Мониторинг трафика SPAN + iptraf

Порой требуется мониторить трафик, проходящий через порт/ы коммутатора, в IOS есть возможность зеркалировать трафик определенного порта или группы портов на другой порт для дальнейшего анализа трафика.

Настроить мониторинг трафика очень просто, понадобится настроить Switched Port Analyzer (SPAN) на коммутаторе cisco и установить iptraf на компьютере с ОС linux (FreeBSD - trafshow, Windows - Wireshark) ну или tcpdump :).

Дано:

• Коммутатор Cisco 2960;
• Ubuntu server 8.10.

ШАГ 1. SPAN

1. enable
2. configure terminal
3. monitor session session_number source {interface interface-id | vlan vlan-id} [, | -] [both | rx | tx]
4. monitor session session_number destination {interface interface-id [, | -] [encapsulation {dot1q | replicate}]}
5. end

Более детальное описание параметров http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swspan.html#wp1207676

пример:

!
monitor session 1 source vlan 1 - 2
monitor session 1 destination interface Fa0/5
!

ШАГ 2. IPTRAF

Устанавливаем

sudo adt-get install iptraf

запускаем

sudo iptraf

Включаем режим прослушивания


и мониторим

Cisco DCHP Server постоянная привязка (DHCP Static Mapping)

В IOS DHCP server присваивать постоянные IP адреса можно двумя способами: через создание отдельных пулов для каждого узла или используя структурированный текстовый файл, (Static Mapping Text File) из которого DHCP сервер считывает данные о сопоставлении IP и аппаратном адресах (hardware address).

Создание файла
Файл содержит следующие элементы:

1. Дата и время создания файла;
2. Версия базы;
3. IP адрес;
4. Тип оборудования;
5. Аппаратный адрес;
6. Срок окончания аренды;
7. Тег окончания файла.

*time* Jul 17 2009 12:57 PM
*version* 2
!IP_addr htype haddr Lease_expiration
192.168.1.119 /24 id 0100.248c.58a8.85 Infinite
192.168.1.120 /24 id 0100.15f2.a1c5.e1 Infinite
192.168.1.121 /24 id 0100.1cc0.1584.24 Infinite
*end*

IP_addr -Постоянный IP адрес. Маска подсети задается через пробел.

htype - Тип оборудования, например "1" обозначает, что оборудование подключено по Ethernet интерфейсу, а значение "id" говорит о том, что в поле haddr будет указан client identifer. Как сказано в RFC 2132, Client identifer представляет собой значение, состоящее из пары "htype/haddr", где htype - тип оборудования (допустимые значения можно найти здесь http://www.iana.org/assignments/arp-parameters/) и haddr аппаратного адреса (адреса, возвращаемого по ARP запросу).

haddr - данное поле может содержать - аппаратный адрес устройства, идентификатор клиента Client-Identifer.

Type Client-Identifier

+-----+-----+-----+---
| t1 | i1 | i2 | ...
+-----+-----+-----+---

В случае с Ethernet запись будет выглядеть слудующим образом
0100.15f2.a1c5.e1
первые 2 цифры t1 определяют htype далее идет MAC адрес интерфейса;
Lease_expiration - дата окончания аренды адреса. Указываем "Infinite", что обозначает бессрочную аренду.

Конфигурируем DHCP сервер

1. enable
2. configure terminal
3. ip dhcp pool name
4. origin file url
5. end

Пример
!
ip dhcp pool POOL_NAME
origin file tftp://192.168.77.2/dhcp-static
dns-server 192.168.1.20 192.168.1.21
default-router 192.168.1.1
!

После внесения изменений в файл необходимо перезапустить DHCP сервер

1. enable
2. configure terminal
3. no service dhcp
4. service dhcpend

Отладка
Просмотреть правильно ли внесена информация в файл и какие записи попали в таблицу DHCP сервера можно командой:
show ip dhcp binding
Ну и конечно же пользоваться отладкой
debug ip dhcp server [...] ?