1 00:00:00,880 --> 00:00:09,040 Span ou porto comutado e Eliza também chamado Porta murthering ou porta Mont. Um trem é uma maneira de configurar um 2 00:00:09,280 --> 00:00:17,140 switch para fazer cópias de quadros Ethernet recebidos em certas portas ou certos vilões. 3 00:00:17,320 --> 00:00:24,100 Você poderia dizer como exemplo que todo o tráfego que chega em gigabit de porta para 1 0 1 é copiado 4 00:00:24,100 --> 00:00:26,590 de outro gigabit de porta 1 0 2. 5 00:00:27,040 --> 00:00:34,020 Ou você pode dizer que todo o tráfego recebido ou enviado na linha 1 é copiado se gigabit 6 00:00:34,030 --> 00:00:41,620 1 0 para gastar se tornar realmente importante quando você quiser monitorar o tráfego que não é destinado a 7 00:00:41,620 --> 00:00:42,700 um dispositivo específico. 8 00:00:42,940 --> 00:00:49,540 Por exemplo, você pode ter um analisador de rede ou sistema de detecção de invasão que precisa monitorar 9 00:00:49,660 --> 00:00:51,820 o tráfego que atravessa sua rede. 10 00:00:51,820 --> 00:00:59,800 Você pode configurar um comutador para fazer cópias de quadros de uma porta local ou, como você aprenderá mais tarde, usar 11 00:01:00,220 --> 00:01:07,270 o que é chamado de Extensão remota, onde você copia quadros de um comutador local para um comutador remoto 12 00:01:07,300 --> 00:01:11,110 para que uma estação de monitoramento remoto possa receber tráfego. 13 00:01:11,120 --> 00:01:18,590 Agora, nessa tipologia, não estou usando os três três Jeana de Jeana e o Cisco viral atualmente 14 00:01:18,590 --> 00:01:19,790 não suporta spam. 15 00:01:19,790 --> 00:01:28,130 Então, o que eu estou usando ou os rodders físicos da Cisco que estão conectados a 29 50 switches Siska físicos 16 00:01:28,130 --> 00:01:32,740 que, por sua vez, estão conectados a 37 50 switches da Cisco. 17 00:01:32,800 --> 00:01:39,840 Eu tenho um PC conectado ao switch trinta e sete e cinquenta e ele está executando o Wireshark e vamos 18 00:01:39,850 --> 00:01:42,460 usá-lo para capturar o tráfego da rede. 19 00:01:42,460 --> 00:01:48,340 Agora eu vou demonstrar em um momento que quando o tráfego é enviado de um para 20 00:01:48,340 --> 00:01:55,480 roteador para outro que você unicast tráfego, como pings ou Telma é tudo enviado de um para rodding para 21 00:01:55,480 --> 00:02:03,280 o tráfego será enviado para o primeiro 21:15 que por sua vez será enviado para o primeiro 30 750 que por 22 00:02:03,310 --> 00:02:10,540 sua vez será enviado para o switch 30 7:52 e que continuará até o tráfego chegar que o trouxe 23 00:02:11,040 --> 00:02:15,510 para o PC de captura não terá visibilidade do tráfego unicast. 24 00:02:15,670 --> 00:02:21,400 Porque quando a tabela de endereços do Mac do switch 1 estiver preenchida, ele 25 00:02:21,760 --> 00:02:28,720 simplesmente mudará o tráfego dessa interface para, por exemplo, essa interface para encaminhar o tráfego de 26 00:02:28,720 --> 00:02:37,050 Gerada para o tráfego que será enviado apenas dessa face se for enviada para endereços unicast desconhecidos endereços multicast ou 27 00:02:37,050 --> 00:02:41,810 endereços de broadcast ou especificamente enviados para o dispositivo de captura. 28 00:02:41,880 --> 00:02:48,510 Assim, o dispositivo de captura não terá visibilidade do tráfego enviado de Rodda 1 para rodar para 29 00:02:48,510 --> 00:02:53,680 desarmar, permitindo a monitoração spanne ou port no switch trinta e sete e cinquenta. 30 00:02:53,970 --> 00:02:59,880 Então, em primeiro lugar, demonstre que o tráfego enviado da Radio 1 para Ratatouille não é recebido pelo 31 00:02:59,880 --> 00:03:00,810 PC de captura. 32 00:03:01,050 --> 00:03:08,390 Em seguida, configuraremos o intervalo no comutador para que o PC possa capturar o tráfego usando Y shock. 33 00:03:08,820 --> 00:03:20,290 O console do switch trinta e sete cinquenta mostrar tabela de endereços MAC alguns endereços mac todos listados na tabela 34 00:03:20,290 --> 00:03:20,840 o 35 00:03:24,220 --> 00:03:37,180 que eu vou fazer agora é ping da rota 1 para Rodda para mostrar breve interface IP Ratto um tem o endereço IP 36 00:03:37,690 --> 00:03:46,430 e roteador para tem o mesmo Endereço IP que podemos ver no console do rockety. 37 00:03:46,530 --> 00:03:48,420 Portanto, há o endereço IP do 38 00:03:51,640 --> 00:03:54,770 rocket Rodda que mais uma vez é capaz de pingar também. 39 00:03:55,090 --> 00:04:02,730 Então, quando olhamos para o escritório da tabela de endereços MAC, que anteriormente tínhamos apenas esses três endereços 40 00:04:02,730 --> 00:04:03,950 MAC na tabela. 41 00:04:04,140 --> 00:04:10,750 Mas agora note que temos esse endereço MAC, bem como o endereço MAC na tabela. 42 00:04:11,040 --> 00:04:17,700 Eu configurei o endereço MAC do Rotto um da seguinte maneira. 43 00:04:17,700 --> 00:04:24,630 Então, estou usando um endereço MAC do código Cisco Venda e, para simplificar, eu especifiquei o endereço MAC do 44 00:04:24,630 --> 00:04:26,670 roteador 1 da seguinte maneira. 45 00:04:27,410 --> 00:04:29,430 No caminho para eu fiz algo parecido. 46 00:04:29,630 --> 00:04:36,720 Portanto, o endereço MAC é o zeros do código Cisco Venda e dois. 47 00:04:36,740 --> 00:04:43,940 Então, neste ponto, o primeiro switch de trinta e sete e cinquenta aprendeu sobre os endereços MAC de Radu 48 00:04:44,000 --> 00:04:52,230 1 e rodef dois para manter as coisas simples. Eu não configurei nenhum vilão para todos os dispositivos em villaine, vamos 49 00:04:52,230 --> 00:04:53,420 capturar o tráfego. 50 00:04:53,490 --> 00:04:57,800 Por que chocar no nosso PC. 51 00:04:58,050 --> 00:05:02,410 Por isso, atualmente está recebendo algum tráfego. 52 00:05:02,530 --> 00:05:14,540 Mas vamos fazer um ping do roteador 1 para o Rodda novamente e filtrar o tráfego ICMP na saída. 53 00:05:14,550 --> 00:05:24,110 Aqui você pode ver que o PC não está recebendo nenhum tráfego ICMP do roteador 1 para o roteador e, 54 00:05:24,110 --> 00:05:33,950 da mesma forma, se dois pings do Rodda não forem um, nenhum tráfego ICMP será mostrado no PC de captura. 55 00:05:34,110 --> 00:05:42,490 Mas se alguém pinga o Windows PC, que tem um endereço IP de 10. 0 um que um a um triplo para 56 00:05:46,170 --> 00:05:49,410 percebermos que vemos os pacotes ICMP. 57 00:05:49,470 --> 00:05:59,730 Então, por que o shock é capaz de capturar o tráfego de 10 1 em um indo para 10 1 1 2 2 2, 58 00:05:59,730 --> 00:06:06,840 então a peça não é capaz de capturar o tráfego unicast enviado de Rodda para o caminho. 59 00:06:06,850 --> 00:06:11,690 TE E quanto ao tráfego multicast. 60 00:06:11,940 --> 00:06:20,650 Neste exemplo, você pode ver que o tráfego ICMP foi recebido para o endereço multicast 61 00:06:20,650 --> 00:06:27,140 para um endereço IP 10. 0 se perguntou se alguém está enviando tráfego para 62 00:06:27,140 --> 00:06:30,360 o endereço de multicast 2:39 se perguntou um deles. 63 00:06:30,570 --> 00:06:36,140 Você pode ver como exemplo que o endereço MAC de origem do endereço MAC de destino do roteador 64 00:06:36,140 --> 00:06:41,450 é 0 1 0 0 0 5, que é o endereço MAC multicast no IP versão 4. 65 00:06:41,820 --> 00:06:43,980 Como você pode ver lá. 66 00:06:44,490 --> 00:06:48,100 Que tal uma transmissão de pagar US $ 10 um para um? 67 00:06:48,130 --> 00:06:49,680 O. 68 00:06:50,190 --> 00:06:55,340 E vou repetir isso uma vez, como você pode ver aqui. 69 00:06:55,480 --> 00:07:00,050 O tráfego de transmissão está sendo recebido pelo PC. 70 00:07:00,190 --> 00:07:08,460 Então, em outras palavras, o tráfego unicast que é atribuído de um para o dispositivo de captura é forçado para fora dessa porta 71 00:07:10,680 --> 00:07:12,650 e é baseado no endereço mac. 72 00:07:15,350 --> 00:07:21,910 Mostrado aqui como aprendido pelo switch 750 no PC em ter alterado o 73 00:07:26,520 --> 00:07:28,030 endereço MAC no 74 00:07:31,170 --> 00:07:32,880 Windows usar um 75 00:07:36,040 --> 00:07:41,030 monte de zeros e um 1 para o endereço MAC 76 00:07:44,120 --> 00:07:54,750 é de 11 zeros seguidos por um e que foi aprendido pelo switch na Ethernet rápida 1 0 5 como mostrado aqui. 77 00:07:54,980 --> 00:08:03,820 Assim, o tráfego unicast é encaminhado para o tráfego multicast do PC é encaminhado para o PC e isso ocorre porque os endereços MAC 78 00:08:03,850 --> 00:08:10,000 multicast não são adicionados à tabela de endereços MAC da mesma maneira que um custo exclusivo para 79 00:08:10,000 --> 00:08:12,070 os endereços MAC é transmitido. 80 00:08:12,070 --> 00:08:15,330 O tráfego também é encaminhado para o PC. 81 00:08:15,550 --> 00:08:16,450 Então, para 82 00:08:20,720 --> 00:08:28,710 resumir, responderei ao porque o tráfego unicast do captcha Shaw enviado de um para o 2 83 00:08:28,710 --> 00:08:38,890 rodeado não é recebido pelo dispositivo de captura O tráfego multicast é recebido O tráfego de difusão recebido é recebido. 84 00:08:38,970 --> 00:08:45,180 Se quisermos capturar o tráfego de Rodda um para escrever um dois para solução de problemas 85 00:08:45,180 --> 00:08:53,260 como um exemplo, precisaríamos habilitar spanne nesta porta ou Merlene para usar o outro termo para que o tráfego enviado e 86 00:08:53,260 --> 00:09:00,370 recebido nessa porta ou na porta em terra um em o exemplo é extraído dessa porta para que o 87 00:09:00,370 --> 00:09:03,820 dispositivo de captura possa ver o tráfego como outro exemplo. 88 00:09:03,820 --> 00:09:12,520 Se nós telnetarmos a partir da taxa de um para Ratatouille e logarmos no dispositivo de captura, não veremos o 89 00:09:12,520 --> 00:09:18,870 tráfego de telnet, então não podemos ver a sessão de uma escrita para outra também. 90 00:09:19,060 --> 00:09:22,160 E isso porque o switch está fazendo o que é suposto fazer. 91 00:09:22,300 --> 00:09:28,750 Ele está encaminhando o tráfego dessa interface para essa interface e não a envia de 92 00:09:28,750 --> 00:09:29,860 portas desnecessárias. 93 00:09:29,860 --> 00:09:34,770 Assim, as configurações de conhecimento se estendem para que o dispositivo de captura possa ver o tráfego unicast.