1 00:00:00,880 --> 00:00:09,040 Span oder Switched Port und Eliza auch Porta genannt oder Port Mont Mit einem Zug können Sie einen Switch 2 00:00:09,280 --> 00:00:17,140 konfigurieren, um Kopien von Ethernet-Frames zu erstellen, die an bestimmten Ports oder bestimmten Villans empfangen werden. 3 00:00:17,320 --> 00:00:24,100 Als Beispiel könnte man sagen, dass der gesamte auf Gigabit 1 0 1 ankommende Datenverkehr aus einem anderen Port 4 00:00:24,100 --> 00:00:26,590 Gigabit 1 0 2 kopiert wird. 5 00:00:27,040 --> 00:00:34,020 Oder Sie können sagen, dass der gesamte in der Zeile 1 empfangene oder gesendete Datenverkehr kopiert wird, wenn 6 00:00:34,030 --> 00:00:41,620 Gigabit 1 0 für Ausgaben wirklich wichtig ist, wenn Sie Datenverkehr überwachen möchten, der nicht für ein bestimmtes Gerät 7 00:00:41,620 --> 00:00:42,700 bestimmt ist. 8 00:00:42,940 --> 00:00:49,540 Als Beispiel können Sie einen Netzwerkanalysator oder ein System zur Erkennung von Eindringlingen verwenden, das den Datenverkehr überwachen 9 00:00:49,660 --> 00:00:51,820 muss, der Ihr Netzwerk durchquert. 10 00:00:51,820 --> 00:00:59,800 Sie können einen Switch so konfigurieren, dass entweder Kopien von Frames über einen lokalen Port erstellt werden oder wie Sie später 11 00:01:00,220 --> 00:01:07,270 erfahren, wie Sie den sogenannten Remote-Bereich verwenden, in dem Sie Frames von einem lokalen Switch auf einen Remote-Switch kopieren, 12 00:01:07,300 --> 00:01:11,110 so dass eine Remote-Überwachungsstation das empfangen kann der Verkehr. 13 00:01:11,120 --> 00:01:18,590 In dieser Typologie verwende ich keine Jeanas drei Jeanas drei und Cisco-Viren unterstützen derzeit 14 00:01:18,590 --> 00:01:19,790 keinen Spam. 15 00:01:19,790 --> 00:01:28,130 Was ich also verwende, sind physische Cisco Rodder, die an 29 50 physische Siska-Switches angeschlossen sind, 16 00:01:28,130 --> 00:01:32,740 die wiederum an 37 50 Cisco-Switches angeschlossen sind. 17 00:01:32,800 --> 00:01:39,840 Ich habe einen PC an den 37-Switch angeschlossen, auf dem Wireshark läuft, und wir verwenden ihn, um den 18 00:01:39,850 --> 00:01:42,460 Datenverkehr aus dem Netzwerk zu erfassen. 19 00:01:42,460 --> 00:01:48,340 Jetzt werde ich in einem Moment demonstrieren, dass, wenn Datenverkehr von einem Router an 20 00:01:48,340 --> 00:01:55,480 einen anderen gesendet wird und der Unicast-Datenverkehr wie Pings oder Telma gesendet wird, der gesamte Datenverkehr von 21 00:01:55,480 --> 00:02:03,280 einem an den Server gesendeten Datenverkehr an den ersten 21:15 gesendet wird wiederum wird an die ersten 30 750 22 00:02:03,310 --> 00:02:10,540 gesendet, die wiederum an den 30 7:52-Switch gesendet werden, und der Vorgang wird fortgesetzt, bis der Datenverkehr, 23 00:02:11,040 --> 00:02:15,510 der ihn zum Erfassungs-PC gebracht hat, keinen Unicast-Datenverkehr hat. 24 00:02:15,670 --> 00:02:21,400 Denn wenn die Mac-Adresstabelle von Switch One gefüllt ist, wird 25 00:02:21,760 --> 00:02:28,720 der Datenverkehr von dieser Schnittstelle einfach umgeschaltet, um beispielsweise den Datenverkehr von 26 00:02:28,720 --> 00:02:37,050 Gerada an den Datenverkehr weiterzuleiten, wenn er an unbekannte Unicast-Adressen gesendet wird Multicast-Adressen oder 27 00:02:37,050 --> 00:02:41,810 Broadcast-Adressen oder speziell an das Erfassungsgerät gesendet. 28 00:02:41,880 --> 00:02:48,510 Das Erfassungsgerät hat also keine Sicht auf den Verkehr, der von Rodda One an Rodded gesendet wird, um das 29 00:02:48,510 --> 00:02:53,680 Auflösen zu ermöglichen. Wir ermöglichen die Überwachung von Spanne oder Ports auf dem 37-Switch. 30 00:02:53,970 --> 00:02:59,880 Zeigen Sie also zunächst, dass der von Radio 1 nach Ratatouille gesendete Datenverkehr nicht vom aufnehmenden PC 31 00:02:59,880 --> 00:03:00,810 empfangen wird. 32 00:03:01,050 --> 00:03:08,390 Und dann konfigurieren wir den Span auf dem Switch so, dass der PC den Verkehr mit Y-Schock erfassen kann. 33 00:03:08,820 --> 00:03:20,840 Die Konsole der siebenunddreißigfünfzig Schalter zeigt die MAC-Adresstabelle. Einige MAC-Adressen, die in der Tabelle 34 00:03:24,220 --> 00:03:37,180 aufgelistet sind. Ich werde jetzt von Route 1 zu Rodda pingen, um die IP-Schnittstelle kurz anzuzeigen 35 00:03:37,690 --> 00:03:46,430 IP-Adresse, die wir auf der Konsole von Rockety sehen können. 36 00:03:46,530 --> 00:03:48,420 Es gibt also die IP-Adresse 37 00:03:51,640 --> 00:03:54,770 von Rockety Rodda, die es auch wieder ping geschrieben hat. 38 00:03:55,090 --> 00:04:02,730 Wenn wir uns also die MAC-Adresstabelle ansehen, von der wir vorher nur diese drei MAC-Adressen in der 39 00:04:02,730 --> 00:04:03,950 Tabelle hatten. 40 00:04:04,140 --> 00:04:10,750 Beachten Sie aber, dass wir diese MAC-Adresse sowie die MAC-Adresse in der Tabelle haben. 41 00:04:11,040 --> 00:04:17,700 Ich habe die MAC-Adresse von Rotto wie folgt konfiguriert. 42 00:04:17,700 --> 00:04:24,630 Ich verwende also eine Cisco Venda-Code-MAC-Adresse. Um es einfach zu machen, habe ich die MAC-Adresse des 43 00:04:24,630 --> 00:04:26,670 Routers wie folgt angegeben. 44 00:04:27,410 --> 00:04:29,430 Auf dem Weg nach habe ich etwas Ähnliches gemacht. 45 00:04:29,630 --> 00:04:36,720 Die MAC-Adresse besteht also aus den Cisco Venda-Code-Nullen und zwei. 46 00:04:36,740 --> 00:04:43,940 An diesem Punkt hat der erste siebenunddreißigfünfzig Schalter über die MAC-Adressen von Radu 1 und rodef zwei erfahren, 47 00:04:44,000 --> 00:04:52,230 um die Dinge einfach zu halten. Ich habe noch keine Villans konfiguriert, alle Geräte auf Villaine One, lassen Sie den 48 00:04:52,230 --> 00:04:53,420 Verkehr erfassen. 49 00:04:53,490 --> 00:04:57,800 Warum schockieren Sie unseren PC? 50 00:04:58,050 --> 00:05:02,410 Es empfängt also momentan etwas Verkehr. 51 00:05:02,530 --> 00:05:14,540 Aber lass uns nochmal einen Ping von Router 1 an Rodda machen und alle nach ICMP-Verkehr in der Ausgabe filtern. 52 00:05:14,550 --> 00:05:24,110 Hier können Sie sehen, dass der PC keinen ICMP-Verkehr vom Router 1 zum Router empfängt, 53 00:05:24,110 --> 00:05:33,950 und auf dieselbe Weise, wenn Rodda zwei Pings ist, wird kein ICMP-Verkehr auf dem Erfassungs-PC angezeigt. 54 00:05:34,110 --> 00:05:42,490 Ping aber der Windows-PC, der eine IP-Adresse von 10 hat. Um das Dreifache zu bemerken, sehen 55 00:05:46,170 --> 00:05:49,410 wir die ICMP-Pakete. 56 00:05:49,470 --> 00:05:59,730 Wer ist der Grund für den Schock, um den Verkehr von 10 1 auf 1 zu erfassen und zu 10 1 1 2 2 2 zu 57 00:05:59,730 --> 00:06:06,840 gelangen, so dass das Stück keinen Unicast-Verkehr erfassen kann, der von Rodda 1 zur Route gesendet wird. 58 00:06:06,850 --> 00:06:11,690 TE Was ist mit Multicast-Verkehr? 59 00:06:11,940 --> 00:06:20,650 In diesem Beispiel können Sie sehen, dass der ICMP-Verkehr an die Multicast-Adresse, also eine mit 60 00:06:20,650 --> 00:06:27,140 der IP-Adresse 10, empfangen wurde. 0 wunderte sich, ob man Verkehr an die Multicast-Adresse 61 00:06:27,140 --> 00:06:30,360 sendet. 2:39 fragte mich, ob man sich wunderte. 62 00:06:30,570 --> 00:06:36,140 Sie können als Beispiel sehen, dass die Quell-MAC-Adresse der Ziel-MAC-Adresse des Routers 1 0 63 00:06:36,140 --> 00:06:41,450 1 0 0 0 5 ist. Dies ist die Multicast-MAC-Adresse in IP-Version 4. 64 00:06:41,820 --> 00:06:43,980 Wie Sie dort sehen können. 65 00:06:44,490 --> 00:06:48,100 Wie wäre es mit einer Sendung, bei der Sie $ 10 eins zu eins zahlen. 66 00:06:48,130 --> 00:06:49,680 Das. 67 00:06:50,190 --> 00:06:55,340 Und ich werde das nur einmal wiederholen, wie Sie hier sehen können. 68 00:06:55,480 --> 00:07:00,050 Der Broadcast-Verkehr wird vom PC empfangen. 69 00:07:00,190 --> 00:07:08,460 Mit anderen Worten, Unicast-Verkehr, der von einem Gerät zum Erfassungsgerät übertragen wird, wird von diesem Port aus weitergeleitet und 70 00:07:10,680 --> 00:07:12,650 basiert auf der MAC-Adresse. 71 00:07:15,350 --> 00:07:21,910 Wie hier durch den 750-Switch am PC gelernt, wurde die MAC-Adresse in 72 00:07:26,520 --> 00:07:28,030 Windows so 73 00:07:31,170 --> 00:07:32,880 geändert, dass eine 74 00:07:36,040 --> 00:07:41,030 Reihe von Nullen und eine 1 verwendet wurde, sodass die 75 00:07:44,120 --> 00:07:54,750 MAC-Adresse 11 Nullen und eine 1 ist, die vom Switch auf Fast Ethernet 1 0 5 gelernt wurde wie hier gezeigt. 76 00:07:54,980 --> 00:08:03,820 Unicast-Datenverkehr wird an den PC weitergeleitet. Multicast-Datenverkehr wird an den PC weitergeleitet. Dies liegt daran, dass Multicast-MAC-Adressen nicht 77 00:08:03,850 --> 00:08:10,000 in derselben Weise zur MAC-Adresstabelle hinzugefügt werden, wie es bei den MAC-Adressen 78 00:08:10,000 --> 00:08:12,070 der Fall ist. 79 00:08:12,070 --> 00:08:15,330 Der Verkehr wird auch an den PC weitergeleitet. 80 00:08:15,550 --> 00:08:16,450 Zusammenfassend 81 00:08:20,720 --> 00:08:28,710 werde ich auf den Grund antworten, warum Shaw Captcha-Unicast-Verkehr, der von einer 82 00:08:28,710 --> 00:08:38,890 Eins an rodded 2 gesendet wird, nicht von dem Erfassungsgerät empfangen wird. Multicast-Verkehr wird empfangen. 83 00:08:38,970 --> 00:08:45,180 Wenn Sie den Datenverkehr von Rodda eins erfassen möchten, um ein Beispiel für die Fehlerbehebung 84 00:08:45,180 --> 00:08:53,260 zu schreiben, müssen Sie diesem Port oder Merlene die Verwendung des anderen Begriffs ermöglichen, damit der auf diesem Port oder 85 00:08:53,260 --> 00:09:00,370 dem Port gesendete und empfangene Datenverkehr ankommt Das Beispiel wird aus diesem Port herausgezogen, damit das Erfassungsgerät 86 00:09:00,370 --> 00:09:03,820 den Verkehr als ein anderes Beispiel sehen kann. 87 00:09:03,820 --> 00:09:12,520 Wenn wir von Rate a zu Ratatouille telnet und das Erfassungsgerät einloggt, wird der Telnet-Verkehr nicht angezeigt, so dass 88 00:09:12,520 --> 00:09:18,870 wir die Sitzung nicht sehen können, von der eine zu rodded geschrieben wurde. 89 00:09:19,060 --> 00:09:22,160 Das liegt daran, dass der Switch das tut, was er tun soll. 90 00:09:22,300 --> 00:09:28,750 Es leitet den Datenverkehr von dieser Schnittstelle an diese Schnittstelle weiter und sendet keine 91 00:09:28,750 --> 00:09:29,860 unnötigen Ports. 92 00:09:29,860 --> 00:09:34,770 Das Wissen der configfs reicht also, damit das Erfassungsgerät den Unicast-Verkehr sehen kann.