CISCO交換機的SPAN功能總結

1、SPAN綜述：21 SPAN會話(SPANSession)42目的端口(DestinationPort)43源端口(SourcePort)44流入SPAN(IngressSPAN)55流出SPAN(EgressSPAN)56基于VLAN的SPAN(VSPAN)57其它概念5CISCOCatalyst2900XL/3500XLSPAN71 CISCO2900XL/3500XL的SPAN原則：72 Cisco2900XL/3500XL端口鏡像配置73 Cisco2900XL/3500XL支持VLAN數(shù)8CiscoCatalyst5500SPAN101、配置VTP102、配置TRUNK103、配置V

2、LAN104、路由交換模塊(RSM)上的VLAN之間路由配置115、端口鏡像配置11CISCOCatalyst6000SPANandRSPAN121 Cisco5000XL/6000XL支持SPAN和RSPAN數(shù)目122 配置SPAN133 關閉SPAN:164 RSPAN16硬件要求17SPAN綜述:SPAN,又稱為端口鏡像(portmirroring)或端口監(jiān)聽(portmonitoring),是CISCOCatalyst交換機家族的基本功能之一。其作用為使用網絡分析儀對所選擇的網絡流量進行分析。網絡分析儀可以是一個交換機探頭(SwitchProbe),也可以是遠程監(jiān)聽探針(RMONpro

3、be)?；靖拍睿? .SPAN會話(SPANSession)2 .目的端口(DestinationPort)3 .源端口(SourcePort)4 .流入SPAN(IngressSPAN)5 .1r出SPAN(EgressSPAN)6 .基于VLAN的SPAN(VSPAN)7 .其它概念SPAN參照圖如下:國16/JIngressIngressTrafficSwitchEgressTraflicDestinationSpanPortSnifTerSourceSpanports圖1SPAN綜述參照圖1SPAN會話(SPANSession)一個SPAN會話是一個目的端口和一組源端口組成，配置以正

4、確的參數(shù)以說明被監(jiān)聽的網絡流量。在一個交換網絡中可以配置多個SPAN會話。SPAN會話對交換機的正常操作并沒有影響。SPAN會話可以有兩種狀態(tài)：enable和disable。SPAN會話在enable狀態(tài)下才能起作用。其狀態(tài)可以用指令showspan查看。2 目的端口(DestinationPort)目的端口也稱為監(jiān)聽端口(monitorport)，SPAN就是將數(shù)據包送到目的端口進行分析的。一旦某個端口被定義為目的端口，那么除了SPAN會話的數(shù)據流，它就不會轉發(fā)任何其他數(shù)據。在SPAN會話被激活的狀態(tài)下，目的端口并不參與spanningtree。注意在缺省狀態(tài)下，目的端口關閉從網絡流入交換機

5、的數(shù)據。如果作測試，要將端口的該選項打開。3 源端口(SourcePort)源端口是一個被監(jiān)聽用以進行網絡流量分析的交換機端口。通過源端口的數(shù)據流量可以被分為流入，流出，或者流入和流出三種類型。在一個SPAN會話中可以有一個或多個源端口被監(jiān)聽，三種監(jiān)聽方式(流入，流出，或者流入和流出)可以由用戶定義，并且適用于所有源端口?？梢栽谌我釼LAN中配置源端口。源端口也可以是一個VLAN(src_vlans)，VLAN中所有端口都將是SPAN會話的源端口。源端口分為管理源(AdminSource)和操作源(OperSource)或管理操作源。管理源端口是在SPAN會話配置中所定義的源端口或源VLAN。

6、操作源端口是所有被目的端口所監(jiān)聽的源端口，包括VLAN中的端口。4流入SPAN(IngressSPAN)流入SPAN將源端口所接受到的網絡數(shù)據拷貝到目的端口進行分析。5流出SPAN(EgressSPAN)流出SPAN將源端口所發(fā)送出的網絡數(shù)據拷貝到目的端口進行分析。6 基于VLAN的SPAN(VSPAN)基于VLAN的SPAN(VSPAN)分析一個或多個VLAN的網絡流量。基于VLAN的SPAN(VSPAN)可以被配置為流入SPAN，流出SPAN，或二者都有的SPAN。在VSPAN會話過程中，所有源VLAN中包括的端口都成為操作源端口。如果目的端口屬于任何一個管理源VLAN，則從操作源端口中排

7、除掉。若在管理源VLAN中添加或刪除端口，則操作源也相應地變化。7 其它概念管理源(AdministrativeSource):被監(jiān)聽的端口和VLAN的總稱。操作源(OperationalSource):被有效地監(jiān)聽的端口的總和。注意它和管理源有所區(qū)別。例如，一個處于關閉狀態(tài)的端口可以屬于管理源范圍，但不能被有效地監(jiān)聽。本地SPAN(LocalSPAN):當所有被監(jiān)聽的源端口與目的端口同處于一臺交換機上，SPAN話被稱為本地SPAN遠端SPAN或RSPAN(RemoteSPANorRSPAN):源端口和目的端口不在同一臺交換機上。注意迄今為止，RSPAN只有Catalyst6000(CatOS

8、5.3)支持。封閉式VLAN：這種VLAN將廣播域出限于VLAN定義的設備范圍內。舉例來說,假設你定義了基于端口的VLAN,它包含交換機的端口3、4和8,則這個VLAN是封閉的,只有這個小型端口組(端口3、4和8)中的幀能夠一起交換。開放式VLAN：能夠獲得來自其他VLAN的數(shù)據。當VLAN之間相互交錯,某個端口同時位于多個VLAN中時,就形成了開放式VLAN。由于交換機上的端口通常使用同一橋轉發(fā)表(bridgeforwardingtable),順此包含同一端口的兩個或多個VLAN將看到來自其他VLAN的幀。在某些情況下,開放式VLAN被認為存在“漏洞”。CISCOCatalyst2900XL

9、/3500XLSPAN1 CISCO2900XL/3500XL的SPAN原則：目的端口(監(jiān)聽端口)不能是快速以太網口(FastEtherChannel)或者千兆以太網口(GigabitEtherChannel)目的端口不允許激活端口安全目的端口不能屬于多個VLAN目的端口必須與被監(jiān)聽的端口屬于同一個VLAN。目的端口必須與被監(jiān)聽端口的VLAN屬性不得改變目的端口不能是一個動態(tài)訪問(dynamic-access)的端口或是TRUNK端口。但是一個靜態(tài)訪問(static-access)端口可以監(jiān)聽TRUNK上的一個VLAN,屬于多VLAN的端口，或一個動態(tài)訪問的端口。，被監(jiān)聽的VLAN需要與靜態(tài)訪

10、問端口有關聯(lián)。如果源端口和目的端口都是被保護的，則不能實行端口監(jiān)聽。2 Cisco2900XL/3500XL端口鏡像配置Cisco2900XL/3500XL交換機使用IOS。端口鏡像的配置過程基本上與路由器的端口配置過程相仿。c: telnet User Access VerificationPassword: SwitchNameSwitchName enableSwitchName# config terminal/* 得到如路由器般的提示*/* SwitchName 為該交換機的名字*/* 允許特權命令*/* 進入終端配置模式*/SwitchName#interfacefastether

11、net/*進入對特定interface配置的狀態(tài)*/SwitchName#portmonitorinterface/vlan-id/*在此可以使用某個端口鏡像另一個端口的流量；也可以讓某個端口鏡像某個VLAN的流量，這種配置將使得整個VLAN對于這個Monitor端口來說類似整個VLAN連在一個HUB上。不過該模式下，未測試過是否會造成overload。*/舉例：SwitchNameenableSwitchName#configterminalSwitchName#interfacefastethernet0/1SwitchName#portmonitorfastethernet0/2Swit

12、chName#end(Az)SwitchName#showportmonitorMonitorPortPortBeingMonitoredFastEthernet0/1FastEthernet0/2此時該交換機端口2的數(shù)據鏡像到了端口1上。在做Portmonitor時，也可以指定你的VLAN的ID來鏡像整個VLAN給該端口。3 Cisco2900XL/3500XL支持VLAN數(shù)VLAN ？請Catalyst2900XL/3500XL系列交換機可支持的MAC地址和多少個基于端口的參見下表：型號支持MAC地址數(shù)基于端口的VLAN數(shù)Catalyst2912-XL2048個MAC地址64個基于端口的V

13、LANCatalyst2912MF-XL8192個MAC地址250個基于端口的VLANCatalyst2924-XL2048個MAC地址64個基于端口的VLANCatalyst2924C-XL2048個MAC地址64個基于端口的VLANCatalyst2924M-XL8192個MAC地址250個基于端口的VLANCatalyst3500-XL系歹U8192個MAC地址250個基于端口的VLANCiscoCatalyst5500SPAN1、配置VTPsetvtpdomainname噌己置VTP協(xié)議的域名，同一VTP域名之間才能交換VLAN信息setvtpmodeserver/client_ser

14、ver才能發(fā)布信息，client只能獲得VLAN信息setvtppruningenable-設置修剪模式使能setvtppruningdisable-去掉修剪模式2、配置TRUNKtrunk只有在100/1000M口才可以配置，5500可以支持802.1Q和ISL兩種標準。2、1ISLtrunksettrunkmod_num/port_numon|desirable|auto|nonegotiateisl-因1924/1912只能支持ISL標準，建議配置ISL。showtrunkmod_num/port_num-查看PORTtrunk狀態(tài)2、2IEEE802.1QTrunksettrunkmo

15、d_num/port_numon|desirable|auto|nonegotiatedot1qshowtrunkmod_num/port_num3、配置VLAN以太網VLAN配置：setvlanvlan_numnamename-設置或產生一個VLAN的名稱和VLAN號setvlanvlan_nummod_num/port_num-分配端口至U指定的VLANshowportmod_num/port_num-查看端口的工作狀態(tài)showvlanvlan_num-查看交換機VLAN狀況4、路由交換模塊(RSM)上的VLAN之間路由配置進入全球配置模式后，見到router(config):提示符int

16、vlanvlan_num進入接口配置模式ipaddrip_addressnetmask配置協(xié)議地址子網掩碼5、端口鏡像配置setspandisabledest_mod/dest_port|all去掉所有端口鏡像setspansrc_mod/src_ports.|src_vlan.|sc0dest_mod/dest_portrx|tx|bothinpktsenable|disablelearningenable|disablemulticastenable|disablecreate配置端口鏡像的源和目的端口、鏡像包的限制等。Showspan查看端口鏡像狀況CISCOCatalyst6000SP

17、ANandRSPAN如果流入數(shù)據被目的端口所監(jiān)聽，則是在目的端口所在的VLAN進行交換。注意：在SPAN會話激活的狀態(tài)下，目的端口不能參與SpanningTree!1.Cisco5000XL/6000XL支持SPAN和RSPAN數(shù)目在Catalyst6000系列交換機上，最多可以支持30個SPAN會話（并存在NVRAM）中，在Catalyst5000系列交換機上，可支持的SPAN會話最多為5個。下表說明Catalyst5000XL/6000XL系列交換機可支持的最大SPAN和RSPAN會話數(shù)目。對于每一個會話，可以配置多個端口或VLAN作為監(jiān)聽源。SPAN/RSPAN會話數(shù)Catalyst50

18、00Catalyst6000rxorbothSPANsessions12txSPANsessions44tx,rx,orbothRSPANsourcesessions-1RSPANdestinations-24TotalSPANsessions5302配置SPAN在SPAN的配置中，源端口和目的端口必須在同一臺交換機上。Catalyst6000配置SPAN的命令格式如下：setspansrc_mod/src_ports|src_vlans|sc0dest_mod/dest_portrx|tx|bothinpktsenable|disablelearningenable|disablemulti

19、castenable|disablefiltervlans.create例1:將端口1/1（SPAN源端口）所發(fā)送和接受的流量被鏡像到2/1（SPAN目的端口）：Console（enable）setspan1/12/1目的端口:Port2/1管理源:Port1/1操作源端口:Port1/1方向:發(fā)送/接受進入數(shù)據包:關閉監(jiān)聽:開啟多播:開啟例2:將VLAN522設為SPAN的源，端口2/1為SPAN的目的端口：Console(enable)setspan5222/1目的端口:Port2/1管理源:VLAN522操作源端口:Port3/1-2方向:發(fā)送/接受進入數(shù)據包:關閉監(jiān)聽:開啟多播:開啟C

20、onsole(enable)例3:將VLAN522設為SPAN的源，端口2/12為SPAN的目的端口，只有發(fā)送的數(shù)據被監(jiān)聽，在目的端口2/12上允許正常的數(shù)據流入：Console(enable)setspan5222/12txinpktsenable目的端口:Port2/12管理源:VLAN522操作源端口:Port2/1-2方向:發(fā)送進入數(shù)據包:開啟監(jiān)聽:開啟多播:開啟例4:將端口3/2設為SPAN的源，端口2/2為SPAN的目的端口：Console(enable)setspan3/22/2txcreate目的端口:Port2/1管理源:Port3/1操作源端口:Port3/1方向:發(fā)送/接

21、受進入數(shù)據包:關閉目的端口:Port2/2管理源:Port3/2操作源端口:Port3/2方向:發(fā)送進入數(shù)據包:關閉監(jiān)聽:開啟多播:開啟Console(enable)3 .關閉SPAN:setspandisabledest_mod/dest_port|allThiscommandwilldisableyourspansession.Doyouwanttocontinue(y/n)n?yDisabledport2/1tomonitortransmittrafficofVLAN522Console(enable)4 .RSPAN源端口和目的端口不在同一臺交換機上，此時的SPAN會話稱為遠端SPAN或RSPAN(RemoteSPANorR