A guide to port mirroring on cisco (span) switches

Как настроить порт Mikrotik для IPTV-приставки

Это самый распространённый способ настроить телевидение на Микротике. Алгоритм действий здесь следующий: мы отделяем один LAN-порт от группы других и привязываем его к специально созданному мосту Bridge, благодаря чему приставка смотрит напрямую в сеть провайдера так, как будто включена в неё напрямую. Такая схема используется в Билайне, МТС, Дом.ру и некоторой части филиалов Ростелеком. Именно этот способ Вы встретите в большинстве инструкций, которые встречаются на блогах и форумах.

Начинаем с того, что через WinBox подключаемся к устройству и открываем раздел Bridge и вкладку Ports.

Свою ТВ-приставку я подключаю в 4й LAN-порт. У микротиков порты считаются начиная с WAN и потому в списке 4й порт подписан как Ether5. Кликаем на него мышкой и нажимаем на кнопку с красным минусом.

Следующим шагом создаём новое соединение типа «прозрачный мост» — раздел Bridge, вкладка Bridge и нажимаем на кнопку с плюсом:

Я дал название новое моста «IPTV-br0», чтобы сразу было понятно, что он относится к цифровому телевидению. Нажимаем кнопку «ОК».

Теперь в том же разделе открываем вкладку Ports и здесь нажимаем кнопочку с плюсом, чтобы добавить порт к мостовому соединению:

В поле «Interface» выбираем Ether5, в который мы будем включать STB-ресивер. В списке «Bridge» надо выбрать мост, который я создал для ТВ — IPTV-br0. Нажимаем на кнопку «ОК».

Повторяем тот же самый шаг, только теперь добавляем в мост ещё и WAN-порт, который в списке числится как Ether1.

После этого Вам надо будет перезагрузить свой роутер, выбрав раздел меню «System» → «Reboot». Перезагрузка занимает пару минут, после чего снова коннектимся к Микротику и открываем раздел Interfaces.

Обратите внимание, что сейчас устройство не может подключиться к Интернету и соответствующий интерфейс будет отмечен в списке красным цветом

Вам надо зайти в его настройки, кликнув дважды мышкой и на первой же вкладке в поле Interfaces выбрать в списке созданный ранее мост IPTV-br0 вместо WAN-порта Ether1. Нажимаем на «ОК».  Интернет должен снова появиться. Теперь можно подключать ТВ-приёмник и проверять работу.

Кстати, если Вы откроете раздел Bridge, то там увидите два своих мостовых соединения:

Трафик, который идёт на приставку будет отображаться в статистике моста для IPTV. Удобно таким образом мониторить битрейт каналов.

Как настроить роутер — алгоритм действий:

Любое действие должно быть обдумано, любая операция должна иметь свой алгоритм. Нет, конечно можно действовать «от фонаря» и как попало, но тогда можно просто добиться того, что в результате таких действий устройство будет работать нестабильно, терять сеть и т.п. Я приведу свою последовательность действий, которую делаю сам.

Шаг 1. Заходим в веб-интерфейс.

Для простоты настройки на всех современных роутерах SOHO-уровня сделан специальный интерфейс, который многие называют  «Сайт модема». Чтобы попасть в веб-интерфейс, Вам нужно запустить веб-браузер (лучше всех Internet Explorer или Google Chrome). В адресной строке набираем IP-адрес маршрутизатора в локальной сети. Как правило, это — 192.168.1.1. Исключение составляют устройства от D-Link, Tenda и некоторые модели TP-Link — их IP 192.168.0.1.  Если веб-интерфейс недоступен — изучите вот эти статьи: для 192.168.1.1 и для 192.168.0.1. Если же он доступен, но войти по стандартному логину admin и паролю по-умолчанию admin или 1234 не получается — поможет вот эта статья.

Шаг 2. Настраиваем подключение к Интернету (WAN).

Все основные параметры подключения к сети Интернет находятся в разделе веб-интерфейса под названием «WAN» или «Интернет»:

Для соединения с провайдером необходимо в этом разделе указать тип подключения — PPPoE, PPTP, L2TP или IPoE (Динамический или Статически IP). Если Вы не знаете какой тип у Вас используется —  это можно уточнить в технической поддержке своего провайдера, т.к. они обязаны предоставлять такие данные. Если используется тип подключения PPPoE, PPTP или L2TP — тогда у Вас должна быть карточка с логином и паролем на доступ в Интернет. Если у Вас их нет данных для авторизации, то дальнейшие действия выполнять бессмысленно — сначала Вам придется идти в абонентский отдел провайдера и восстанавливать реквизиты.  Так же, в большинстве случаев надо ставить галочки «Enable WAN Service», «Enable NAT» и «Enable Firewall».
Пример настройки маршрутизатора D-Link DIR для Ростелеком по PPPoE:

Пример для Билайн — L2TP + Dynamic IP:

По завершении настроек подключения к Интернету — нажмите кнопку Применить (Apply) или Save (Сохранить).

Шаг 3. Локальная сеть (LAN).

Базовая настройка локальной сети обычно уже сделана по умолчанию. А именно: прописан IP-адрес (192.168.1.1 или 192.168.0.1) и включен DHCP сервер для простоты подключения компьютеров, ноутбуков, планшетов и компьютеров к Вашей локальной сети. Параметры локальной сети можно найти в разделе LAN или Локальная сеть:

Фактически, менять в этом разделе ничего не нужно — надо всего лишь проверить включен ли DHCP-сервер. Иногда нужно использовать альтернативные DNS-серверы — в этом случае их тоже надо прописать в настройках DHCP-сервера и тогда они будут выдаваться устройствам при подключении.
Пример конфигурации локальной сети на маршрутизаторе Asus:

По завершении — нажмите кнопку Применить (Apply) или Save (Сохранить).

Шаг 4. Беспроводная сеть WiFi.

Весь процесс настройки сети WiFi на современном роутере сейчас сведена к тому, что Вам нужно просто изменить имя беспроводной сети — SSID и прописать свой пароль (ключи сети) WiFi. Эти параметры, как правило, находятся в одноименном разделе веб-интерфейса — Wi-Fi или Wireless:

Чаще всего базовая конфигурация беспроводной сети разделена на 2 части. Первая часть настроек находиться в разделе «Основные настройки (Basic Wireless Settings)», а вторая — в параметрах безопасности беспроводной сети (Wireless Security). В базовой части надо указать имя беспроводной сети — SSID, выбрать страну (регион) использования (в нашем случае Россия или Европа), используемый режим (mode) и канал (channel). Режим лучше всего выбирать смешанный — 802.11 b/g/n, а канал — 1,6, 11 или auto.
Конфигурация основных параметров WiFi на роутерах TP-Link:

В настройках безопасности роутера надо выбрать тип сертификата безопасности. На текущий момент самый надежный в плане взлома — это WPA2-PSK. Затем надо в поле Network Key или PSK Password прописать ключ безопасности сети. Им может быть буквенная, цифирная или смешанная последовательность не короче 8 символов. Для сохранения параметров нужно нажать кнопку Применить (Apply) или Сохранить (Save).
Параметры безопасности WiFi на TP-Link:

Что такое SPAN?

Функция SPAN позволяет подключить анализатор пакетов к коммутатору. Без SPAN анализатор будет принимать широковещательные сообщения только потому, что коммутатор замыкает канал между двумя взаимодействующими устройствами, блокируя анализатор, подключенный к другому порту. С SPAN, весь трафик, проходящий через порт, реплицируется и отправляется на порт сниффера. Этот процесс известен как «зеркальное отображение».

Система SPAN возможность контролировать один порт или несколько портов. Также возможно определить направление трафика на этот порт. Вариант SPAN, называемый RSPAN (анализатор портов удаленного коммутатора), позволяет вам отслеживать трафик между коммутаторами. Опция RSPAN недоступна на всех коммутаторах Catalyst — коммутаторы Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL не имеют функции RSPAN.

Вы можете настроить SPAN для мониторинга порта VLAN, а также указать, что он должен отслеживать весь трафик VLAN. Немного терминологии необходимо объяснить. Термины «источник» и «место назначения,”, Которые обычно используются в сети, имеют несколько иное значение в SPAN. Здесь «источником» является любой порт, а не источник трафика. Термин «пункт назначения» в SPAN относится к порту, к которому подключен анализатор пакетов; это не означает пункт назначения отслеживаемого трафика.

Как настроить зеркалирование портов

Что такое зеркалирование портов?

Зеркалирование портов — это процесс копирования трафика с одного сетевого порта на другой с целью анализа и мониторинга сети. Это может быть полезно для обнаружения сетевых проблем и поиска ошибок.

Как настроить зеркалирование портов?

Для настройки зеркалирования портов необходимо зайти в настройки коммутатора. В меню настроек выберите соответствующий порт, который будет копировать трафик, а также порты, с которых будет происходить копирование. Затем укажите, куда направлять скопированный трафик.

Важно помнить, что зеркалирование портов может нагружать сеть, поэтому убедитесь, что у вас достаточно ресурсов, чтобы управлять этим дополнительным трафиком

Пример настройки зеркалирования портов

Допустим, вам нужно настроить зеркалирование порта 3 на порт 5. Для этого нужно выполнить следующие шаги:

1. Зайдите в меню настроек вашего коммутатора;
2. Выберите порт 5 и укажите его как порт, на который будет направляться скопированный трафик;
3. Выберите порт 3 в качестве источника скопированного трафика;
4. Укажите параметры, которые хотите скопировать, например, все пакеты или их определенную часть.

Настройка SPAN на cisco

SPAN (Switch Port Analyzer) — Локальное зеркалирование используется для копирования траффика с порта или vlan на другой порт этого же коммутатора.

Зеркалирование траффика с порта на порт

R(config)# monitor session 1 source interface Gi0/X
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X — порт с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Для зеркалирования только входящего трафиика добавляем в «rx».

R(config)#monitor session 1 source interface f0/34 rx

Для зеркалирования только исходящего трафиика добавляем «tx».

R(config)#monitor session 1 source interface f0/34 rx

Можно зеркалировать траффик с нескольких портов

R(config)# monitor session 1 source interface Gi0/X1
R(config)# monitor session 1 source interface Gi0/X2
...
R(config)# monitor session 1 source interface Gi0/Xn
R(config)# monitor session 1 destination interface Gi0/Y

Gi0/X1..Gi0/Xn — порты с которых будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик между портами одного коммутатора.

Для зеркалирования траффика с vlan на порт указываем не интерфейс а влан.

R(config)# monitor session 1 source vlan 100
R(config)# monitor session 1 destination interface Gi0/Y

vlan 100 — номер vlan с которого будем зеркалировать траффик.

Gi0/Y — порт на который будем зеркалировать траффик.

Таким образом через SPAN VLAN можно передавать зеркалированный траффик определенной VLAN на порт коммутатора.

Пароль для входа в настройки роутера

Как показывает практика, пользователи ставят замудрёные пароли на компьютер, графические ключи на планшеты и телефоны, а вот про главное устройство доступа в сеть Интернет почему-то напрочь забывают, оставляя тот, что идёт изначально — admin, 1234 и т.п. Этим как раз и пользуются злоумышленники для входа в настройки роутера через Веб-конфигуратор или Telnet. Не так давно была массовая атака вируса Trojan.RBrute на абонентские модемы и маршрутизаторы, которая использовала эту брешь чтобы прописать в конфигурацию посторонние DNS-серверы. В итоге пользователи долго искали причину появления огромного количества навязчивой рекламы на своём компьютере или ноутбуке, а она скрывалась на роутере. Чтобы избежать всего этого геморроя, обычно достаточно просто поменять пароль для входа.
Алгоритм действий примерно одинаков на всех подобных устройствах. Для этого надо зайти в его веб-интерфейс по IP-адресу ( обычно это 192.168.1.1 или 192.168.0.1), открыть «Системные параметры» (System Management), найти там подраздел «Пароль» (Password) и ввести свою, более сложную ключевую фразу. Главное — потом сами её не забудьте!

Как подключить и настроить роутер QBR-2041WW под FTTB

Для первоначальной конфигурации маршрутизатор рекомендуется подключить к сетевой карте  компьютеру через LAN-кабель. IP-адрес роутера Ростелеком QBR-2041WW в локальной сети — 192.168.1.1, логин admin и пароль admin.

После первой авторизации в веб-интерфейсе потребуется обязательная смена используемого по умолчанию пароля на свой собственный:

После этого нажимаем на кнопку «Сохранить». Больше под используемым по умолчанию паролем «admin» зайти в веб-интерфейс уже не получится.

Следующим этапом будет выбор способа настройки девайса. Если у Вас только подключение к Интернет без IPTV, то можно воспользоваться Мастером настройки — он очень простой и понятный, а потому на нём останавливаться не будем. Нажимаем на кнопку «Выход» и попадаем на статусную страницу Веб-интерфейса. Чтобы настроить соединение с Ростелеком — выберите раздел «Настройка интерфейса»->»Интернет»:

Здесь выставляем следующее:
Режим передачи — Ethernet.
Номер сервиса — 1. Смотрим чтобы у него был выбран статус «Включить».
Версия IP-адреса — IPv4. Если в Вашем филиале уже используется и шестая версия протокола, то оставьте значение «IPv4/IPv6».
В списке «Режим подключения» надо выбрать тот протокол, который используется в Вашем филиале. У Ростелекома это обычно или Динамический IP или PPPoE. В первом случае ничего дополнительно делать не надо, а во втором — надо ниже, в разделе «PPPoE», прописать имя пользователя и пароль на подключение, которые Вам выдали на карточке при заключении договора.
Более ничего не трогаем и нажимаем на кнопку «Сохранить».

Настройка WiFi

Чтобы на QBR-2041WW настроить Вай-Фай, выбираем раздел меню «Настройка Интерфейса» -> «Беспроводная сеть»:

Смотрим чтобы был установлен флажок «Точка доступа» — «Включить».
В списке «Канал» выбираем значения «Russia» и «Авто».
Режим работы модуля обычно лучше оставить универсальным — 802.11b/g/n.
Если же все домашние устройства современные, то можно выбрать вариант — 802.11n.
Далее, в списке «Номер сервиса» выбираем единичку. Ниже, в поле SSID надо придумать и указать название своей сети WiFi на qbr-2041ww.
Тип аутентификации надо использовать WPA2-PSK с шифрованием AES.
В поле «Pre-Shared Key» придумываем и прописываем пароль на Вай-Фай, который будет запрашиваться при подключении клиентов. Его лучше делать не короче 8 знаков, используя цифры и буквы латинского алфавита.
Нажимаем на кнопку «Сохранить».

Примечание: Очень часто Ростелеком «любит» использовать гостевые сети на абонентских устройствах (их можно увидеть в списке доступных сетей). Если Вы не хотите дарить халяву всем подряд, надо в списке «Номер сервиса SSID» выбрать все по очереди кроме первого и отключить. Так же, я бы настоятельно рекомендовал не пользоваться функцией WPS ввиду её слабой устойчивости к взлому.

Настройка цифрового телевидения Ростелеком

В большинстве филиалов провайдера для того, чтобы настроить IPTV на роутере Qtech QBR-2041WW надо создать подключение типа «Прозрачный мост» и соединить с ним один из LAN портов. Этот момент надо заранее выяснить в технической поддержке.
Заодно и поинтересуйтесь — нужно ли дополнительно прописывать идентификатор VLANID (мультикаст-трафик до абонента идёт в тегированном виде).
Без этой информации Вам сложно будет правильно сконфигурировать маршрутизатор.

Затем заходим в раздел «Настройка интерфейса»->»Интернет»:

Выставляем следующие параметры:
Режим передачи — Ethernet.
Номер сервиса  — 2.
Статус — «включить» Режим подключения — «режим моста».
Если в вашем филиале для доставки IPTV до абонента используется тегирование трафика, то в разделе VLAN надо поставить флажок «Включить». В поле «VLAN ID» прописать идентификатор виртуальной сети. В списке «Приоритет 802.1p» выбрать значение — 4.

Остаётся только в списке портов поставить галку на том из них, в который будет включаться STB-приставка.
Нажимаем на кнопку «Сохранить». Роутер Ростелеком настроен и готов к работе.

Настройте SPAN на коммутаторе

Cisco рекомендует различные методы для настройки зеркалирования портов с помощью SPAN в соответствии с версией коммутатора Catalyst. Эти шаги будут просто перенаправлять копии пакетов трафика на порт, к которому вы подключаете ваше устройство. Настройка зеркалирования портов не будет хранить или анализировать трафик. Вы можете использовать любое программное обеспечение для анализа сети для обработки пакетов, отправляемых на ваше устройство..

Настройте SPAN на IOS-коммутаторах

Для этих моделей коммутаторов вам необходимо получить доступ к операционной системе устройства и выполнить команду, чтобы указать порт SPAN и порт для мониторинга. Эта задача реализуется двумя строками команд. Нужно указать источник, это означает, что порт, которому будет реплицироваться трафик, а другой дает номер порта, к которому подключен анализатор — это линия назначения.

монитор сеанса источника контролировать целевой интерфейс сеанса

Как только вы закончили определение зеркала, вам нужно нажать CTRL-Z, чтобы завершить определение конфигурации.

Номер сеанса позволяет вам создать несколько разных мониторов, работающих одновременно. Если вы используете тот же номер сеанса в последующей команде, вы отмените исходную трассировку и замените ее новой спецификацией.. Диапазоны портов определяются тире («-»), а последовательность портов разделяется запятыми («,»).

Последний элемент в командной строке для исходного порта (контролируемый порт) — это спецификация того, должен ли коммутатор реплицировать передаваемые пакеты. из этого порта, или в этот порт, или и то и другое.

Настройте SPAN на коммутаторах CatOS

Более новые линейки Catalyst поставляются с более новой операционной системой, называемой CatOS, вместо старой операционной системы IOS. Команды, используемые для настройки зеркалирования SPAN в этих коммутаторах, немного отличаются. С этой операционной системой вы создаете зеркалирование всего одной командой вместо двух.

установить диапазон

Исходные порты определяются первым элементом в этой команде, который является частью «src_mod / src_ports». Второй идентификатор порта в команде автоматически считывается как порт назначения, то есть порт, к которому подключен анализатор пакетов. «RX | TX | и то и другоеЭлемент указывает коммутатору реплицировать передаваемые пакеты из порта, или в порт, или и то и другое.

Существует также команда set span для отключения зеркалирования:

установка диапазона отключена [dest_mod / dest_port | все]

Настройте SPAN на коммутаторах Catalyst Express 500 и Catalyst Express 520

Если у вас есть коммутатор Catalyst Express 500 или Catalyst Express 520, вы не вводите настройки SPAN в операционной системе. Для связи с коммутатором и изменения его настроек необходимо установить Cisco Network Assistant (CNA). Это программное обеспечение для управления сетью является бесплатным и работает в среде Windows. Выполните следующие действия, чтобы активировать SPAN на коммутаторе..

1. Войдите в коммутатор через интерфейс CNA.
2. Выберите Smartports вариант в CNA меню. Это отобразит графику, представляющую массив портов коммутатора.
3. Нажмите на порт, к которому вы хотите подключить анализатор пакетов, и выберите Изменить вариант. Это покажет всплывающее окно.
4. Выбрать диагностика в Роль список и выберите порт, который будет отслеживать трафик из Источник раскрывающийся список. Если вы хотите специально контролировать VLAN, выберите его из Входная VLAN список. Если вы не хотите просто отслеживать трафик для VLAN, оставьте это значение по умолчанию. Нажмите на Ok сохранить настройки.
5. Нажмите на Ok а потом Подать заявление в Smartports экран.
6. Одна проблема с методом CNA состоит в том, что программное обеспечение работает только на версиях Windows до Windows 7.

Cisco SPAN FAQs

Is span the same as port mirroring?

SPAN stands for “Switched Port Analyzer”. This is Cisco’s term for port mirroring. A variation on this system is RSPAN, which stands for “Remote Switched Port Analyzer” and that extracts traffic between two switches.

What is a tap and port mirror?

A network tap is a network device, so it is a separate piece of hardware. A port mirror is a software concept that operates on a switch, so it doesn’t need a separate piece of equipment. Both systems copy packets, leaving the original traffic circulating around the network.

What is the purpose of port mirroring?

Port mirroring allows a packet stream to be run through an analyzer at the same time that it passes through a switch onto its intended destination. Prot mirroring copies packets instead of removing them from the network.

Зеркалирование портов

Возможно, потребуется настроить зеркальный порт или диапазон портов. Это часто полезно для сетевых устройств, которым требуется мониторинг сетевого трафика, таких как решение для записи VoIP или IDS (система обнаружения вторжений).

Коммутаторы MS поддерживают зеркальные сеансы «один к одному» или «многие к одному». На наших стекируемых коммутаторах доступно зеркалирование портов между стеками. Для каждого коммутатора/стека можно настроить только один активный порт назначения.

Чтобы включить и настроить зеркальный порт или диапазон портов, выберите «Коммутатор» > «Монитор» > «Порты коммутатора». На этой странице выберите порты, предназначенные для зеркалирования, и нажмите кнопку Зеркало:

Далее введите порт назначения для зеркального сеанса. Если порты находятся в стеке коммутаторов, также выберите нужный коммутатор в стеке для зеркального назначения.

После того как зеркало настроено, его можно легко определить с помощью столбца «Зеркало» на панели инструментов:

По умолчанию количество MAC-адресов, которые коммутатор может узнать на интерфейсе, не ограничено, и разрешены все MAC-адреса. Если мы хотим, мы можем изменить это поведение с помощью port-security. Рассмотрим следующую ситуацию:

В приведенной выше топологии кто-то подключил дешевый (неуправляемый) коммутатор, принесенный из дома, к интерфейсу FastEthernet 0/1 нашего коммутатора Cisco. Иногда людям нравится приносить лишний выключатель из дома в офис. В результате наш коммутатор Cisco узнает MAC-адреса H1 и H2 на своем интерфейсе FastEthernet 0/1.

Конечно, мы не хотим, чтобы люди приносили свои коммутаторы и подключали их к нашей сети, поэтому мы хотим предотвратить это. Вот как мы можем это сделать:

Используйте команду switchport port-security, чтобы включить защиту портов. Я настроил безопасность портов, поэтому разрешен только один MAC-адрес. Как только коммутатор увидит другой MAC-адрес на интерфейсе, это будет нарушением, и что-то произойдет. Я покажу вам, что происходит через некоторое время…

Помимо установки максимального количества MAC-адресов, мы также можем использовать безопасность портов для фильтрации MAC-адресов. Вы можете использовать это, чтобы разрешить только определенные MAC-адреса.В приведенном выше примере я настроил безопасность портов, чтобы разрешить только MAC-адрес aaaa.bbbb.cccc. Это не MAC-адрес моего компьютера, поэтому он идеально подходит для демонстрации нарушения.

Используйте команду switchport port-security mac-address, чтобы определить MAC-адрес, который вы хотите разрешить. Теперь создадим некоторый трафик, чтобы вызвать нарушение:

Я пингую какой-то поддельный IP-адрес… нет ничего с IP-адресом 1.2.3.4; Я просто хочу генерировать немного трафика. Вот что вы увидите:

У нас есть нарушение безопасности, и в результате порт переходит в состояние err-disable. Как вы можете видеть, сейчас он опущен. Давайте подробнее рассмотрим безопасность портов:

Вот полезная команда для проверки конфигурации безопасности вашего порта. Используйте интерфейс show port-security, чтобы просмотреть сведения о безопасности порта для каждого интерфейса. Вы можете видеть, что режим нарушения отключен и что последнее нарушение было вызвано MAC-адресом 0090.cc0e.5023 (H1).

Закрытие интерфейса после нарушения безопасности — это хорошая идея (с точки зрения безопасности), но проблема в том, что интерфейс останется в состоянии err-disable. Вероятно, это означает еще один звонок в службу поддержки, и вы вернете интерфейс в мир живых! Давайте активируем его снова:

Чтобы вывести интерфейс из состояния err-disable, вам нужно ввести «shutdown», а затем «no shutdown». Недостаточно просто набрать «без выключения»!

Было бы проще, если бы интерфейс мог восстанавливаться через определенное время. Вы можете включить это с помощью следующей команды:

• Каковы широковещательные домены на коммутаторе по отношению к портам

    

• Регистрация в сети при подключении к wifi

    

• Как играть в cs по локальной сети через Wi-Fi

    

• Камера наблюдения Wi-Fi с видом на телефон и записью по датчику движения

    

• Телефон как микрофон для Bluetooth-динамиков