La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

(Switch Port Analyzer) - Catalyst 2960

Publié parBeatrice Falardeau Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "(Switch Port Analyzer) - Catalyst 2960"— Transcription de la présentation:

1 (Switch Port Analyzer) - Catalyst 2960
Configuration de SPAN (Switch Port Analyzer) - Catalyst 2960 ccnp_cch

2 Sommaire ● Introduction ● Comprendre SPAN et RSPAN
- SPAN Local SPAN distant - Concepts et terminologie SPAN et RSPAN Port Destination - Interactions SPAN et RSPAN avec d'autres fonctionnalités ● Configuration de SPAN et RSPAN - Configuration SPAN et RSPAN par défaut - Configuration de SPAN local - Configuration de RSPAN ● Affichage de l'état de SPAN et RSPAN ccnp_cch

3 Comprendre SPAN et RSPAN
Introduction Ce document décrit comment configurer SPAN (Switch Port Analyzer) et RSPAN (Remo- te Switch Port Analyzer) sur un commutateur Catalyst 2950 ou Catalyst Ce document comprend les sections suivantes: ● Comprendre SPAN et RSPAN ● Configuration de SPAN ● Configuration de RSPAN ● Affichage de l'état de SPAN et RSPAN Comprendre SPAN et RSPAN Vous pouvez analyser le trafic réseau passant par les ports en utilisant SPAN afin de transmettre une copie du trafic vers un autre port du commutateur qui est connecté à une sonde classique, une sonde RMON ou à un équipement de sécurité. SPAN copie le trafic transmis ou reçu (ou les deux) sur un ou plusieurs ports sources vers un port destination pour analyse. Par exemple, dans la figure suivante, tout le trafic du port 5 (port source) est copié vers le port 10 (port destination). Un analyseur de réseau sur le port 10 reçoit tout le trafic du port 5 sans être physiquement rattaché au port 5. Le trafic du port 5 est copié sur le port 10 4 5 11 6 3 7 12 2 8 9 10 1 Seul le trafic qui entre ou quitte les ports source peut être supervisé par SPAN. RSPAN étend SPAN en validant la supervision distante de plusieurs commutateurs à travers le réseau. Le trafic de chaque session RSPAN est transporté sur un VLAN RS- PAN spécifié par l'utilisateur et qui est dédié pour cette session RSPAN dans tous les commutateurs participants. Le trafic SPAN des sources est copié dans le VLAN RSPAN grâce à un port réflecteur et acheminé sur des ports trunks qui transportent le VLAN RSPAN vers toute session destination RSPAN supervisant le VLAN RSPAN. ccnp_cch

4 Commutateur Source Commutateur Intermédiaire Commutateur Destination VLAN RSPAN VLAN RSPAN Port source RSPAN Port réflecteur Port destination RSPAN SPAN et RSPAN n'affectent pas la commutation du trafic réseau des ports source; une copie des paquets émis ou reçus par les interfaces source sont transmis vers l'interface destination. Sauf pour le trafic qui est requis pour les sessions SPAN ou RSPAN, les ports réflecteurs et les ports destination n'acheminent pas de trafic. Vous pouvez utiliser le port destination pour injecter venant d'un équipement de sécu- rité réseau. Par exemple si vous connectez un système de détection d'intrusion Cisco (IDS) à un port destination, l'équipement IDS peut transmettre des paquet TCP Reset pour fermer des sessions TCP suspectes. Note : Vous ne pouvez pas utiliser un port destination RSPAN pour injecter du trafic venant d'un équipement de sécurité réseau. le commutateur ne supporte pas l'achemi- nement entrant sur un port destination RSPAN. Concepts et terminologie SPAN et RSPAN Cette section décrit les concepts et la terminologie associés à la configuration SPAN et RSPAN. Session SPAN Une session SPAN locale est une association d'un port destination avec des ports sour- ce. Vous pouvez superviser du trafic entrant ou sortant sur une série ou un intervalle de ports. Une session RSPAN est une association de ports source à travers votre réseau avec un VLAN RSPAN. La source pour la destination est le VLAN RSPAN. Les sessions SPAN ne doivent pas interférer sur le fonctionnement normal du commu- tateur. Cependant une sur-allocation sur une destination SPAN, par exemple un port 10 Mb/s supervisant un port à 100 Mb/s peut mener à de la perte ou de l'élimination de paquets. Vous pouvez configurer les sessions SPAN sur des ports dévalidés; cependant une ses- sion SPAN deviendra active que si vous activez le port destination et au moins un port source pour cette session. La commande show monitor session session-number en mode EXEC privilégié affiche l'état opérationnel d'une session SPAN. Une session SPAN reste inactive après la mise sous tension jusqu'à ce que le port des- tination soit opérationnel. ccnp_cch

5 Types de trafic • Receive (Rx) SPAN : Le but de la réception (ou entrée) est de superviser autant que possible tous les paquets reçus sur l'interface source. Une copie de chaque paquet reçu par la source est transmis vers le port destination pour cette session SPAN Vous pouvez superviser une série ou un intervalle de ports dans une session SPAN Au port des destination si le marquage est validé, les paquets apparaissent avec un en-tête 802.1Q. Si le marquage n'est pas activé, les paquets apparaissent dans leur forme native Les paquets qui sont modifiés pour la QoS (Quality of Service), par exemple modifiés pour DSCP (Differentiated Service Code Point) sont copiés avec leurs modifications pour Rx SPAN • Transmit (Tx) SPAN : Le but de la transmission (ou sortie) SPAN est de superviser autant que possible les paquets transmis par l'interface source après que toutes les modifications et le traitement soit effectué par le commutateur. Une copie de chaque paquet transmis par la source est transmise vers le port destination pour cette ses sion SPAN. La copie est fournie après que le paquet ait été modifié par le commuta teur. Vous pouvez superviser un intervalle de ports en sortie dans une session SPAN Les paquets qui sont modifiés pour la QoS (Quality of Service) peuvent ne pas avoir le même DSCP (Paquets IP) ou CoS (Trame Ethernet) que la source SPAN. Quelques fonctionnalités qui peuvent causer l'élimination de paquets durant leur traitement peuvent également affecter la duplication de ceux-ci pour SPAN. Ces fonctionnalités sont les ACLs standards ou étendues placées en sortie sur des pa quets multicast et l'application d'une politique de QoS en sortie. Dans le cas des ACLs en sortie, si la source SPAN élimine le paquet, la destination éliminera égale ment le paquet. Si le port source est sur-alloué les ports destination auront un com portement d'élimination de paquets différent. • Both - Dans une session SPAN, vous pouvez superviser une série ou un intervalle de ports pour la réception et la transmission des paquets. Port Source Un port source ( appelé également port supervisé) est un port commuté que vous su- pervisez pour de l'analyse de trafic réseau dans une seule session SPAN locale ou une session RSPAN source, vous pouvez superviser le trafic sur un port source pour la ré- ception (Rx), la transmission (Tx) ou les deux (Both). Le commutateur supporte un nombre quelconque de ports source dans la limite du nombre de ports disponibles sur le commutateur Un port source a ces caractéristiques: ● Cela peut être n'importe quel type de port (exemple Etherchannel, FastEthernet, GigaEthernet, etc..) ccnp_cch

6 ccnp_cch • Cela ne peut pas être un port destination.
• Chaque port source peut être configuré pour un sens (entrée, sortie ou les deux) de supervision. Pour les sources Etherchannel, le sens de supervision s'applique à tous les ports physiques dans le groupe. • Les ports source peuvent être dans le même VLAN ou dans des VLANs différents. Vous pouvez configurer un port Trunk comme port source. Tous les VLANs actifs sur le Trunk sont supervisés. Port Destination Toute session SPAN locale ou session RSPAN destination doit avoir un port destina- tion (appelé également port superviseur) qui reçoit une copie du trafic des ports sour- ce. Le port destination a ces caractéristiques : ● Il doit résider sur le même commutateur que le port source pour une session SPAN locale ● Il peut être tout port physique Ethernet ● Il ne peut pas être un port source ou port réflecteur ● Il ne peut pas être un groupe Etherchannel ou un VLAN. ● Il peut être un port physique affecté à un groupe EtherChannel même si le groupe Etherchannel a été spécifié comme source SPAN. Le port est retiré du groupe tant qu'il est configuré comme port SPAN destination ● Le port ne doit pas transmettre de trafic excepté celui requis par les sessions SPAN. ● Si l'acheminement du trafic entrant est validé pour un équipement de sécurité de réseau, le port destination achemine le trafic à la couche 2. ● Il ne participe pas au Spanning-Tree tant que la session SPAN est active ● Quand c'est un port destination, il ne participe à aucun des protocoles de couche (STP, VTP, CDP, DTP, PagP ou LACP) ● Aucun apprentissage d'adresse n'est effectué sur ce port. ● Un port destination reçoit des copies du trafic émis ou reçu de tous les ports sour- ce supervisés. Si un port destination est sur-alloué il peut devenir congestionné. Ceci peut affecter l'acheminement de trafic sur un ou plusieurs ports sources. ccnp_cch

7 ccnp_cch Port réflecteur
Le port réflecteur est le mécanisme qui copie les paquets sur un VLAN RSPAN. Le port réflecteur achemine uniquement le trafic de la session RSPAN source à laquelle il est affecté. Tout équipement connecté à un port configuré comme port réflecteur perd sa connectivité jusqu'à ce que la session source RSPAN soit désactivée. Le port réflecteur a ces caractéristiques : ● C'est un port mis en rebouclage. ● Il ne peut pas être un groupe EtherChannel ni un Trunk et ne fait pas de filtrage de protocoles. ● Cela peut être un port physique qui est affecté à un groupe EtherChannel même si le groupe EtherChannel est spécifié comme source SPAN. Le port est retiré du grou- pe tant qu'il est configuré comme port réflecteur. ● Un port utilisé comme port réflecteur ne peut pas être utilisé comme port source ou destination SPAN ni être un port réflecteur pour plus d'une session en même temps. ● Il est invisible des autres VLANs. ● Le VLAN natif pour reboucler le trafic sur le port réflecteur est le VLAN RSPAN. ● Le port réflecteur reboucle le trafic non marqué vers le commutateur. Le trafic est ensuite placé sur le VLAN RSPAN et diffusé vers tout port transportant le VLAN RSPAN. ● Le Spanning-Tree est automatiquement dévalidé sur le port réflecteur. ● Un port réflecteur reçoit les copies du trafic émis et reçu de tous les ports supervi sés. Si un port réflecteur est sur-alloué, il peut devenir congestionné. Ceci peut af- fecter l'acheminement du trafic sur un ou plusieurs ports source Si la bande passante du port réflecteur n'est pas suffisante pour le volume de trafic correspondant aux ports source, les paquets en excès seront éliminés. Un port ré flecteur 10/100 Mb/s fonctionne à 100 Mb/s. Un port réflecteur 1 Gb/s fonctionne à 1 Gb/s. ccnp_cch

8 Trafic SPAN Vous pouvez utiliser SPAN local pour superviser tout le trafic réseau y compris le mul- ticast, les paquet BPDU (Bridge Protocol Data Unit), CDP (Cisco Discovery Protocol), VTP (VLAN Trunking Protocol), DTP (Dynamic Trunking Protocol), STP (Spanning-Tree Protocol), PagP (Port aggregation Protocol) et LACP (Link Aggregtion Control Protocol). Dans certaines configurations SPAN, de multiples copies pour le même paquet source sont transmises vers la destination SPAN. Par exemple, une session SPAN bidirection- nelle est configurée pour les sources a1 Rx et a2 Rx et Tx vers le port destination d1. Si un paquet entre dans le commutateur par a1 puis est commuté vers a2, les paquets entrants et sortants sont transmis vers le port d1. Inter-action de SPAN et RSPAN avec les autres fonctions SPAN inter-agit avec ces fonctionnalités: ● STP (Spanning-Tree Protocol) - Un port destination ou un port réflecteur ne partici pe pas à STP tant que sa session SPAN ou RSPAN est active. Sur un port source, SPAN n'affecte pas d'état STP. STP peut être actif sur les ports Trunk transportant le VLAN RSPAN. ● CDP (Cisco Discovery Protocol) - Un port SPAN destination ne participe pas à CDP tant qu'une session SPAN est active. Le port participera à CDP dès que la session SPAN est désactivée. ● VTP (Virtual Trunking Protocol) - Vous pouvez utiliser VTP pour élaguer un VLAN RSPAN entre commutateurs ● VLAN et Trunking - Vous pouvez modifier l'appartenance à un VLAN ou à Trunk pour les ports source, destination ou réflecteur à tout moment. Cependant les mo- difications de paramètres dans l'appartenance à un VLAN ou à un Trunk pour un port destination ou réflecteur ne prendront effet que lorsque la session SPAN ou RSPAN sera désactivée. Les changements de paramètres dans l'appartenance à un VLAN ou à Trunk pour un port source prennent effet immédiatement et la session SPAN est automatiquement adaptée avec les nouveaux paramètres. ● EtherChannel - Vous pouvez configurer un groupe EtherChannel comme port sour ce mais pas comme port SPAN destination. Quand un groupe est configuré comme source SPAN, tout le groupe est supervisé Si un port est ajouté au groupe EtherChannel supervisé, le nouveau port est ajouté à la liste des ports source SPAN. Si un port est retiré d'un groupe EtherChannel su- pervisé, il est automatiquement retiré de la liste de ports source. Si le port est le seul du groupe EtherChannel, le groupe EtherChannel est retiré de SPAN. ● Si un port physique appartenant à un groupe EtherChannel est configuré comme un port source, destination ou réflecteur SPAN, il est retiré du groupe. Après le re trait du port de la session SPAN, le port est de nouveau joint au groupe. Les ports retirés d'un groupe EtherChannel restent membres du groupe mais ils sont dans l'état "down" ou "standalone". ccnp_cch

9 Si un port physique appartenant à un groupe EtherChannel est un port destination ou un port réflecteur et que le groupe EtherChannel est une source, le port est retiré du groupe EtherChannel et de la liste des ports supervisés. ● QoS - Pour la supervision en entrée, les paquets transmis vers le port destination SPAN peuvent être différents de ceux reçus actuellement sur la source SPAN car les paquets sont acheminés après la classification et la politique de QoS en entrée. Le paquet avec DSCP transmis par SPAN peut être différent du paquet original reçu. ● Le trafic multicast peut être supervisé. Pour la supervision de port en entrée et en sortie, un seul paquet sera transmis vers le port SPAN destination. Il ne reflète pas le nombre de retransmission du paquet multicast. ● Port security - Un port sécurisé ne peut pas être un port SPAN destination. Limites des sessions SPAN et RSPAN Vous pouvez configurer ( et stocker en NVRAM) une session SPAN locale ou plusieurs sessions RSPAN sur un commutateur. Le nombre de sessions actives et les combinai- sons sont sujettes à ces restrictions : ● Source SPAN ou RSPAN (Rx, Tx, les deux) : 1 session active (SPAN et RSPAN s'ex cluent mutuellement sur un commutateur). ● Les sessions source RSPAN ont une destination par session avec le VLAN RSPAN associé pour cette session. ● Chaque session destination RSPAN a une ou plusieurs interfaces destination pour chaque VLAN RSPAN supporté. ● Les sessions destination RSPAN sont limitées à 2, ou 1 si une session SPAN locale ou une session RSPAN source est configurée sur le même commutateur. Configuration SPAN et RSPAN par défaut Le tableau suivant montre la configuration par défaut de SPAN et RSPAN. Fonctionnalité Configuration par défaut Etat SPAN Dévalidé Trafic de port source à superviser Trafic reçu et transmis (both) Type d'encapsulation (port destination) Forme native (Pas d'en-tête type d'encapsulation) Acheminement entrant (port destination) ccnp_cch

10 Configuration de SPAN ccnp_cch
Cette section décrit comment configurer SPAN sur votre commutateur. Elle contient ces informations de configuration: ● Conseils pour la configuration de SPAN ● Création d'une session SPAN et spécification de ports à superviser ● Création d'une session SPAN et validation du trafic entrant ● Retrait de ports d'une session SPAN Conseils pour la configuration de SPAN Suivez ces recommandations quand vous configurez SPAN: ● Les sessions SPAN et RSPAN peuvent coexister dans les limites décrites dans la sec tion "Limitations des sessions SPAN et RSPAN". ● Le port destination ne peut pas être un port source, un port source ne peut pas être un port destination. ● Vous pouvez avoir un seul port destination ● Un port EtherChannel peut être un port SPAN source, il ne peut pas être un port SPAN destination. ● Pour les ports SPAN source, vous pouvez superviser le trafic émis ou reçu pour un seul port, une série de ports ou un intervalle de ports. ● Quand vous configurez un port de commutateur comme port SPAN destination, il n'est plus un port normal de commutateur; seul le trafic supervisé passe par le port SPAN destination. ● Vous pouvez configurer un port dévalidé pour être un port source ou destination mais la fonction SPAN ne démarrera que si le port destination et au moins un port source sont validés. ● Un port SPAN destination ne participe jamais au VLAN Spanning-Tree. SPAN n'in clut pas les BPDUs dans le trafic supervisé ainsi toute BPDU Spanning-tree reçue sur le port SPAN destination pour une session SPAN a été copiée des ports SPAN sources. ● Quand SPAN est validé, les changements de configuration donnent les résultats sui vants: Si vous changez la configuration VLAN d'un port destination, le changement pren dra effet lorsque SPAN sera validé. ccnp_cch

11 - Si vous dévalidez le port destination sur tous les ports sources, la fonction SPAN s'arrête jusqu'à ce qu'un port source et un port destination soient validés. Création d'une session SPAN et spécification des ports à superviser En débutant en mode EXEC privilégié suivez ces étapes pour créer une session SPAN et spécifier les ports source (supervisé) et la destination (superviseur). Commande But configure terminal Entrée en mode de configuration global. no monitor session {session_number | all | local | remote} Efface toute configuration pour la session SPAN. Pour session_number, spécifiez 1. Spécifiez all pour retirer toutes les sessions SPAN, local pour retirer tous les sessions lo- cales ou remote pour toutes les sessions SPAN. monitor session session_number source interface interface-id [, | -] [both | rx | tx] Spécifie la session SPAN et le port source. Pour session_number, spécifiez 1. Pour interface_id, spécifie le port source à superviser. Les interfaces valides sont les in- terfaces physiques et les interfaces logiques Port-channel ( port-channel port-channel- number). (Optionnel) [,|-] Spécifie une série ou un in- tervalle d'interfaces. Entrez un espace avant et après la virgule, entrez un espace avant et après le tiret. (Optionnel) Spécifie le sens du trafic à super- viser. Si vous ne spécifiez pas de sens de tra- fic, l'interface source transmet le trafic reçu et transmis. ● both -- Supervise le trafic reçu et émis. ● rx -- Supervise le trafic. ● tx -- Supervise le trafic transmis. monitor session session_number destination interface interface-id [encapsulation {dot1q}] Spécifie la session SPAN et le port destina- tion (port supervisé). Pour session_number, spécifiez 1. Pour interface_id, spécifie le port destination à superviser. Les interfaces valides sont les interfaces physiques. (Optionnel) Spécifie l'en-tête d'encapsulation pour les paquets sortants. Si non spécifié, les paquets sont transmis sous la forme nati- ve. ● dot1q -- Utilise l'encapsulation 802.1Q. ccnp_cch

12 Commande But end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. Cet exemple montre comment configurer une session SPAN, session 1, pour superviser le trafic d'un port source vers un port destination. D'abord toute configuration SPAN existante pour la session 1 est effacée et ensuite la session 1 est créée à nouveau et le trafic bidirectionnel est copié du port source 1 vers le port destination Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface fastethernet0/1 Switch(config)# monitor session 1 destination interface fastethernet0/10 encapsulation dot1q Switch(config)# end Création d'une session SPAN et validation du trafic entrant En débutant en mode EXEC privilégié suivez ces étapes pour créer une session SPAN et spécifier les ports source et destination et valider le trafic entrant sur le port desti- nation pour un équipement de sécurité réseau (tel que Cisco IDS sensor Appliance). Commande But configure terminal Entrée en mode de configuration global. no monitor session {session_number | all | local | remote} Efface toute configuration pour la session SPAN. Pour session_number, spécifiez 1. Spécifiez all pour retirer toutes les sessions SPAN, local pour retirer tous les sessions lo- cales ou remote pour toutes les sessions SPAN. monitor session session_number source interface interface-id [, | -] [both | rx | tx] Spécifie la session SPAN et le port source. Pour session_number, spécifiez 1. Pour interface_id, spécifie le port source à superviser. Les interfaces valides sont les in- terfaces physiques et les interfaces logiques Port-channel ( port-channel port-channel- number). (Optionnel) [,|-] Spécifie une série ou un in- tervalle d'interfaces. Entrez un espace avant et après la virgule, entrez un espace avant et après le tiret. (Optionnel) Spécifie le sens du trafic à super- viser. Si vous ne spécifiez pas de sens de tra- fic, l'interface source transmet le trafic reçu et transmis. ● both -- Supervise le trafic reçu et émis. ● rx -- Supervise le trafic. ● tx -- Supervise le trafic transmis. ccnp_cch

13 Commande But monitor session session_number destination interface interface-id [encapsulation {dot1q}] Spécifie la session SPAN et le port destina- tion (port supervisé). Pour session_number, spécifiez 1. Pour interface_id, spécifie le port destination à superviser. Les interfaces valides sont les interfaces physiques. (Optionnel) Spécifie l'en-tête d'encapsulation pour les paquets sortants. Si non spécifié, les paquets sont transmis sous la forme nati- ve. ● dot1q -- Utilise l'encapsulation 802.1Q. end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. Cet exemple montre comment configurer le port destination pour du trafic entrant sur le VLAN 5 en utilisant un équipement de sécurité qui ne supporte pas l'encapsulation Q. Switch(config)#monitor session 1 destination interface Fa 0/5 ingress vlan 5 Cet exemple montre comment configurer le port destination pour du trafic entrant sur le VLAN 5 en utilisant un équipement de sécurité qui supporte l'encapsulation 802.1Q. Switch(config)# monitor session 1 destination interface Fa 0/5 encapsulation dot1q ingress vlan 5 Cet exemple montre comment dévalider l'acheminement du trafic entrant sur le port destination. Switch(config)# monitor session 1 destination interface Fa 0/5 encapsulation dot1q ccnp_cch

14 ccnp_cch Retrait de ports d'une session SPAN
En débutant en mode EXEC privilégié, suivre ces étapes pour retirer un port source d'une session SPAN. Commande But configure terminal Entrée en mode de configuration global. monitor session session_number source interface interface-id [, | -] [both | rx | tx] Spécifie la session SPAN et le port source. Pour session_number, spécifiez 1. Pour interface_id, spécifie le port source à superviser. Les interfaces valides sont les in- terfaces physiques et les interfaces logiques Port-channel ( port-channel port-channel- number). (Optionnel) [,|-] Spécifie une série ou un in- tervalle d'interfaces. Entrez un espace avant et après la virgule, entrez un espace avant et après le tiret. (Optionnel) Spécifie le sens du trafic à super- viser. Si vous ne spécifiez pas de sens de trafic, l'interface source transmet le trafic reçu et transmis. ● both -- Supervise le trafic reçu et émis. ● rx -- Supervise le trafic. ● tx -- Supervise le trafic transmis. end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. Pour retirer un port source ou destination d'une session SPAN, utilisez la commande no monitor session session_number source interface interface-id en mode de configu- ration global ou la commande no monitor session session_number destination inter- face interface-id. Pour remettre le mode d'encapsulation à sa valeur par défaut (native), utilisez la commande monitor session session_number destination interface interfa- ce-id sans le mot-clé encapsulation. Cet exemple montre comment retirer le port 1 comme source SPAN pour la session 1: Switch(config)# no monitor session 1 source interface fastEthernet0/1 Switch(config)# end ccnp_cch

15 Cet exemple montre comment dévalider le trafic reçu sur le port 1 qui avait été configu-
ré pour une supervision bidirectionnelle. Switch(config)# no monitor session 1 source interface fastEthernet0/1 Switch(config)# end Le trafic reçu sur le port 1 n'est plus supervisé mais le trafic transmis par ce port con- tinue d'être supervisé. Configuration de RSPAN Cette section décrit comment configurer RSPAN sur votre commutateur. Elle contient les informations de configuration : ● Conseils pour la configuration RSPAN ● Création d'une session RSPAN ● Création d'une session RSPAN destination ● Retrait de ports d'une session RSPAN Conseils pour la configuration de RSPAN Pour utiliser la fonctionnalité décrite dans ce document, vous devez avoir une image améliorée installée sur votre commutateur. Suivez ces recommandations quand vous configurez RSPAN: ● Tous les items de la section "Conseils pour la configuration de SPAN" sont valables pour RSPAN Note : Comme les VLAN RSPAN ont des propriétés spécifiques, vous devez réserver quelques VLANs dans votre réseau pour les utiliser comme des VLAN RSPAN; n'af fectez pas de ports d'accès à ces VLANs. ● Les sessions SPAN et RSPAN peuvent coexister dans les limites décrites dans la sec tion "Limitations des sessions SPAN et RSPAN". ● Si le trafic pour un port est supervisé dans un sens, vous pouvez utiliser les com mutateurs Catalyst 2950 ou 2955 comme commutateurs source intermédiaire ou destination. ● Si le trafic est supervisé dans les deux directions, assurez-vous que les commuta teurs intermédiaires ou destination sont des commutateurs autres que des Catalyst ou 2955 tels des Catalyst 3550, 3750 ou ● Pour la configuration RSPAN, vous pouvez distribuer les ports source et les ports destination dans votre réseau sur plusieurs commutateurs. ccnp_cch

16 ● Un port ne peut pas servir de port RSPAN source ou destination tant qu'il est dési gné comme port réflecteur. ● Quand vous configurez un port de commutateur comme port réflecteur, ce n'est plus un port normal de commutateur; seul le trafic rebouclé passe sur le port réflecteur. ● RSPAN ne supporte pas la supervision des paquets BPDU ou d'autres protocoles de couche ● Dans un réseau constitué uniquement de commutateurs Catalyst 2950 et 2955, vous devez utiliser une session RSPAN VLAN unique sur chaque commutateur sour- ce. Si plusieurs commutateurs utilisent le même VLAN RSPAN, les commutateurs sont limités pour agir uniquement comme commutateurs source pour assurer la re- mise de tout trafic supervisé au commutateur destination. ● Vous pouvez configurer tout VLAN comme VLAN RSPAN tant que ces conditions sont respectées : Le VLAN RSPAN n'est pas configuré comme VLAN natif L'intervalle étendu des VLAN RSPAN ne sera pas propagé aux autres commuta- teurs en utilisant VTP Pas de ports d'accès configurés dans le VLAN RSPAN Tous les commutateurs participants supportent RSPAN Notes : Le VLAN RSPAN ne peut pas être le VLAN1 (VLAN par défaut) ou les VLAN ID de 1002 à 1005 (réservés pour les VLANs Token Ring et FDDI). ● Vous devez créer un VLAN RSPAN avant de configurer une session RSPAN ou une destination. ● Si vous devez valider VTP ou "VTP Pruning", le trafic RSPAN est élagué dans les trunks pour éviter une diffusion non nécessaire du trafic à travers le réseau pour les ID de VLAN inférieurs à Création d'une session RSPAN Créez d'abord un VLAN RSPAN, qui n'existe pas, pour la session RSPAN dans tous les commutateurs qui vont participer à RSPAN. Avec VTP validé dans le réseau, vous pou- vez créer le VLAN RSPAN dans un commutateur et VTP le propage vers les autres com- mutateurs dans le domaine VTP pour les VLANs ID inférieurs à Utilisez l'élagage VTP pour avoir un flux de trafic RSPAN plus efficace ou effacer ma- nuellement les VLAN RSPAN de tous les Trunks qui n'ont pas besoin de transporter le RSPAN. Après avoir crée le VLAN RSPAN, en commençant en mode EXEC privilégié et suivez ces étapes pour démarrer une session RSPAN source et spécifier les ports source et le VLAN RSPAN destination. ccnp_cch

17 ccnp_cch configure terminal Entrée en mode de configuration global.
no monitor session {session_number | all |local | remote} Efface toute configuration pour la session RSPAN. Pour session_number, spécifie le numéro de ses- sion identifié avec cette session RSPAN. Spécifiez all pour retirer toutes les sessions RSPAN, local pour retirer tous les sessions lo- cales ou remote pour toutes les sessions SPAN. monitor session session_number source interface interface-id [,|-] [both|rx |tx] Spécifie la session RSPAN et le port source. Pour session_number, spécifie le numéro de ses- sion identifié avec cette session RSPAN. Pour interface_id, spécifie le port source à super-viser. Les interfaces valides sont les interfaces physiques et les interfaces logiques Port-channel ( port-channel port-channel-number). (Optionnel) [,|-] Spécifie une série ou un in- tervalle d'interfaces. Entrez un espace avant et après la virgule, entrez un espace avant et après le tiret. (Optionnel) Spécifie le sens du trafic à super- viser. Si vous ne spécifiez pas de sens de tra- fic, l'interface source transmet le trafic reçu et transmis. ● both -- Supervise le trafic reçu et émis. ● rx -- Supervise le trafic. ● tx -- Supervise le trafic transmis. monitor session session_number destination remote vlan vlan-id reflector-port interface Spécifie la session RSPAN et le VLAN distant et le port réflecteur. Pour session_number, spécifie le numéro de ses- Pour vlan_id, spécifiez le VLAN RSPAN pour l le transport du trafic vers le port destination. Pour interface spécifiez l'interfce qui va diffuser le trafic dans le VLAN RSPAN. end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. ccnp_cch

18 Création d'une session RSPAN destination
Cet exemple montre comment effacer toute configuration RSPAN existante pour la ses- sion 1 et configurer la session RSPAN 1 pour superviser plusieurs interfaces source et configurer le VLAN RSPAN et le port réflecteur. Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface fastEthernet0/10 tx Switch(config)# monitor session 1 source interface fastEthernet0/2 rx Switch(config)# monitor session 1 source interface fastEthernet0/3 rx Switch(config)# monitor session 1 source interface port-channel 102 rx Switch(config)# monitor session 1 destination remote vlan 901 reflector-port fastEthernet0/1 Switch(config)# end Création d'une session RSPAN destination En débutant en mode EXEC privilégié, suivez ces étapes pour créer une session desti- nation RSPAN et spécifier le VLAN RSPAN source et le port destination. configure terminal Entrée en mode de configuration global. monitor session session_number source remote vlan vlan-id Spécifie la session RSPAN et le VLAN RSPAN source. Pour session_number, spécifie le numéro de ses- sion identifié avec cette session RSPAN. Pour vlan-id, spécifiez le VLAN RSPAN source à superviser. monitor session session_number destination interface interface-id [encapsulation {dot1q}] Spécifie la session RSPAN et l'inteface destina- tion. Pour session_number, spécifie le numéro de ses- sion identifié avec cette session RSPAN. Pour interface_id, spécifie l'interface destination. (Optionnel) Spécifiez l'en-tête d'encapsulation pour les paquets sortants. Si non spécifié, les pa- quets sont transmis dans leur forme native. ● dot1q - Utilise l'encapsulation 802.1Q. end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. Cet exemple montre comment configurer le VLAN 901 comme VLAN distant source et le port 5 comme interface destination : Switch(config)# monitor session 1 source remote vlan 901 Switch(config)# monitor session 1 destination interface fastEthernet0/5 Switch(config)# end ccnp_cch

19 Retrait de Ports d'une session RSPAN
En débutant en mode EXEC privilégié, suivez ces étapes pour retirer un port comme source RSPAN une session. configure terminal Entrée en mode de configuration global. no monitor session session_number source interface interface-id [,|-] [both|rx|tx] Spécifie les caractéristiques du port source RSPAN à retirer. Pour session_number, spécifie le numéro de session identifié avec cette session RSPAN. Pour interface_id, spécifie le port source à ne plus superviser. Les interfaces valides sont les interfaces physiques et les interfaces logiques Port-channel ( port-channel port-channel-number). (Optionnel) [,|-] Spécifie une série ou un in- tervalle d'interfaces. Entrez un espace avant et après la virgule, entrez un espace avant et après le tiret. (Optionnel) Spécifie le sens du trafic à ne plus superviser. Si vous ne spécifiez pas de sens de trafic, le trafic reçu et transmis sera déva- lidé. end Retour en mode EXEC privilégié. show monitor [session session_number] Vérifie la configuration. copy running-config startup-config (Optionnel) Sauvegarde la configuration. Cet exemple montre comment retirer le port 1 comme source RSPAN pour la session RSPAN 1 : Switch(config)# no monitor session 1 source interface fastEthernet0/1 Switch(config)# end Cet exemple montre comment dévalider le trafic reçu sur le port 1 supervisé qui a été configuré pour une supervision bidirectionnelle : Switch(config)# no monitor session 1 source interface fastEthernet0/1 rx Le trafic supervisé reçu sur le port 1 est dévalidé mais le trafic transmis par le port 1 continue d'être supervisé. ccnp_cch

20 Affichage de l'état de SPAN et RSPAN
Pour afficher l'état d'une configuration courante SPAN ou RSPAN, utilisez la comman- de show monitor en mode EXEC privilégié. Ceci est un exemple de sortie pour la commande show monitor en mode EXEC privilé- gié pour la session SPAN 1. Switch# show monitor session 1 Session 1 Type : Local Session Source Ports : RX Only : None TX Only : None Both : Fa0/4 Source VLANs : Both : None Source RSPAN VLAN : None Destination Ports : Fa0/5 Encapsulation: DOT1Q Ingress: Enabled, default VLAN = 5 Reflector Port : None Filter VLANs : None Dest RSPAN VLAN : None ccnp_cch

Télécharger ppt "(Switch Port Analyzer) - Catalyst 2960"

Présentations similaires

Randy James Concepts et configuration d’EtherChannel Responsable de département, BCIT MA Learning & Technology Date : juillet 2013.

Randy James Concepts et configuration d’EtherChannel Responsable de département, BCIT MA Learning & Technology Date : juillet 2013.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
ARCHITECTURE RESEAUX.

ARCHITECTURE RESEAUX.
Multicast Routing Monitor

Multicast Routing Monitor
Logging Messages système

Logging Messages système
Catalyst Configurer les macros Smartports

Catalyst Configurer les macros Smartports
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
show dialer interface bri

show dialer interface bri
OSPF - Comment OSPF génère les routes par défaut

OSPF - Comment OSPF génère les routes par défaut
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Configuration - Diagnostics en ligne

Configuration - Diagnostics en ligne
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
CCNP Routage Chapitre 4 - Questionnaire N°1

CCNP Routage Chapitre 4 - Questionnaire N°1
Catalyst Configurer les macros Smartports

Catalyst Configurer les macros Smartports
basé sur le port - Catalyst 3550

basé sur le port - Catalyst 3550
Sécurité - Cisco ASA Supervision du contenu

Sécurité - Cisco ASA Supervision du contenu
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
EtherChannel de couche 3 sur Routeur Cisco ISR

EtherChannel de couche 3 sur Routeur Cisco ISR
PIX/ASA - Configuration Serveur et Client DHCP

PIX/ASA - Configuration Serveur et Client DHCP

Présentations similaires

Annonces Google