1 00:00:00,880 --> 00:00:09,040 Port ou port changé et Eliza a également appelé Porta murthering ou port Mont. un train est un moyen de configurer 2 00:00:09,280 --> 00:00:17,140 un commutateur pour faire des copies des trames Ethernet reçues sur certains ports ou certains villans. 3 00:00:17,320 --> 00:00:24,100 Vous pouvez par exemple dire que tout le trafic arrivant sur le port gigabit à 1 0 1 est copié à partir 4 00:00:24,100 --> 00:00:26,590 d’un autre gigabit de port 1 0 2. 5 00:00:27,040 --> 00:00:34,020 Vous pouvez également dire que tout le trafic reçu ou envoyé sur la ligne 1 est copié si le 6 00:00:34,030 --> 00:00:41,620 gigabit 1 0 à dépenser devient vraiment important lorsque vous souhaitez surveiller le trafic qui n'est pas destiné à un 7 00:00:41,620 --> 00:00:42,700 périphérique spécifique. 8 00:00:42,940 --> 00:00:49,540 Par exemple, vous pouvez avoir un analyseur de réseau ou un système de détection d'intrusion qui doit surveiller le 9 00:00:49,660 --> 00:00:51,820 trafic qui traverse votre réseau. 10 00:00:51,820 --> 00:00:59,800 Vous pouvez configurer un commutateur pour faire des copies de trames à partir d'un port local ou, comme vous le constaterez plus tard, 11 00:01:00,220 --> 00:01:07,270 utilisez ce qu'on appelle Remote span (Étendue distante), dans lequel vous copiez des trames d'un commutateur local vers un commutateur 12 00:01:07,300 --> 00:01:11,110 distant, de sorte qu'un poste de surveillance distant puisse trafic. 13 00:01:11,120 --> 00:01:18,590 Maintenant, dans cette typologie, je n'utilise pas les trois 14 00:01:18,590 --> 00:01:19,790 Jeana. 15 00:01:19,790 --> 00:01:28,130 Donc, ce que j'utilise ou des rodders physiques Cisco connectés à 29 50 commutateurs Siska 16 00:01:28,130 --> 00:01:32,740 physiques, eux-mêmes connectés à 37 50 commutateurs Cisco. 17 00:01:32,800 --> 00:01:39,840 J'ai un ordinateur connecté au commutateur trente sept heures cinquante et il exécute Wireshark. Nous l'utilisons pour 18 00:01:39,850 --> 00:01:42,460 capturer le trafic du réseau. 19 00:01:42,460 --> 00:01:48,340 Maintenant, je vais démontrer dans un instant que lorsque le trafic est envoyé d’un routeur à 20 00:01:48,340 --> 00:01:55,480 un autre, le trafic de monodiffusion tel que les pings ou Telma est tout envoyé de l'un à l'autre, 21 00:01:55,480 --> 00:02:03,280 le trafic est envoyé au premier 21h15 qui à son tour, il sera envoyé aux premiers 30 750, qui le seront 22 00:02:03,310 --> 00:02:10,540 à leur tour au commutateur 30 7:52 et qui se poursuivra jusqu'à l'arrivée du trafic qui l'a amené au PC 23 00:02:11,040 --> 00:02:15,510 de capture n'aura pas de visibilité sur le trafic en monodiffusion. 24 00:02:15,670 --> 00:02:21,400 Parce que lorsque la table d'adresses Mac du commutateur 1 est remplie, il va 25 00:02:21,760 --> 00:02:28,720 simplement basculer le trafic de cette interface vers, par exemple, cette interface pour transférer le trafic Gerada au 26 00:02:28,720 --> 00:02:37,050 trafic ne sera envoyé à partir de ce visage que s'il est envoyé à des adresses de monodiffusion inconnues. adresses de multidiffusion 27 00:02:37,050 --> 00:02:41,810 ou adresses de diffusion ou spécifiquement envoyées au périphérique de capture. 28 00:02:41,880 --> 00:02:48,510 Ainsi, le dispositif de capture n'aura aucune visibilité sur 29 00:02:48,510 --> 00:02:53,680 le trafic envoyé de Rodda à Rodda. 30 00:02:53,970 --> 00:02:59,880 Commencez donc par démontrer que le trafic envoyé de Radio 1 à Ratatouille n’est pas reçu par le PC en 31 00:02:59,880 --> 00:03:00,810 cours de capture. 32 00:03:01,050 --> 00:03:08,390 Ensuite, nous configurerons le commutateur de manière à ce que le PC puisse capturer le trafic à l’aide d’un choc Y. 33 00:03:08,820 --> 00:03:20,840 La console du tableau des adresses MAC du commutateur trente-sept-cinquante-une-certaines des adresses mac énumérées dans le tableau que 34 00:03:24,220 --> 00:03:37,180 je vais faire maintenant est un ping de la Route 1 à la Rodda pour afficher une brève interface 35 00:03:37,690 --> 00:03:46,430 IP. Adresse IP que l'on peut voir sur la console de rockety. 36 00:03:46,530 --> 00:03:48,420 Donc, il y a l'adresse IP de 37 00:03:51,640 --> 00:03:54,770 Rockety Rodda, une fois encore, elle est capable de faire un ping. 38 00:03:55,090 --> 00:04:02,730 Ainsi, lorsque nous examinons la table d'adresses MAC, celle-ci ne contenait auparavant que ces trois 39 00:04:02,730 --> 00:04:03,950 adresses MAC. 40 00:04:04,140 --> 00:04:10,750 Mais notons maintenant que nous avons cette adresse MAC ainsi que l’adresse MAC dans le tableau. 41 00:04:11,040 --> 00:04:17,700 J'ai configuré l'adresse MAC de Rotto one comme suit. 42 00:04:17,700 --> 00:04:24,630 J'utilise donc une adresse MAC de code Cisco Venda et, pour simplifier les choses, j'ai spécifié l'adresse 43 00:04:24,630 --> 00:04:26,670 MAC du routeur comme suit. 44 00:04:27,410 --> 00:04:29,430 En route pour j'ai fait quelque chose de similaire. 45 00:04:29,630 --> 00:04:36,720 L'adresse MAC correspond donc aux zéros et aux deux zéros du code de Cisco Venda. 46 00:04:36,740 --> 00:04:43,940 Donc, à ce stade, le premier commutateur trente-sept heures cinquante a appris sur les adresses MAC de 47 00:04:44,000 --> 00:04:52,230 Radu 1 et rodef deux pour simplifier les choses. Je n'ai configuré aucun villanier ni aucun appareil sur la 48 00:04:52,230 --> 00:04:53,420 villaine un. 49 00:04:53,490 --> 00:04:57,800 Pourquoi choquer sur notre PC. 50 00:04:58,050 --> 00:05:02,410 Donc, il reçoit actuellement du trafic. 51 00:05:02,530 --> 00:05:14,540 Mais faisons un ping du routeur un à Rodda pour filtrer le trafic ICMP dans la sortie. 52 00:05:14,550 --> 00:05:24,110 Ici, vous pouvez voir que le PC ne reçoit pas de trafic ICMP du routeur 1 à routeur et 53 00:05:24,110 --> 00:05:33,950 de la même manière que si Rodda deux pings sont identiques, aucun trafic ICMP n’est affiché sur le PC de capture. 54 00:05:34,110 --> 00:05:42,490 Mais si on fait un ping sur le PC Windows qui a une adresse IP de 10. 0 celui-là sur un triple pour remarquer que 55 00:05:46,170 --> 00:05:49,410 nous voyons les paquets ICMP. 56 00:05:49,470 --> 00:05:59,730 Alors, pourquoi Shock est capable de capturer le trafic de 10 1 sur 1 à 10 1 1 2 2 2, de sorte que 57 00:05:59,730 --> 00:06:06,840 la pièce ne peut pas capturer le trafic de monodiffusion envoyé de Rodda à la route. 58 00:06:06,850 --> 00:06:11,690 TE Qu'en est-il du trafic multicast? 59 00:06:11,940 --> 00:06:20,650 Dans cet exemple, vous pouvez voir que le trafic ICMP a été reçu à l'adresse de multidiffusion, 60 00:06:20,650 --> 00:06:27,140 donc à l'adresse IP 10. 0 se demandait si on envoyait du trafic à 61 00:06:27,140 --> 00:06:30,360 l'adresse de multidiffusion 2:39 se demandait un. 62 00:06:30,570 --> 00:06:36,140 Vous pouvez voir, à titre d'exemple, que l'adresse MAC source de l'adresse MAC de destination du routeur 1 est 63 00:06:36,140 --> 00:06:41,450 0 0 0 0 0 5, qui correspond à l'adresse MAC de multidiffusion de la version 4 d'IP. 64 00:06:41,820 --> 00:06:43,980 Comme vous pouvez le voir là-bas. 65 00:06:44,490 --> 00:06:48,100 Qu'en est-il d'une émission de 10 $ payant en un. 66 00:06:48,130 --> 00:06:49,680 Le. 67 00:06:50,190 --> 00:06:55,340 Et je vais juste répéter cela une fois, comme vous pouvez le voir ici. 68 00:06:55,480 --> 00:07:00,050 Le trafic de diffusion est reçu par le PC. 69 00:07:00,190 --> 00:07:08,460 En d'autres termes, le trafic en monodiffusion cosigné d'un périphérique à un périphérique de capture est extrait de ce port et 70 00:07:10,680 --> 00:07:12,650 basé sur l'adresse mac. 71 00:07:15,350 --> 00:07:21,910 Ici, comme indiqué par le commutateur 750 du PC, les adresses MAC de Windows 72 00:07:26,520 --> 00:07:28,030 ont été 73 00:07:31,170 --> 00:07:32,880 modifiées en un nombre 74 00:07:36,040 --> 00:07:41,030 de zéros et un 1, de sorte que l’adresse MAC est 75 00:07:44,120 --> 00:07:54,750 de 11 zéros, suivie d’un signe et qui a été mémorisée par le commutateur en Fast Ethernet 1 0 5 comme indiqué ici. 76 00:07:54,980 --> 00:08:03,820 Ainsi, le trafic unicast est transféré vers le PC. Le trafic multidiffusion est transféré vers le PC, car les adresses MAC de multidiffusion ne 77 00:08:03,850 --> 00:08:10,000 sont pas ajoutées à la table des adresses MAC de la même manière qu'un coût unique pour 78 00:08:10,000 --> 00:08:12,070 les adresses MAC est diffusé. 79 00:08:12,070 --> 00:08:15,330 Le trafic est également transmis au PC. 80 00:08:15,550 --> 00:08:16,450 Donc, 81 00:08:20,720 --> 00:08:28,710 pour résumer, je vais répondre aux raisons pour lesquelles le trafic unicast de Shaw captcha envoyé d’un 82 00:08:28,710 --> 00:08:38,890 destinataire à rodded 2 n’est pas reçu par le périphérique de capture. Trafic multidiffusion est reçu trafic de diffusion est reçu. 83 00:08:38,970 --> 00:08:45,180 Si nous voulons capturer le trafic de Rodda, un exemple est nécessaire pour permettre à 84 00:08:45,180 --> 00:08:53,260 Spanne sur ce port ou à Merlene d’utiliser l’autre terme de sorte que le trafic envoyé et reçu sur ce 85 00:08:53,260 --> 00:09:00,370 port ou le port à terre l'exemple est extrait de ce port afin que le périphérique de capture 86 00:09:00,370 --> 00:09:03,820 puisse voir le trafic comme un autre exemple. 87 00:09:03,820 --> 00:09:12,520 Si nous transmettons un message telnet à Ratatouille et que nous nous connectons, le périphérique de capture ne voit pas 88 00:09:12,520 --> 00:09:18,870 le trafic telnet, nous ne pouvons donc pas voir la session écrite de celui-ci. 89 00:09:19,060 --> 00:09:22,160 Et c'est parce que l'interrupteur fait ce qu'il est censé faire. 90 00:09:22,300 --> 00:09:28,750 Il transfère le trafic de cette interface à cette interface et ne l'envoie pas par des 91 00:09:28,750 --> 00:09:29,860 ports inutiles. 92 00:09:29,860 --> 00:09:34,770 Ainsi, les configfs de connaissance s'étendent de sorte que le périphérique de capture puisse voir le trafic en monodiffusion.