1 00:00:00,880 --> 00:00:09,040 Span o porto commutato ed Eliza ha anche chiamato Porta murthering o port Mont. un treno è un modo per configurare uno 2 00:00:09,280 --> 00:00:17,140 switch per fare copie di frame Ethernet che vengono ricevuti su determinati porti o determinati villani. 3 00:00:17,320 --> 00:00:24,100 Potresti dire ad esempio che tutto il traffico in arrivo sulla porta da gigabit a 1 0 1 viene copiato 4 00:00:24,100 --> 00:00:26,590 da un'altra porta gigabit 1 0 2. 5 00:00:27,040 --> 00:00:34,020 Oppure puoi dire che tutto il traffico che viene ricevuto o inviato sulla linea 1 viene copiato se 6 00:00:34,030 --> 00:00:41,620 gigabit 1 0 da spendere diventa davvero importante quando si desidera monitorare il traffico che non è destinato a un 7 00:00:41,620 --> 00:00:42,700 dispositivo specifico. 8 00:00:42,940 --> 00:00:49,540 Ad esempio, potresti avere un analizzatore di rete o un sistema di rilevamento delle intrusioni che deve monitorare il 9 00:00:49,660 --> 00:00:51,820 traffico che attraversa la tua rete. 10 00:00:51,820 --> 00:00:59,800 È possibile configurare uno switch per effettuare copie di frame da una porta locale o come si apprenderà in seguito utilizzare ciò che 11 00:01:00,220 --> 00:01:07,270 viene chiamato Remote span in cui si copiano i frame da uno switch locale a uno switch remoto in modo 12 00:01:07,300 --> 00:01:11,110 che una stazione di monitoraggio remota possa ricevere il traffico. 13 00:01:11,120 --> 00:01:18,590 Ora in questa tipologia non sto usando i tre Jeana's tre e Cisco viral non supporta attualmente 14 00:01:18,590 --> 00:01:19,790 lo spam. 15 00:01:19,790 --> 00:01:28,130 Quindi, quello che sto usando o fisico rodders Cisco che sono collegati a 29 50 switch Siska fisici che 16 00:01:28,130 --> 00:01:32,740 a loro volta sono collegati a 37 switch Cisco 50. 17 00:01:32,800 --> 00:01:39,840 Ho un PC collegato allo switch trentasette e cinquanta ed è in esecuzione Wireshark e lo useremo 18 00:01:39,850 --> 00:01:42,460 per catturare il traffico dalla rete. 19 00:01:42,460 --> 00:01:48,340 Ora ho intenzione di dimostrare in un momento che quando il traffico viene inviato da 20 00:01:48,340 --> 00:01:55,480 un router ad un altro che si unicast il traffico come ping o Telma è tutto inviato da 21 00:01:55,480 --> 00:02:03,280 uno a rodded al traffico verrà inviato al primo 21:15 che a sua volta verrà inviato al primo 30 750 22 00:02:03,310 --> 00:02:10,540 che a sua volta verrà inviato all'interruttore 30 7:52 e continuerà fino a quando il traffico che lo ha 23 00:02:11,040 --> 00:02:15,510 portato al PC che cattura non avrà visibilità del traffico unicast. 24 00:02:15,670 --> 00:02:21,400 Perché quando la tabella degli indirizzi Mac dello switch uno è popolata sta 25 00:02:21,760 --> 00:02:28,720 semplicemente spostando il traffico da questa interfaccia, ad esempio questa interfaccia per inoltrare il traffico 26 00:02:28,720 --> 00:02:37,050 a traffico Gerada verrà solo emessa da questa faccia se viene inviata a indirizzi unicast sconosciuti indirizzi multicast o 27 00:02:37,050 --> 00:02:41,810 indirizzi broadcast o specificatamente inviati al dispositivo di acquisizione. 28 00:02:41,880 --> 00:02:48,510 Quindi il dispositivo di cattura non avrà visibilità del traffico inviato da Rodda a rodded to unlace, 29 00:02:48,510 --> 00:02:53,680 abilitiamo lo spanne o il monitoraggio delle porte sull'interruttore trentasette e cinquanta. 30 00:02:53,970 --> 00:02:59,880 Quindi, in primo luogo dimostrare che il traffico inviato da Radio 1 a Ratatouille non viene ricevuto dal PC 31 00:02:59,880 --> 00:03:00,810 che cattura. 32 00:03:01,050 --> 00:03:08,390 E poi configureremo lo span sullo switch in modo che il PC sia in grado di catturare il traffico usando lo shock Y. 33 00:03:08,820 --> 00:03:20,840 La console del trentasette switch fifty mostra la tabella mac address alcuni indirizzi mac tutti elencati nella tabella quello che 34 00:03:24,220 --> 00:03:37,180 farò ora è il ping da Route 1 a Rodda per mostrare la breve interfaccia IP Ratto uno ha l'indirizzo IP e 35 00:03:37,690 --> 00:03:46,430 il router ha lo stesso Indirizzo IP che possiamo vedere sulla console di rockety. 36 00:03:46,530 --> 00:03:48,420 Quindi c'è l'indirizzo IP di Rockety Rodda 37 00:03:51,640 --> 00:03:54,770 che è ancora una volta in grado di scrivere anche su ping. 38 00:03:55,090 --> 00:04:02,730 Quindi, quando osserviamo la tabella degli indirizzi MAC, in precedenza avevamo solo quei tre indirizzi MAC 39 00:04:02,730 --> 00:04:03,950 nella tabella. 40 00:04:04,140 --> 00:04:10,750 Ma ora notiamo che abbiamo questo indirizzo MAC e l'indirizzo MAC nella tabella. 41 00:04:11,040 --> 00:04:17,700 Ho configurato l'indirizzo MAC di Rotto come segue. 42 00:04:17,700 --> 00:04:24,630 Quindi sto usando un indirizzo MAC del codice Cisco Venda e per semplificare ho specificato l'indirizzo MAC 43 00:04:24,630 --> 00:04:26,670 del router come segue. 44 00:04:27,410 --> 00:04:29,430 Sulla strada per ho fatto qualcosa di simile. 45 00:04:29,630 --> 00:04:36,720 Quindi l'indirizzo MAC è gli zeri del codice Cisco Venda e due. 46 00:04:36,740 --> 00:04:43,940 Quindi a questo punto il primo switch da trentasette e cinquanta ha imparato gli indirizzi MAC di Radu 47 00:04:44,000 --> 00:04:52,230 1 e rodef due per mantenere le cose semplici. Non ho configurato alcun villano su tutti i dispositivi su villaine, prendiamo 48 00:04:52,230 --> 00:04:53,420 il traffico. 49 00:04:53,490 --> 00:04:57,800 Perché shock sul nostro PC. 50 00:04:58,050 --> 00:05:02,410 Quindi attualmente sta ricevendo traffico. 51 00:05:02,530 --> 00:05:14,540 Ma facciamo un ping da Router one a Rodda per una volta ancora e tutti filtrano per il traffico ICMP nell'output. 52 00:05:14,550 --> 00:05:24,110 Qui puoi vedere che il PC non riceve traffico ICMP dal router 1 al router e 53 00:05:24,110 --> 00:05:33,950 allo stesso modo se i due ping Rodda sono uno senza traffico ICMP mostrato sul PC che cattura. 54 00:05:34,110 --> 00:05:42,490 Ma se si ping il PC Windows che ha un indirizzo IP di 10. 0 uno da una a una tripla per 55 00:05:46,170 --> 00:05:49,410 notare che vediamo i pacchetti ICMP. 56 00:05:49,470 --> 00:05:59,730 Quindi chi è il motivo per cui lo shock è in grado di catturare il traffico da 10 1 su uno andando a 10 1 1 2 2 2 57 00:05:59,730 --> 00:06:06,840 in modo che il pezzo non sia in grado di catturare il traffico unicast inviato da Rodda uno a rotta. 58 00:06:06,850 --> 00:06:11,690 TE Che dire del traffico multicast. 59 00:06:11,940 --> 00:06:20,650 In questo esempio è possibile vedere che il traffico ICMP è stato ricevuto all'indirizzo multicast quindi 60 00:06:20,650 --> 00:06:27,140 uno con indirizzo IP 10. 0 si chiedeva se uno trasmettesse 61 00:06:27,140 --> 00:06:30,360 il traffico all'indirizzo multicast 2:39. 62 00:06:30,570 --> 00:06:36,140 È possibile vedere come esempio che l'indirizzo MAC di origine dell'indirizzo MAC di destinazione del router uno 63 00:06:36,140 --> 00:06:41,450 è 0 1 0 0 0 5, che è l'indirizzo MAC multicast in IP versione 4. 64 00:06:41,820 --> 00:06:43,980 Come puoi vedere laggiù. 65 00:06:44,490 --> 00:06:48,100 Che dire di una trasmissione di pagare $ 10 uno a uno. 66 00:06:48,130 --> 00:06:49,680 Il. 67 00:06:50,190 --> 00:06:55,340 E lo ripeterò una volta come puoi vedere qui. 68 00:06:55,480 --> 00:07:00,050 Il traffico broadcast viene ricevuto dal PC. 69 00:07:00,190 --> 00:07:08,460 Quindi, in altre parole, il traffico unicast cosegnato da uno al dispositivo di acquisizione è completato da questa porta e 70 00:07:10,680 --> 00:07:12,650 si basa sull'indirizzo MAC. 71 00:07:15,350 --> 00:07:21,910 Mostrato qui come imparato dallo switch 750 sul PC acceso, ho cambiato l'indirizzo 72 00:07:26,520 --> 00:07:28,030 MAC in 73 00:07:31,170 --> 00:07:32,880 Windows per utilizzare un 74 00:07:36,040 --> 00:07:41,030 gruppo di zeri e un 1 quindi l'indirizzo MAC è 75 00:07:44,120 --> 00:07:54,750 11 zeri seguito da uno e quello è stato appreso dallo switch su Ethernet veloce 1 0 5 come mostrato qui. 76 00:07:54,980 --> 00:08:03,820 Il traffico unicast viene quindi inoltrato al PC. Il traffico multicast viene inoltrato al PC e questo perché gli indirizzi MAC multicast non 77 00:08:03,850 --> 00:08:10,000 vengono aggiunti alla tabella degli indirizzi MAC nello stesso modo in cui viene trasmesso un 78 00:08:10,000 --> 00:08:12,070 costo univoco agli indirizzi MAC. 79 00:08:12,070 --> 00:08:15,330 Il traffico viene inoltrato anche al PC. 80 00:08:15,550 --> 00:08:16,450 Quindi, 81 00:08:20,720 --> 00:08:28,710 per riassumere, risponderò al motivo per cui Shaw captcha, traffico unicast inviato da uno a 82 00:08:28,710 --> 00:08:38,890 2 rodded non viene ricevuto dal dispositivo di acquisizione del traffico multicast ricevuto viene ricevuto il traffico di trasmissione. 83 00:08:38,970 --> 00:08:45,180 Se vogliamo catturare il traffico da Rodda uno per scrivere un due per la risoluzione dei problemi come 84 00:08:45,180 --> 00:08:53,260 un esempio avremmo bisogno di abilitare spanne su questo porto o Merlene per usare l'altro termine in modo che il traffico inviato e ricevuto 85 00:08:53,260 --> 00:09:00,370 su questo porto o sul porto uno in l'esempio viene estratto da questa porta in modo che il dispositivo di 86 00:09:00,370 --> 00:09:03,820 acquisizione possa vedere il traffico come un altro esempio. 87 00:09:03,820 --> 00:09:12,520 Se trasmettiamo telnet da rate a Ratatouille e connettiamo il dispositivo di acquisizione, non vediamo il traffico telnet, 88 00:09:12,520 --> 00:09:18,870 quindi non possiamo vedere la sessione da quella scritta a quella da battere. 89 00:09:19,060 --> 00:09:22,160 E questo perché l'interruttore sta facendo ciò che dovrebbe fare. 90 00:09:22,300 --> 00:09:28,750 Sta inoltrando il traffico da questa interfaccia a questa interfaccia e non inviandolo da porte 91 00:09:28,750 --> 00:09:29,860 non necessarie. 92 00:09:29,860 --> 00:09:34,770 In questo modo le informazioni sulla configurazione possono essere visualizzate in modo che il dispositivo di acquisizione possa vedere il traffico unicast.