apparaître dans la liste source administrative mais pas dans la liste source opérationnelle car il n'est pas effectivement supervisé. SPAN sur les commutateurs Catalyst des séries 2900XL/3500XL Fonctionnalités disponibles et restrictions La supervision de ports n'est pas très étendue sur les commutateurs Catalyst 2900/ 3500XL et par conséquent est assez simple à mettre en oeuvre. Vous pouvez créer autant de sessions PSPAN que cela est nécessaire. Par exemple vous pouvez créer des sessions PSPAN sur le port que vous avez choisi pour être un port SPAN destina- tion tout comme les source que vous voulez superviser en utilisant la commande port monitor <interface>. Un port superviseur (monitor port) est actuellement un port SPAN destination dans la terminologie Catalyst 2900XL/3500XL. ccnp_cch
• La restriction principale est que tous les ports relatifs à une session donnée ( soit source soit destination) doit appartenir au même VLAN. • Si vous ne spécifiez aucune interface dans la commande port monitor, tous les au- tres ports appartenant au même VLAN que l'interface destination seront supervisés. Voici quelques restrictions tirées du document Catalyst 2900XL/3500XL Command Reference. Les ports ATM sont les seuls ports qui ne peuvent pas être des ports superviseurs. Cependant vous pouvez superviser les ports ATM. Les restrictions suivantes s'appli- quent aux ports avec des capacités de supervision de ports. • Un port superviseur (monitor) ne peut pas être dans un groupe GigabitEtherchannel ou FastEtherchannel • Un port superviseur ne peut pas être validé pour la sécurité de port • Un port superviseur ne peut pas être un port multi-VLAN • Un port superviseur doit être membre du même VLAN que le port supervisé. Les changements d'appartenance à un VLAN sont interdites sur les ports supervisés et les ports en cours de supervision. • Un port superviseur ne peut pas être un port avec accès dynamique ou un port trunk. Toutefois un port d'accès statique peut superviser un VLAN d'un port trunk, un multi-VLAN ou un port d'accès dynamique. Le VLAN supervisé est celui associé avec le port d'accès statique. • La supervision de port ne fonctionne pas si les deux ports (superviseur et supervisé) sont des ports protégés. Exemple de configuration Dans cet exemple nous allons créer deux sessions SPAN différentes. • Le port Fa0/1 sera le port superviseur pour le trafic émis ou reçu sur les ports Fa0/2 et Fa0/5. Il sera aussi le port superviseur du trafic de l'interface de gestion VLAN 1. • Le port Fa0/4 sera le port superviseur du trafic des ports Fa0/3 et Fa0/6. Les ports Fa0/3, Fa0/4 et Fa0/6 sont tous configurés dans le VLAN 2. Les autres ports et l'interface de gestion sont configurés dans le VLAN 1 par défaut. ccnp_cch
ccnp_cch Schéma du réseau Ports supervisés Analyseur Fa0/2 Fa0/3 Fa0/1 Fa0/5 Fa0/4 Fa0/6 VLAN 1 VLAN 2 Ports supervisés Port SPAN <Partie supprimée> ! interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5 ! interface Fastethernet0/6 switchport access vlan 2 ! <snip> ! interface VLAN1 ip address 10.200.8.136 255.255.252.0 no ip directed broadcast no ip route-cache ! <snip> ! ccnp_cch
ccnp_cch Explication des étapes de configuration Nous voulons configurer le port Fa0/1 comme port destination pour les ports source Fa0/2, Fa0/5 et l'interface de gestion. En mode de configuration, nous devons en premier sélectionner l'interface Fa0/1. Switch(config)# interface FastEthernet0/1 Nous entrons ensuite la liste des ports devant être supervisés. Switch(config-if)# port monitor FastEthernet0/2 Switch(config-if)# port monitor FastEthernet0/5 Avec cette configuration, chaque paquet reçu ou transmis par ces deux ports sera copié vers le port Fa0/1. Configurons maintenant la supervision de l'interface de gestion du commutateur. Switch(config-if)# port monitor VLAN 1 Note : La commande ci-dessus ne signifie pas que le port Fa0/1 va superviser le VLAN 1 dans sa totalité. Le mot clé VLAN 1 fait simplement référence à l'interface de gestion du commutateur. La commande suivante a été exécutée uniquement pour montrer qu'il n'est pas possible de superviser un port dans un autre VLAN. Switch(config-if)# port monitor FastEthernet0/3 FastEthernet0/1 and FastEthernet0/3 are in different vlan Pour terminer la configuration, configurons maintenant une autre session. Cette fois-ci le port Fa0/4 est le port SPAN destination. Switch(config)# interface FastEthernet0/4 Switch(config-if)# port monitor FastEthernet0/3 Switch(config-if)# port monitor FastEthernet0/6 Switch(config)#^Z Le meilleur moyen de vérifier la configuration est d'exécuter simplement la com- mande show running ou la commande show port monitor. Switch# show port monitor Monitor Port Port Being Monitored ----------------- --------------------- FastEthernet0/1 VLAN1 FastEthernet0/1 FastEthernet0/2 FastEthernet0/1 FastEthernet0/5 FastEthernet0/4 FastEthernet0/3 FastEthernet0/4 FastEthernet0/6 Note : Les commutateurs Catalyst 2900XL/3500XL ne supportent pas le SPAN dans le sens réception ou transmission uniquement. Tous les ports sont supervisés pour le trafic reçu et transmis. ccnp_cch
SPAN sur les commutateurs Catalyst 2950 et Catalyst 3550 Voici quelques lignes directrices pour la configuration SPAN sur les commutateurs Catalyst 2950 et Catalyst 3550: • Le commutateur Catalyst 2950 peut avoir une seule session SPAN active et peut superviser que des ports source et pas les VLANS. • Le commutateur Catalyst 3550 peut supporter jusqu'à deux sessions SPAN et peut superviser les ports source et les VLANs. Les commandes de configuration SPAN sont similaires sur le Catalyst 2950 et le Catalyst 3550 sauf que le Catalyst 2950 ne peut pas superviser les VLANs. Le SPAN peut être configuré comme le montre l'exemple suivant: C2950#conf t C2950(config)# C2950(config)#monitor session 1 source interface fastethernet0/2 !-- L'interface Fa0/2 est configurée comme port source C2950(config)#monitor session 1 destination interface fastethernet0/3 !-- L'interface Fa0/3 est configurée comme port destination C2950(config)# C2950#show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0/2 Destination Ports: Fa0/3 C2950# Note : Au contraire des commutateurs 2900XL/3500XL, les commutateurs Catalyst 2950 et Catalyst 3550 sont capables de réaliser du SPAN dans le sens réception seul ou transmission seul ou dans les deux sens. Note : Les commandes ci-dessus sont supportées sur Catalyst 2950 avec l'IOS Cisco 12.0(5.2)WC(1) et avec tout logiciel antérieur à la version 12.1(6)EA2. Note : Les commutateurs Catalyst utilisant la release 12.(9)EA1d et les versions précé- dentes de la suite 12.1 supportent SPAN avec le problème que toutes les trames sur le port destination ont une marque 802.1Q même si le port source SPAN n'est pas un port trunk 802.1Q. Si l'équipement analyseur ou la carte réseau ne comprend pas les marques 802.1Q, ces trames pourront être rejetées ou mal décodées. La capacité à voir les trames marquées 802.1Q est très importantes seulement lorsque le port source SPAN est un port trunk. A partir de la release 12.1(11)EA1, vous pouvez valider/dévali- der le marquage des trames au niveau du port SPAN destination. Exécutez la comman- de monitor session session-number destination interface interface-id encapsula- tion dot1q pour valider le marquage des trames au niveau du port SPAN destination. Si le mot clé encapsulation n'est pas spécifié, les trames sont transmises non marquées ce qui le mode par défaut de la release 12.1(11)EA1. ccnp_cch
Impact sur les performances des plateformes Catalyst Catalyst 2900XL/3500XL Voici un schéma très simplifié de l'architecture interne des commutateurs 2900XL/ 3500XL. X Count: 2 DATA BUFFER Satellite 1 Satellite 4 Satellite 3 Satellite: 3,4 Trame X B A Analyseur Les ports du commutateur sont attachés à des satellites qui communiquent avec la matrice de commutation via des connexions directes. En plus de cela, les satellites sont interconnectés via un anneau haut débit de notification dédié à la signalisation de trafic. Quand une trame venant d'un port est reçue par un satellite, elle est découpée en cellules qui sont transmises à la matrice de commutation. la trame est ensuite stockée dans la mémoire partagée. Chaque satellite a connaissance des ports destination. Dans le schéma ci-dessus, le satellite 1 sait que le paquet X doit être reçu par les satellites 3 et 4. Il transmet via l'anneau de notification un message à ces satellites ainsi ils pourront récupérer les cellules en mémoire partagée via leurs connexions directes et éventuellement acheminer la trame. Le satellite source transmet également un index qui indique le nombre de fois que la trame doit être copiée vers les autres satellites. Chaque fois qu'un satellite récupère la trame dans la mémoire partagée, cet index est décrémenté. Lorsque l'index atteint zéro, la mémoire partagée est libérée. Impact sur la performance La supervision des ports avec SPAN implique des copies supplémentaires de trames de la mémoire partagée vers un satellite. L'impact sur la matrice de commutation haut débit est négligeable. Le port de supervision reçoit des copies du trafic transmis et reçu sur tous les ports supervisés. Dans cette architecture, une trame destinée à de multiples destinations est stockée en mémoire jusqu'à ce que toutes les copies sont acheminées. Si le port de supervision est surchargé à 50 pourcent en continu sur une période de temps, il sera ccnp_cch
certainement congestionné et la mémoire partagée restera occupée certainement congestionné et la mémoire partagée restera occupée. Un ou plusieurs ports supervisés pourront subir un ralentissement du trafic. ccnp_cch