OSSIM系統中Sensor的設置

Sensor的設置尤為重要，具體設置方法和嗅探器類似，很多人曾經都安裝過嗅探器，在大型網絡中這種做法并不像主機接入網絡那樣簡單。作為網絡管理人員，應該清楚所管理網絡環境的具體情況。如圖2-2所示的為某企業的網絡拓撲結構。

圖2-2如何選擇嗅探器的位置

下面主要討論交換式網絡和路由式網絡中的嗅探方法。

1．交換式網絡

在交換式網絡中，采用端口鏡像是捕獲流量最簡單的方法，但所使用的交換機必須支持端口鏡像（Port Mirroring）功能，以及有一個空閑端口，可插入嗅探器。大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不同。

支持SPAN的設備:

Tp-link常用的有鏡像功能的交換機有tplink sf2005 5口鏡像交換機

Tp-link 2428WEB 24口可網管鏡像交換機

Cisco WS-C6509、WS-C4006、WS-C3750G-24T-E、WS-C3550-48EMI、WS-C2950G-24-EI華為S2008/S2016/S2026/S2403H/S3026均支持端口鏡像。因為SPAN的設置是重中之重，下面詳細講解。

圖2- 3交換式網絡中的Sensor部署

Cisco Catalyst系列交換機上配置鏡像(SPAN)端口步驟

    在進行網絡故障排查、網絡數據流量分析的過程中，有時需要對網絡節點或骨干交換機的某些端口進-行數據流量監控分析，而在交換機中設置鏡像(SPAN)端口，可以對某些可疑端口進行監控，同時又不影響被監控端口的數據交換。 

   SPAN(Switched Port Analyzer)的作用主要是為了給某種網絡分析器提供網絡數據流。它既可以實現一個VLAN中若干個源端口向一個監控端口鏡像數據，也可以從若干個VLAN向一個監控端口鏡像數據。SPAN 任務不會影響交換機的正常工作。當一個SPAN任務被建立后，根據交換機所處的不同的狀態或操作，任務會處于激活或非激活狀態，同時系統會將其記入日志。通過“show monitor session”命令可顯示SPAN的當前狀態。 

SPAN數據流主要分為三類： 

(1)輸入數據流(Ingress SPAN)：指被源端口接收進來，其數據副本發送至監控端口的數據流； 

(2)輸出數據流(Egress SPAN)：指從源端口發送出去，其數據副本發送至監控端口的數據流； 

(3)雙向數據流(Both SPAN)：即為以上兩種的綜合。 

在配置SPAN任務時應遵循以下原則： 

(1)對數據進行監控分析的設備應搭接在監控端口上； 

(2)冗余鏈路端口只能作為SPAN任務的源端口； 

(3)SPAN任務中所有的源端口的被監控方向必須一致； 

(4)在設置端口為源端口時，如果沒有指定數據流的監控方向，默認為雙向； 

(5)當SPAN任務含有多個源端口時，這些端口可以來自不同的VLAN； 

(6)取消某一個SPAN任務的命令是：no monitor session任務號； 

(7)取消所有SPAN任務的命令是：no monitor； 

(8)SPAN任務的目的端口不能參與到生成樹的距離計算中，但由于源端口的BPDU包可以被鏡像，所以SPAN目的端口可以監控到來自源端口的BPDU數據包。 

配置SPAN的源端口，命令格式如下： 

Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both] 

以下例子顯示如何配置源端口為FastEthernet 5/l的SPAN任務，其監控對象為雙向數據流： 

Switch(config)# monitor session 1 source interface fastethrnet 5/l 

配置SPAN的目的端口，命令格式如下： 

Switch(config)# [no] monitor session(session_number){destination{interface type/num}} 

以下例子顯示如何配置目的端口為FastEthernet 5/48的SPAN任務： 

Switch(config)#monitor session l destination interface fastethernet 5/48 

當SPAN任務的源端口為Trunk端口時，命令格式如下： 

Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[，|-]} 

以下例子是當源端口為Trunk端口時，如何配置監控其中的VLANl～VLAN5和 VLAN9： 

Switch(config)# monitor session 2 filter vlan 1-5，9 

以下是一個綜合例子，將用到前面所提到的各種命令： 

監控Trunk端口FastEtheraet4/10上的雙向數據流(在該端口上承載著VLANl～ VLANl005的數據流)，只監控其中VLAN57中的數據流，端口 

FastEthernet4/15為目的端口，具體配置方法如下： 

Switch(config)# monitor session 1 source interface fastethernet 4/10 

Switch(config)# monitor session 1 filter vlan 57 

Switch(config)# monitor session 1 destination interface fastethernet 4/15 

如果想釋放該SPAN任務，輸入如下命令： 

Switch(config)# no monitor session 1 

以下語句顯示如何檢驗SPAN任務的配置結果： 

Switch# show monitor session 2 

在配置鏡像端口(SPAN)過程中，還應考慮到數據流量過大時，設備的處理速度及端口數據緩存的大小，要盡量減少被監控數據包的丟失。

2.路由式網絡嗅探器設置問題，大家可以參考我今年出版的新書。