所謂偵聽(tīng)端口是指這樣一個(gè)端口，所有通過(guò)被偵聽(tīng)端口的流量都會(huì)被自動(dòng)復(fù)制一份傳至該端口，缺省的情況下交換機(jī)上的這 種功能是被屏蔽（Disable）的。如果需要可以手工設(shè)置。
   
    Egress Traffic: 離開(kāi)交換機(jī)的流量
   
    Ingress Traffic: 進(jìn)入交換機(jī)的流量
   
    Source Span ports: 被偵聽(tīng)端口
   
    Destination Span Port: 偵聽(tīng)端口
   
    Administrative Source : 所有配置為被偵聽(tīng)口或被偵聽(tīng)vlan 的列表
   
    一、Cisco Catalyst 4000, 5000, and 6000 Series 系列交換機(jī)，有關(guān)設(shè)置偵聽(tīng)端口的命令由一系列set span 命令組成。
   
    switch （enable） set span
   
    Usage: set span disable [dest_mod/dest_port|all]
   
    set span <src_mod/src_ports…|src_vlans…|sc0>
   
    <dest_mod/dest_port> [rx|tx|both]
   
    [inpkts <enable|disable>]
   
    注：src_mod 是指被偵聽(tīng)的端口號(hào)；src_ports 是指被偵聽(tīng)端口所在的模塊號(hào)；
   
    dest_mod,是指?jìng)陕?tīng)端口號(hào)；dest_port 是指?jìng)陕?tīng)端口所在的模塊號(hào)；src_vlan 是vlan 名，
   
    表示屬于該vlan 的端口都是被偵聽(tīng)端口；rx 是指只偵聽(tīng)接收的包；tx 是指只偵聽(tīng)發(fā)送的包；both 是指?jìng)陕?tīng)收、發(fā)雙方向的包。
   
    配置過(guò)程如下：
   
    1、使用基于端口的偵聽(tīng)方式：
   
    switch （enable） set span enable
   
    switch （enable） set span 6/1,6/3 6/2
   
    2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
   
    for destination port 6/2
   
    Destination : Port 6/2
   
    Admin Source : Port 6/1,6/3
   
    Oper Source : Port 6/1,6/3
   
    Direction : transmit/receive
   
    Incoming Packets: disabled
   
    Learning : enabled
   
    Multicast : enabled
   
    Filter : -
   
    Status : active
   
    switch （enable） 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
   
    session active for destination port 6/2
   
    這條命令執(zhí)行后，端口6/2 設(shè)置為偵聽(tīng)口，端口6/1,6/3 設(shè)置為被偵聽(tīng)口。接在端口6/2 上的機(jī)器將能接收到通過(guò)端口6/1,6/3 的所有流量。

2、使用基于vlan 的偵聽(tīng)方式：

switch （enable） set span enable

switch （enable） set span 2,3 6/2

2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/2

Destination : Port 6/2

Admin Source : VLAN 2-3

Oper Source : Port 6/3-5,15/1

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : -

Status : active

switch （enable） 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2

這條命令執(zhí)行后，端口6/2 設(shè)置為偵聽(tīng)口，屬于vlan 2,3 的所有端口設(shè)置為被偵聽(tīng)口。接在端口6/2 上的機(jī)器將能接收到通過(guò)屬于vlan 2,3 的端口的所有流量。

3、可以使用命令Switch（enable） show span 來(lái)查看設(shè)置的結(jié)果：

switch （enable） show span

Destination : Port 6/2

Admin Source : Port 6/1

Oper Source : Port 6/1

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : -

Status : active

注：偵聽(tīng)口與被偵聽(tīng)口可以不屬于同一個(gè)vlan.

二、Cisco Catalyst 2900XL/3500XL/2950 系列交換機(jī)，配置命令為：

Switch（config-if）#port monitor interface

注：interface 是指?jìng)陕?tīng)端口。

舉例：我們要將接口Fa0/1 設(shè)置為偵聽(tīng)口，F(xiàn)a0/2 及Fa0/5 設(shè)置為被偵聽(tīng)口，基本過(guò)程如下：

1、在配置模式下，首先選擇接口Fa0/1:

Switch（config）#int fa0/1

輸入被偵聽(tīng)端口：

Switch（config-if）#port monitor fastEthernet 0/2

Switch（config-if）#port monitor fastEthernet 0/5

指定管理端口：

Switch（config-if）#port monitor VLAN 1

這條命令并不意味著接口Fa0/1 將偵聽(tīng)vlan 1 的所有端口，它只是用來(lái)指定管理接口。

退出保存后，接口Fa0/1 設(shè)置為偵聽(tīng)口，接口Fa0/2,Fa0/5 設(shè)置為被偵聽(tīng)口。連接在接口Fa0/1 上的機(jī)器將能接收到通過(guò)接口Fa0/2,Fa0/5 的流量。

可以用命令Switch# show port monitor 來(lái)查看設(shè)置的結(jié)果：

Switch#show port monitor

Monitor Port Port Being Monitored

--------------------- ---------------------

FastEthernet0/1 VLAN1

FastEthernet0/1 FastEthernet0/2

FastEthernet0/1 FastEthernet0/5

注：偵聽(tīng)口與被偵聽(tīng)口必須屬于同一個(gè)vlan.

說(shuō)了這么多的廢話(huà)，只是的簡(jiǎn)單的介紹了下交換機(jī)偵聽(tīng)口這個(gè)東西和它的強(qiáng)大應(yīng)用。

以及如果被入侵者利用的一個(gè)危害。所以建議對(duì)于網(wǎng)絡(luò)中設(shè)備的安全也不應(yīng)該忽視，尤其是

默認(rèn)的口令和SNMP 的關(guān)鍵字的問(wèn)題都是需要注意，另外像WEB 這種服務(wù)最好也不好開(kāi)。

CISCO 的設(shè)備很多都可以利用WEB 服務(wù)的越權(quán)訪(fǎng)問(wèn)漏洞進(jìn)去的（在我其他的文章里有詳

細(xì)介紹）�？傊�保證網(wǎng)絡(luò)中的每一個(gè)接點(diǎn)的安全才可以最終構(gòu)建出一個(gè)真正安全的網(wǎng)絡(luò)工作環(huán)境。

2、使用基于vlan 的偵聽(tīng)方式：

switch （enable） set span enable

switch （enable） set span 2,3 6/2

2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive

for destination port 6/2

Destination : Port 6/2

Admin Source : VLAN 2-3

Oper Source : Port 6/3-5,15/1

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : -

Status : active

switch （enable） 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span

session active for destination port 6/2

這條命令執(zhí)行后，端口6/2 設(shè)置為偵聽(tīng)口，屬于vlan 2,3 的所有端口設(shè)置為被偵聽(tīng)口。接在端口6/2 上的機(jī)器將能接收到通過(guò)屬于vlan 2,3 的端口的所有流量。

3、可以使用命令Switch（enable） show span 來(lái)查看設(shè)置的結(jié)果：

switch （enable） show span

Destination : Port 6/2

Admin Source : Port 6/1

Oper Source : Port 6/1

Direction : transmit/receive

Incoming Packets: disabled

Learning : enabled

Multicast : enabled

Filter : -

Status : active

注：偵聽(tīng)口與被偵聽(tīng)口可以不屬于同一個(gè)vlan.

二、Cisco Catalyst 2900XL/3500XL/2950 系列交換機(jī)，配置命令為：

Switch（config-if）#port monitor interface

注：interface 是指?jìng)陕?tīng)端口。

舉例：我們要將接口Fa0/1 設(shè)置為偵聽(tīng)口，F(xiàn)a0/2 及Fa0/5 設(shè)置為被偵聽(tīng)口，基本過(guò)程如下：

1、在配置模式下，首先選擇接口Fa0/1:

Switch（config）#int fa0/1

輸入被偵聽(tīng)端口：

Switch（config-if）#port monitor fastEthernet 0/2

Switch（config-if）#port monitor fastEthernet 0/5

指定管理端口：

Switch（config-if）#port monitor VLAN 1

這條命令并不意味著接口Fa0/1 將偵聽(tīng)vlan 1 的所有端口，它只是用來(lái)指定管理接口。

退出保存后，接口Fa0/1 設(shè)置為偵聽(tīng)口，接口Fa0/2,Fa0/5 設(shè)置為被偵聽(tīng)口。連接在接口Fa0/1 上的機(jī)器將能接收到通過(guò)接口Fa0/2,Fa0/5 的流量。

可以用命令Switch# show port monitor 來(lái)查看設(shè)置的結(jié)果：

Switch#show port monitor

Monitor Port Port Being Monitored

--------------------- ---------------------

FastEthernet0/1 VLAN1

FastEthernet0/1 FastEthernet0/2

FastEthernet0/1 FastEthernet0/5

注：偵聽(tīng)口與被偵聽(tīng)口必須屬于同一個(gè)vlan.

說(shuō)了這么多的廢話(huà)，只是的簡(jiǎn)單的介紹了下交換機(jī)偵聽(tīng)口這個(gè)東西和它的強(qiáng)大應(yīng)用。

以及如果被入侵者利用的一個(gè)危害。所以建議對(duì)于網(wǎng)絡(luò)中設(shè)備的安全也不應(yīng)該忽視，尤其是

默認(rèn)的口令和SNMP 的關(guān)鍵字的問(wèn)題都是需要注意，另外像WEB 這種服務(wù)最好也不好開(kāi)。

CISCO 的設(shè)備很多都可以利用WEB 服務(wù)的越權(quán)訪(fǎng)問(wèn)漏洞進(jìn)去的（在我其他的文章里有詳

細(xì)介紹）。總之保證網(wǎng)絡(luò)中的每一個(gè)接點(diǎn)的安全才可以最終構(gòu)建出一個(gè)真正安全的網(wǎng)絡(luò)工作環(huán)境。