一、SPAN的簡述
  
  1、所謂SPAN,是The Switched Port Analyzer的縮寫,通常被稱為埠鏡像或埠監聽。SPAN功能是基於交換機的,而交換機的原理不同於集線器:交換機在獲得了源埠的MAC位址後,會將流經該MAC位址的所有資料直接發往目標埠。如圖1所示,假如想要捕獲通過一個集線器連接在一起的主機A到主機B之間的網路通信,只要在這個集線器上加一個嗅探器就可以監聽該集線器上的所有埠,並可監聽到主機A到主機B之間的一切通信。
  

 


  在交換機上(如圖2),主機BMAC位址是向後學習的,AB間的單播通信只會被傳遞到主機B上,因此不會被監聽設備捕獲到:
  

 


  在該配置情況下,監聽設備只能捕獲到發往所有埠的通信洪流(如廣播和多播包)。我們只能人為的將從主機A上發出的資料拷貝一份發送到監聽口上。
  

   


  如圖3所示,一個監聽設備可以從交換機埠上接收所有從主機A上發出的資料包。該交換機埠即被稱為SPAN口。在接下來的內容中,本文將以Cisco Catalyst 2900/3500系列交換機為例,介紹SPAN功能的實現方法。
  
  2SPAN術語:
  
  入口資料流程(Ingress traffic):進入交換機的資料流程。
  
  出口資料流程(Egress traffic):送出交換機的資料流程。
  
  源(SPAN)口(Source (SPAN) Port):用於監聽使用SPAN功能的埠。
  
  目標(SPAN)口(Destination (SPAN) Port):被源埠所監聽的埠,通常情況下連有一個網路分析器。
  
  監聽口(Monitor Port):在Catalyst 2900XL/3500XL/2950術語中,監聽口也就是目標口。
  

 


  本地SPANLocal SPAN):即當監聽口都位於同一交換機上且作為目標口出現時。它與下麵的遠程SPAN相對。
  
  遠程SPANRSPANRemote SPAN or RSPAN):即指當某些源口作為目標口出現時,不處於同一交換機上。這種高級功能需要一個專門的VLAN去傳遞被交換機間SPAN功能所監聽的資料。目前該功能只能在使用CatOS 5.3操作系統Catalyst 6000 交換機上實現。
  
  ○ PSPAN:表示基於埠的SPAN。指在交換機目標口上由使用者指定的一個或多個源口。
  
  ○ VSPAN:表示基於VLANSPAN。指在一個給定交換機上,用戶可以用一條獨立命令去選擇監聽所有屬於一個特定VLAN的埠。
  
  管理源(Administrative Source):被配置成監聽狀態的源口或VLAN列表。
  
  操作源(Operational Source):處於實際監聽狀態的埠清單。這不同於管理源。例如:一個已經被關閉,但卻處於管理源中的埠,已不處於實際監聽狀態。
  
  二、在Catalyst 2900XL/3500XL交換機上實現SPAN配置
  
  1、功能的實現範圍和限制:
  
  埠監聽功能在Catalyst 2900XL/3500XL系列交換機上沒有大的擴展,而且相對容易理解。
  
  必要的話,可以創建多個本地PSPAN會話。例如,可以在所選定的目標SPAN口上配置PSPAN會話;或按你所希望的通過port monitor<介面名>命令去監聽僅在列表中出現的源口。管理口在Catalyst 2900XL/3500XL術語中實際上就是目標SPAN口。
  
  其主要限制在於,所有與一個已給定會話相關的埠(無論其是源口還是目標口)都必須屬於同一個VLAN
  
  假如你在port monitor命令中不指定任何介面的話,所有其他屬於同一個VLAN中的介面都將處於被管理狀態。
  
  ATM口是個例外,一般情況下不能作為被管理口,除非做特殊處理。在這裡我們不做討論。
  
  應用於具備管理功能的埠的限制條件主要有以下幾點:
  
  監聽口不能被置於一個快速乙太網或是千兆乙太網口組中。
  
  監聽口不能處於安全模式下。
  
  多重VLAN口不能作為監聽口。
  
  監聽口與被監聽口必須處在同一VLAN組中。VLAN成員組中處於被監聽狀態的埠不允許變更為監聽口。
  
  監聽口不能是一個動態存取口或主幹口。但一個靜態存取口可以監聽一個主幹上的一個VLAN、一個多重VLAN或是一個動態存取口。被監聽的VLAN是一組靜態存取口。
  
  在監聽口和被監聽口均為被保護口的情況下,埠監聽功能將無法實現。
  
  值得注意的是,一個處於管理狀態的埠不能運行跨接樹協議(STP),除非它是VLAN中處於鏡像狀態的埠。假如監聽口是環路的一部分(如將其聯接到一個集線器或橋接器上,在網路的某個部分上形成一個環路),如果未能使用STP協議對其進行保護的話,橋環狀態將導致災難性的後果。
  
  2、配置範例:
  
  在下例中,將同時創建兩個SPAN會話。
  
  快速乙太網口Fa0/1將被用來管理通過Fa0/2Fa0/5發送和接收資料流程。同時也將管理管理介面Vlan1中進出的資料流程。
  
  快速乙太網口Fa0/4將被用來管理Fa0/3Fa0/6
  
  快速乙太網口Fa0/3Fa0/4Fa0/6將都被配置在Vlan2中;其他埠包括管理口將被配置在預設的Vlan1中。
  
  網路圖示:
  


  以下是在Catalyst 2900XL/3500XL環境中做的簡單配置:
  
  
  
  !
  

  interface FastEthernet0/1
  

  port monitor FastEthernet0/2
  

  port monitor FastEthernet0/5
  

  port monitor VLAN1
  

  !
  

  interface FastEthernet0/2
  

  !
  

  interface FastEthernet0/3
  

  switchport access vlan 2
  

  !
  

  interface FastEthernet0/4
  

  port monitor FastEthernet0/3
  

  port monitor FastEthernet0/6
  

  switchport access vlan 2
  

  !
  

  interface FastEthernet0/5
  

  !
  

  interface FastEthernet0/6
  

  switchport access vlan 2
  

  !
  

  
  
  !
  

  interface VLAN1
  

  ip address 10.200.8.136 255.255.252.0
  

  no ip directed-broadcast
  

  no ip route-cache
  

  !
  

  
  
  3、有關配置步驟的說明:
  
  若想將快速乙太網口Fa0/1配置為源埠Fa0/2Fa0/5和管理介面的目標埠。進入到配置模式後,首先選擇介面Fa0/1
  
  Switch(config)#int fa0/1
  

  然後列出所有被監聽的埠:
  
  Switch(config-if)#port monitor fastEthernet 0/2
  

  Switch(config-if)#port monitor fastEthernet 0/5
  

  在此情況下,所有被這兩個埠接收和發送的資料包都將被拷貝到Fa0/1上。接下來將管理介面配置成被監聽模式,可使用port monitor命令的變種形式:
  
  Switch(config-if)#port monitor VLAN 1
  

  注意:以上命令並不意味著埠Fa0/1將監聽整個VLAN1。關鍵字VLAN1在這裡只是單指交換機上的管理介面。
  
  下例中的命令本希望監聽與FastEthernet0/1分屬不同VLAN的埠FastEthernet0/3,而在現實中這是不可能實現的。
  
  Switch(config-if)#port monitor fastEthernet 0/3
  

  因為快速乙太網介面FastEthernet0/1 FastEthernet0/3 分屬不同的VLAN
  
  以上配置結束後,將進入到另一個配置會話中,這次將Fa0/4配置為目標SPAN口:
  
  Switch(config-if)#int fa0/4
  

  Switch(config-if)#port monitor fastEthernet 0/3
  

  Switch(config-if)#port monitor fastEthernet 0/6
  

  Switch(config-if)#^Z
  

  所有的工作完成後最好檢查一下配置結果,有兩條命令可供選擇:show runningshow port monitor
  
  Switch#show port monitor
  

  Monitor Port Port Being Monitored
  

  --------------------- ---------------------
  

  FastEthernet0/1 VLAN1
  

  FastEthernet0/1 FastEthernet0/2
  

  FastEthernet0/1 FastEthernet0/5
  

  FastEthernet0/4 FastEthernet0/3
  

  FastEthernet0/4 FastEthernet0/6
  

  注意:Catalyst 2900XL/3500XL系列交換機只能對同時對雙向資料流程做處理,而不能單獨對發送或接收的資料做分別處理,即只支援雙向SPAN
  
  三、在Catalyst 2950/Catalyst 3550系列交換機上實現SPAN配置
  
  1、下文主要說明如何在Catalyst 2950Catalyst 3550上配置SPAN功能。
  
  ○ Catalyst 2950交換機可以在某一時間僅啟動一個SPAN會話並只監聽源口,Catalyst 2950交換機不能監聽VLAN
  
  ○ Catalyst 3550交換機可以在同一時間內建立兩個SPAN會話,它既能監聽源口又可以監聽VLAN
  
  SPAN功能配置命令在Catalyst 2950Catalyst 3550交換機上的使用形式是類似的,只是Catalyst 2950交換機不能用來監聽VLAN
  
  2、以下是SPAN實現的範例:
  
  C2950#conf t
  

  C2950(config)#
  

  C2950(config)#monitor session 1 source interface fastEthernet 0/2
  

  !-- Interface fa 0/2 is configured as source port
  

  C2950(config)#monitor session 1 destination interface fastEthernet 0/3
  

  !-- Interface fa0/3 is configured as destination port
  

  C2950(config)#
  

  
  C2950#show monitor session 1
  

  Session 1
  

  ---------
  

  Source Ports:
  

  RX Only: None
  

  TX Only: None
  

  Both: Fa0/2
  

  Destination Ports: Fa0/3
  

  C2950#
  

  注意:
  
  (1)與Catalyst 2900XL/3500XL系列交換機不同的是,Catalyst 2950/3550系列交換機可以對不同方向的資料流程做區別處理,既支援單向又支援雙向。
  
  (2)使用Cisco IOS 12.0(5.2)WC(1)操作系統的Catalyst 2950交換機不支持以上命令,任何使用版本早於Cisco IOS 12.1(6)EA2的操作系統的Catalyst 2950交換機都不支持以上命令。


創作者介紹

阿肥的攝情記事本

hir818 發表在 痞客邦 PIXNET 留言(0) 人氣()