来源:ChinaITLab 收集整理
2004-7-31 10:03:00
所谓侦听端口是指这样
端口,缺省的情况下交换机
一个端口,所有通过被侦听端口
上的这种功能是被屏蔽(Disable
的流量都会被自动复制一份传至该
)的。如果需要可以手工设置。
Egress Traffic: 离开交换机的流量
Ingress Traffic: 进入交换机的流量
Source Span ports: 被侦听端口
Destination Span Port: 侦听端口
Administrative Sourc
e : 所有配置为被侦听口或被侦
听vlan 的列表
一、Cisco Catalyst 4000, 5000, and 6000 Series 系列交换机,有关设置侦听端口的命令由一系列set span 命令组成
switch (enable) set span
Usage: set span disa
ble [dest_mod/dest_port|all]
set span <src_mod/src_ports...|src_vlans...|sc0>
<dest_mod/dest_port> [rx|tx|both]
[inpkts <enable|disable>]
注:src_mod 是指被侦听的端口号;
src_ports 是指被侦听端口所在的模块号;
dest_mod,是指侦听端口号;dest_po
名,表示属于该vlan 的端口都是被侦听
的包;both 是指侦听收、发双方向的包
rt 是指侦听端口所在的模块号;src_vlan 是vlan
端口;rx 是指只侦听接收的包;tx 是指只侦听发送
。
配置过程如下:
1、使用基于端口的侦听方式:
switch (enable) set span enable
switch (enable) set span 6/1,6/3 6/2
2000 Sep 05 07:17:36
%SYS-5-SPAN_CFGSTATECHG:loc
al span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3
Oper Source : Port 6/1,6/3
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:1
7:36 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
这条命令执行后,端口
6/2 上的机器将能接收到通
6/2 设置为侦听口,端口6/1,6
过端口6/1,6/3 的所有流量。
/3 设置为被侦听口。接在端口
2、使用基于vlan 的侦听方式:
switch (enable) set span enable
switch (enable) set span 2,3 6/2
2000 Sep 05 07:40:10
%SYS-5-SPAN_CFGSTATECHG:loc
al span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000
Sep 05 07:40:10 %SYS-5-SPAN
_CFGSTATECHG:local span
session active for destination port 6/2
这条命令执行后,端口6/2 设置为侦
接在端口6/2 上的机器将能接收到通过属
听口,属于vlan 2,3 的所有端口设置为被侦听口。
于vlan 2,3 的端口的所有流量。
3、可以使用命令Switch(enable) sh
ow span 来查看设置的结果:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
注:侦听口与被侦听口可以不属于同一个vlan。
二、Cisco Catalyst 2900XL/3500XL/2950 系列交换机,配置命令为:
Switch(config-if)#po
rt monitor interface
注:interface 是指侦听端口。
举例:我们要将接口Fa
下:
0/1 设置为侦听口,Fa0/2 及Fa
0/5 设置为被侦听口,基本过程如
1、在配置模式下,首先选择接口Fa0/1:
Switch(config)#int fa0/1
输入被侦听端口:
Switch(config-if)#port monitor f
astEthernet 0/2
Switch(config-if)#po
rt monitor fastEthernet 0/5
指定管理端口:
Switch(config-if)#port monitor VLAN 1
这条命令并不意味着接
口Fa0/1 将侦听vlan 1 的所有
端口,它只是用来指定管理接口。
退出保存后,接口Fa0/1 设置为侦听
Fa0/1 上的机器将能接收到通过接口Fa0/
口,接口Fa0/2,Fa0/5 设置为被侦听口。连接在接口
2,Fa0/5 的流量。
可以用命令Switch# sh
ow port monitor 来查看设置的
结果:
Switch#show port monitor
Monitor Port Port Being Monitored>FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
注:侦听口与被侦听口必须属于同一个vlan。
说了这么多的废话,只是的简单的介绍了下交换机侦听口这个东西和它的强大应用。
以及如果被入侵者利用的一个危害。
是默认的口令和SNMP 的关键字的问题都
所以建议对于网络中设备的安全也不应该忽视,尤其
是需要注意,另外像WEB 这种服务最好也不好开。
CISCO 的设备很多都可
介绍)。总之保证网络中的
。
以利用WEB 服务的越权访问漏洞
每一个接点的安全才可以最终构
进去的(在我其他的文章里有详细
建出一个真正安全的网络工作环境
