網(wǎng)絡工程師面試題(常見的90%都是這些)HR的題庫.doc

自己總結(jié)的網(wǎng)絡工程師的面試最經(jīng)典的題目：基本上百分之90都是這些1: 交換機是如何轉(zhuǎn)發(fā)數(shù)據(jù)包的?交換機通過學習數(shù)據(jù)幀中的源MAC地址生成交換機的MAC地址表，交換機查看數(shù)據(jù)幀的目標MAC地址，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)，如果交換機在表中沒有找到匹配項，則向除接受到這個數(shù)據(jù)幀的端口以外的所有端口廣播這個數(shù)據(jù)幀。2 簡述STP的作用及工作原理.作用:(1) 能夠在邏輯上阻斷環(huán)路，生成樹形結(jié)構(gòu)的拓撲;(2) 能夠不斷的檢測網(wǎng)絡的變化，當主要的線路出現(xiàn)故障斷開的時候，STP還能通過計算激活阻起到斷的端口，起到鏈路的備份作用。工作原理: STP將一個環(huán)形網(wǎng)絡生成無環(huán)拓樸的步驟：選擇根網(wǎng)橋（Root Bridge）選擇根端口（Root Ports）選擇指定端口（Designated Ports）生成樹機理每個STP實例中有一個根網(wǎng)橋每個非根網(wǎng)橋上都有一個根端口每個網(wǎng)段有一個指定端口非指定端口被阻塞 STP是交換網(wǎng)絡的重點,考察是否理解.3:簡述傳統(tǒng)的多層交換與基于CEF的多層交換的區(qū)別簡單的說:傳統(tǒng)的多層交換:一次路由,多次交換基于CEF的多層交換:無須路由,一直交換.4:DHCP的作用是什么,如何讓一個vlan中的DHCP服務器為整個企業(yè)網(wǎng)絡分配IP地址?作用:動態(tài)主機配置協(xié)議,為客戶端動態(tài)分配IP地址.配置DHCP中繼,也就是幫助地址.(因為DHCP是基于廣播的,vlan 或路由器隔離了廣播)5:有一臺交換機上的所有用戶都獲取不了IP地址,但手工配置后這臺交換機上的同一vlan間的用戶之間能夠相互ping通,但ping不通外網(wǎng),請說出排障思路.1:如果其它交換機上的終端設備能夠獲取IP地址,看幫助地址是否配置正確;2:此交換機與上連交換機間是否封裝為Trunk.3:單臂路由實現(xiàn)vlan間路由的話看子接口是否配置正確,三層交換機實現(xiàn)vlan間路由的話看是否給vlan配置ip地址及配置是否正確.4:再看此交換機跟上連交換機之間的級連線是否有問題;排障思路.6:什么是靜態(tài)路由？什么是動態(tài)路由？各自的特點是什么？靜態(tài)路由是由管理員在路由器中手動配置的固定路由，路由明確地指定了包到達目的地必須經(jīng)過的路徑，除非網(wǎng)絡管理員干預，否則靜態(tài)路由不會發(fā)生變化。靜態(tài)路由不能對網(wǎng)絡的改變作出反應，所以一般說靜態(tài)路由用于網(wǎng)絡規(guī)模不大、拓撲結(jié)構(gòu)相對固定的網(wǎng)絡。 靜態(tài)路由特點 1、它允許對路由的行為進行精確的控制； 2、減少了網(wǎng)絡流量； 3、是單向的； 4、配置簡單。動態(tài)路由是網(wǎng)絡中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由表的過程。是基于某種路由協(xié)議來實現(xiàn)的。常見的路由協(xié)議類型有：距離矢量路由協(xié)議（如RIP）和鏈路狀態(tài)路由協(xié)議（如 OSPF）。路由協(xié)議定義了路由器在與其它路由器通信時的一些規(guī)則。動態(tài)路由協(xié)議一般都有路由算法。其路由選擇算法的必要步驟1、向其它路由器傳遞路由信息； 2、接收其它路由器的路由信息； 3、根據(jù)收到的路由信息計算出到每個目的網(wǎng)絡的最優(yōu)路徑，并由此生成路由選擇表；4、根據(jù)網(wǎng)絡拓撲的變化及時的做出反應，調(diào)整路由生成新的路由選擇表，同時把拓撲變化以路由信息的形式向其它路由器宣告。 動態(tài)路由適用于網(wǎng)絡規(guī)模大、拓撲復雜的網(wǎng)絡。 動態(tài)路由特點： 1、無需管理員手工維護，減輕了管理員的工作負擔。 2、占用了網(wǎng)絡帶寬。 3、在路由器上運行路由協(xié)議，使路由器可以自動根據(jù)網(wǎng)絡拓樸結(jié)構(gòu)的變化調(diào)整路由條目；能否根據(jù)具體的環(huán)境選擇合適的路由協(xié)議7:簡述有類與無類路由選擇協(xié)議的區(qū)別有類路由協(xié)議:路由更新信息中不含有子網(wǎng)信息的協(xié)議,如RIPV1,IGRP無類路由協(xié)議:路由更新信息中含有子網(wǎng)信息的協(xié)議,如OSPF,RIPV2,IS-IS，EIGRP 是否理解有類與無類8:簡述RIP的防環(huán)機制1.定義最大跳數(shù) Maximum Hop Count （15跳）2.水平分割 Split Horizon （默認所有接口開啟，除了Frame-Relay的物理接口，可用sh ip interface 查看開啟還是關閉）3.毒化路由 Poizoned Route4.毒性反轉(zhuǎn) Poison Reverse （RIP基于UDP，UDP和IP都不可靠，不知道對方收到毒化路由沒有；類似于對毒化路由的Ack機制）5.保持計時器 hold-down Timer （防止路由表頻繁翻動）6.閃式更新 Flash Update7.觸發(fā)更新 Triggered Update （需手工啟動，且兩邊都要開 Router (config-if)# ip rip triggered ）當啟用觸發(fā)更新后，RIP不再遵循30s的周期性更新時間，這也是與閃式更新的區(qū)別所在。RIP的4個計時器：更新計時器（update）： 30 s無效計時器（invalid）： 180 s （180s沒收到更新，則置為possible down狀態(tài)）保持計時器（holddown）： 180s （真正起作用的只有60s）刷新計時器（flush）： 240s （240s沒收到更新，則刪除這條路由）如果路由變成possible down后，這條路由跳數(shù)將變成16跳，標記為不可達；這時holddown計時器開始計時。在holddown時間內(nèi)即使收到更優(yōu)的路由，不加入路由表；這樣做是為了防止路由頻繁翻動。什么時候啟用holddown計時器： “當收到一條路由更新的跳數(shù)大于路由表中已記錄的該條路由的跳數(shù)”9:簡述電路交換和分組交換的區(qū)別及應用場合. 電路交換連接根據(jù)需要進行連接每一次通信會話期間都要建立、保持，然后拆除在電信運營商網(wǎng)絡中建立起來的專用物理電路分組交換連接將傳輸?shù)臄?shù)據(jù)分組多個網(wǎng)絡設備共享實際的物理線路使用虛電路/虛通道（Virtual Channel）傳輸若要傳送的數(shù)據(jù)量很大，且其傳送時間遠大于呼叫時間，則采用電路交換較為合適；當端到端的通路有很多段的鏈路組成時，采用分組交換傳送數(shù)據(jù)較為合適。10:簡述PPP協(xié)議的優(yōu)點. 支持同步或異步串行鏈路的傳輸支持多種網(wǎng)絡層協(xié)議支持錯誤檢測支持網(wǎng)絡層的地址協(xié)商支持用戶認證允許進行數(shù)據(jù)壓縮11: pap和chap認證的區(qū)別PAP(口令驗證協(xié)議 Password Authentication Protocol)是一種簡單的明文驗證方式。NAS（網(wǎng)絡接入服務器，Network Access Server）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。CHAP(挑戰(zhàn)-握手驗證協(xié)議 Challenge-Handshake Authentication Protocol)是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發(fā)送一個挑戰(zhàn)口令（challenge），其中包括會話ID和一個任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠程客戶必須使用MD5單向哈希算法（one-way hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令，會話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。CHAP對PAP進行了改進，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令，所以服務器可以重復客戶端進行的操作，并將結(jié)果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰(zhàn)字串來防止受到再現(xiàn)攻擊（replay attack）。在整個連接過程中，CHAP將不定時的向客戶端重復發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠程客戶（remote client impersonation）進行攻擊。12:ADSL是如何實現(xiàn)數(shù)據(jù)與語音同傳的?物理層:頻分復用技術.(高頻傳輸數(shù)據(jù),低頻傳輸語音)具體講解的話可以說明:調(diào)制,濾波,解調(diào)的過程.13:OSPF中那幾種網(wǎng)絡類型需要選擇DR,BDR?廣播型網(wǎng)絡和非廣播多路訪問NBMA網(wǎng)絡需要選.14:OSPF中完全末梢區(qū)域的特點及適用場合特點:不能學習其他區(qū)域的路由不能學習外部路由完全末梢區(qū)域不僅使用缺省路由到達OSPF自主系統(tǒng)外部的目的地址,而且使用這個缺省路由到達這個區(qū)域外部的所有目的地址.一個完全末梢區(qū)域的ABR不僅阻塞AS外部LSA,而且阻塞所有匯總LSA.適用場合:只有一出口的網(wǎng)絡.15:OSPF中為什么要劃分多區(qū)域?1、減小路由表大小2、限制lsa的擴散3、加快收斂4、增強穩(wěn)定性16:NSSA區(qū)域的特點是什么?1.可以學習本區(qū)域連接的外部路由；2.不學習其他區(qū)域轉(zhuǎn)發(fā)進來的外部路由17:你都知道網(wǎng)絡的那些冗余技術,請說明.交換機的冗余性：spanningtree、ethernetchannel路由的冗余性:HSRP,VRRP,GLBP.(有必要的話可以詳細介紹)18:HSRP的轉(zhuǎn)換時間是多長時間?10s19:標準訪問控制列表和擴展訪問控制列表的區(qū)別.標準訪問控制列表:基于源進行過濾擴展訪問控制列表: 基于源和目的地址、傳輸層協(xié)議和應用端口號進行過濾20:NAT的原理及優(yōu)缺點.原理:轉(zhuǎn)換內(nèi)部地址,轉(zhuǎn)換外部地址,PAT,解決地址重疊問題.優(yōu)點:節(jié)省IP地址,能夠處理地址重復的情況,增加了靈活性,消除了地址重新編號,隱藏了內(nèi)部IP地址.缺點:增加了延遲,丟失了端到端的IP的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要更多的內(nèi)存來存儲一個NAT表,需要更多的CPU來處理NAT的過程.21: 對稱性加密算法和非對稱型加密算法的不同？對稱性加密算法的雙方共同維護一組相同的密鑰，并使用該密鑰加密雙方的數(shù)據(jù)，加密速度快，但密鑰的維護需要雙方的協(xié)商，容易被人竊?。环菍ΨQ型加密算法使用公鑰和私鑰，雙方維護對方的公鑰（一對），并且各自維護自己的私鑰，在加密過程中，通常使用對端公鑰進行加密，對端接受后使用其私鑰進行解密，加密性良好，而且不易被竊取，但加密速度慢.22: 安全關聯(lián)的作用？SA分為兩步驟：1.IKE SA，用于雙方的對等體認證，認證對方為合法的對端；2.IPSec SA，用于雙方認證后，協(xié)商對數(shù)據(jù)保護的方式.23: ESP和AH的區(qū)別？ESP除了可以對數(shù)據(jù)進行認證外，還可以對數(shù)據(jù)進行加密；AH不能對數(shù)據(jù)進行加密，但對數(shù)據(jù)認證的支持更好 .24: snmp的兩種工作方式是什么,有什么特點?首先,SNMP是基于UDP的,有兩種工作方式,一種是輪詢,一種是中斷.輪詢:網(wǎng)管工作站隨機開端口輪詢被管設備的UDP的161端口.中斷:被管設備將trap報文主動發(fā)給網(wǎng)管工作站的UDP的162端口.特點:輪詢一定能夠查到被管設備是否出現(xiàn)了故障,但實時性不好. 中斷實時性好(觸發(fā)更新),但不一定能夠?qū)rap報文報告給網(wǎng)管工作站. 網(wǎng)絡學員面試常見問題：1請你修改一下LINUX的視頻驅(qū)動和聲音驅(qū)動答： redhatlinux中用sndconfig來設置聲卡，如果沒有某個模塊，就需要重新編譯內(nèi)核(編譯最新發(fā)布的linux 內(nèi)核)，如果還不行，只好用ALSA 音效驅(qū)動程式. Redhat-config-2請你修改一下LINUX的啟動速度1.運行級別設為3 2.chkconfig從中可以關掉一些不需要的服務，如sendmail4請你說下怎么取消APACHE的目錄索引 Apache中第一個目錄設置都是在在他們之間的里面會有一個options的選項后面如果有indexes選項的話就是說如果在目錄下找不到主文件的話就把目錄下的內(nèi)容列出來如FTP一樣你把那個indexes去掉就好了5熱備份路由(HSRP)的實現(xiàn)方法答：通過共享一個IP地址和MAC地址，兩個或者多個路由器可以作為一個虛擬路由器，當某個路由器按計劃停止工作，或出現(xiàn)預料之外的故障時，其他路由器能夠無縫的接替它進行路由選擇。這使得LAN內(nèi)的主機能夠持續(xù)的向同一個IP地址和MAC地址發(fā)送IP數(shù)據(jù)包，路由器的故障切換對主機和其上的會話是透明的。已經(jīng)開始的TCP會話也可以承受故障切換6負載(集群)的實現(xiàn)方法兩臺計算機和一個磁盤柜是主要的硬件設備，每太計算機上有兩塊網(wǎng)卡，其中的一快網(wǎng)卡相互連接，來貞聽心跳指數(shù)，另一塊網(wǎng)卡連接公共網(wǎng)絡，當一臺計算機DOWN機以后，另外一臺計算機通過心跳指數(shù)來判斷，然后自己接替另外一臺計算機的工作，他們的數(shù)據(jù)放在公共的磁盤柜里。這樣可以使他們提供服務數(shù)據(jù)的一致性。7ACPHE的實現(xiàn)方法1. 基本配置KeepAlive 設置問 on MaxClient 5000 設置客戶端最大清楚數(shù)量5000ServerAdmin 設置管理員的e-mailServerName 設置服務器的FQDNDiretcoryIndex index.html index.php index.htm index.cgi 設置服務器默認文檔2. 分割配置任務在主配置文件中加入以下內(nèi)容 AllowOverride Options然后到“/var/www/html/private”目錄下建立”.htaccess”文件在里寫上 “Options -Indexes”重新啟動 httpd 服務 # service httpd restart3. 配置每個用戶的WEB站點修改主配置文件http.conf加入： UserDir disable root 禁止root用戶使用個人站點 Userdir public_html 每個用戶WEB站點的目錄去掉： AllowOverride FileInfo AuthConfig Limit Indexes Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Order allow,deny Allow from all Order deny,allow Deny from all 前面的注釋內(nèi)容在每個用戶的主目錄下建立public_html站點目錄。在站點目錄中建立網(wǎng)頁設置用戶目錄的權(quán)限為744 如果是動態(tài)網(wǎng)頁根據(jù)需求設置權(quán)限4. 認證和授權(quán)在主配置文件中加入以下內(nèi)容 對/var/www/html/private 目錄認證 AllowOverride None 不使用.htaccess文件 AuthType Basic 認證模式 AuthName benet 提示信息 AuthUserFile /var/www/passwd/benet 密碼文件存放路徑 require valid-user 授權(quán)給人證口令文件中的所有用戶在 /var/www/passwd/下生成密碼文件 #htpasswd c #htpasswd c benet benet 修改密碼文件的權(quán)限為apache#chown apache.apache benet重新啟動http服務8DNS的實現(xiàn)方法DNS的全稱是（Domain name system）有迭代查詢和遞歸查詢兩種方式9防火墻(LINUX)的實現(xiàn)方法10WEB服務器的負載均衡？在網(wǎng)卡屬性上有個負載均衡，然后在兩臺計算機上寫上他們共有的IP地址，就可以實現(xiàn)負載均衡了。11設計一個校園網(wǎng)絡方案（畫出拓撲圖）A用D-LINK產(chǎn)品（D-LINK是貓，單機上網(wǎng)用的； TP-LINK是路由器，多機上網(wǎng)用的）B用CISCO產(chǎn)品A用D-LINK產(chǎn)品B用CISCO產(chǎn)品12設計一個電子政務系統(tǒng)（畫出圖）寫出設計要點13寫出常用幾種網(wǎng)絡操作系統(tǒng)的優(yōu)缺點答：Linux是免費的軟件，源代碼公開，支持多用戶，多進程，多線程，實時性較好，功能強大而且穩(wěn)定，易用性較差。 Windows對客戶端軟件和多媒體軟件的支持較好，易用性強14用你自己熟悉的網(wǎng)絡產(chǎn)品設計電子銀行管理系統(tǒng)15raid0、1、5的特點和優(yōu)點。答：類型 特點 優(yōu)點raid0 兩塊磁盤、沒有冗余 速度快raid1 偶數(shù)塊容量相同的磁盤構(gòu)成 提供冗余 raid5 三塊以上容量相同的磁盤構(gòu)成 容錯功能好，速度快16SMTP，POP3端口號。答：SMTP TCP 25 POP3 TCP 11017OSI七層模型。答：OSI (Open System Internetwork) 應用層 （application layer） 表示層 （presentation layer） 會話層 （session layer） 傳輸層 （transport layer） 網(wǎng)絡層 （network layer） 數(shù)據(jù)鏈路層 （data link layer）物理層 （physical layer）18添加靜態(tài)路由命令。答：ip route network netmask next_hop19LINUX是實時還是分時操作系統(tǒng)。答：linux屬于分時操作系統(tǒng)20瀏覽網(wǎng)頁出現(xiàn)亂碼什么原因。21VLAN實現(xiàn)的功能隔離廣播域，實現(xiàn)區(qū)域劃分22IP子網(wǎng)劃分問題。23能否將WIN2000P升級成WIN2000S？答：無法將個人版操作系統(tǒng)升級成服務器版。24怎樣保證1個文檔的安全性？答：可以利用windows的NTFS權(quán)限，對存放該文件的文件夾授予自己可讀寫，其他人拒絕訪問的權(quán)限。再利用加密軟件（如PGP），對文檔進行對稱加密，確保文檔的機密性。25SAMBA實現(xiàn)什么功能？答：samba可以在windows和linux系統(tǒng)之間實現(xiàn)文件和打印機的共享。26怎樣實現(xiàn)VLAN間通信？在三層上啟用路由功能就可以了，在2層上要做單臂路由，通過路由器實現(xiàn)VLAN通信271個公有IP接入路由器，怎樣實現(xiàn)局域網(wǎng)上網(wǎng)？做代理服務器，或者做NAT地址轉(zhuǎn)換，把內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換成公共IP地址。28路由器中sh int 的意思是什么？ 答：查看路由器中的所有端口配置信息。29Windows 2000 也有了類似上面的（1中）界面的工具，叫做什么？ 答：“netsh”30在Windows 2000 的 cmd shell 下，輸入 netsh 顯示什么提示符？輸入 int ip顯示什么提示符？輸入 dump ，我們能看到什么內(nèi)容？ 答：在command line下依次輸入 netsh、int、ip、dump 顯示如下內(nèi)容：c:netsh netshint netsh interfaceipnetsh interface ipdump（在此輸入dump顯示一個配置腳本）可以看到當前系統(tǒng)的網(wǎng)絡配置31對于 Windows 95 和 Windows 98 的客戶機，使用 winipcfg 命令還是 ipconfig 命令？答：Windows 95和Windows 98的客戶機使用winipcfg來查看網(wǎng)絡配置信息。32要給出所有接口的詳細配置報告，包括任何已配置的串行端口使用什么命令？答：在該設備的特權(quán)模式下輸入show interface即可查看到該設備所有接口的詳細配置信息。33ipconfig /all命令的作用？答：可以用于查看所有網(wǎng)絡連接的詳細信息。34使用 Ping 命令的作用？ 答：ping命令主要用于測試網(wǎng)絡的連通性。35使用 Ping 命令的一般步驟：答：ping 查看TCP/IP協(xié)議及配置是否正確；ping 驗證是否正確地添加到網(wǎng)絡；ping 驗證網(wǎng)關是否運行以及能否與本地主機通訊；ping 驗證能否通過路由器通訊；通則說明正常，不通說明線路可能存在問題或使用了防火墻。36再用ping命令時如果用地址成功，但是用名稱 Ping 失敗，則問題有可能處在什么地方？為什么？答：問題可能出在主機到名稱服務器這段范圍內(nèi)，由于名稱服務器（DNS）無法為主機解析域名（不能將IP地址和域名相對應），所以ping地址成功，而ping名稱會失敗。37如果在任何點上都無法成功地使用 Ping命令怎么辦？答： 38說說ARP的解析過程。答：ARP用于把一個已知的IP地址解析成MAC地址，以便在MAC層通信。為了確定目標的MAC地址，首先查找ARP緩存表。如果要查找的MAC地址不在表中，ARP會發(fā)送一個廣播，從而發(fā)現(xiàn)目的地的MAC地址，并記錄到ARP緩存表中以便下次查找。39說說你知道的防火墻及其應用。防火墻可以隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡，能限制內(nèi)部網(wǎng)絡的行為，能防止外部網(wǎng)絡的攻擊，40ATM的禎 格式。41輸入網(wǎng)址到網(wǎng)頁打開數(shù)據(jù)經(jīng)過的過程答：客戶端輸入網(wǎng)址，請求與服務器的80端口建立連接。 服務器收到請求，并響應客戶端；客戶端接收到服務器的響應，準備開始接收數(shù)據(jù)。服務器開始發(fā)送數(shù)據(jù)。（三次握手）第1次握手：客戶端通過將一個含有“同步序列號（SYN）”標志位的數(shù)據(jù)段發(fā)送給服務器請求連接。第2次握手：服務器用一個帶有“確認應答（ACK）”和“同步序列號（SYN）”標志位的數(shù)據(jù)段響應客戶端。第3次握手：客戶端發(fā)送一個數(shù)據(jù)段確認收到服務器的數(shù)據(jù)段，并開始傳送實際數(shù)據(jù)。42TCP/IP 中各個字母代表的含義答：Transmission Control Protocol / Internet Protocol43.端口鏡像是怎么實現(xiàn)的？配置Catalyst交換端口分析器（SPAN） 介紹 交換端口分析器（SPAN）功能有時被稱為端口鏡像或端口監(jiān)控，該功能可通過網(wǎng)絡分析器（例如交換機探測設備或者其它遠程監(jiān)控（RMON）探測器）選擇網(wǎng)絡流量進行分析。以前，SPAN是Catalyst交換機族較為基本的功能，但最新推出的CatOS有許多增強功能，而且有許多功能是用戶現(xiàn)有才開始使用的。本文并不是SPAN功能的又一種配置指南，而是立足于介紹已實施的SPAN的最新功能。本文將對SPAN的一般問題進行回答 ，例如：SPAN是什么？我如何對它進行配置？有什么不同的功能（尤其是同時進行多個SPAN話路）？需要何種級別的軟件來執(zhí)行這些功能？SPAN是否會影響交換機的性能？開始配置前 規(guī)則 有關詳情，請參閱 Cisco技術提示規(guī)則。SPAN簡要介紹 SPAN是什么？為什么需要SPAN？ 在交換機上引入SPAN功能，是因為交換機和集線器有著根本的差異。當集線器在某端口上接收到一個數(shù)據(jù)包時，它將向除接收該數(shù)據(jù)包端口之外的其它所有端口發(fā)送一份數(shù)據(jù)包的拷貝。當交換機啟動時，它將根據(jù)所接收的不同數(shù)據(jù)包的源MAC地址開始建立第2層轉(zhuǎn)發(fā)表。一旦建立該轉(zhuǎn)發(fā)表，交換機將把指定了MAC地址的業(yè)務直接轉(zhuǎn)發(fā)至相關端口。 例如，如果您想要截獲從主機A發(fā)送至主機B的以太網(wǎng)業(yè)務，而兩臺主機是用集線器相連的，那么只要在該集線器上安裝一嗅探器，所有端口均可看見主機A和主機B之間的業(yè)務：在交換機中，當知道了主機B的MAC地址之后，從主機A到主機B的單播業(yè)務僅被轉(zhuǎn)發(fā)至主機B的端口，因此，嗅探器看不見：在這個配置中，嗅探器將僅截獲擴散至所有端口的業(yè)務，例如廣播業(yè)務、具有CGMP或者IGMP偵聽禁止的組播業(yè)務以及未知的單播業(yè)務。當交換機的CAM表中沒有目的地的MAC時，將發(fā)生單播泛濫。它無法理解向何處發(fā)送業(yè)務，而將數(shù)據(jù)包大量發(fā)送至VLAN中的所有端口。 將主機A發(fā)送的單播數(shù)據(jù)包人工復制到嗅探器端口需要一些附加功能來實現(xiàn)。在上面的圖表中，與嗅探器相連的端口配置為：對主機A發(fā)送的每一個數(shù)據(jù)包拷貝進行接收。該端口被稱為SPAN端口。下文各節(jié)將說明如何對該功能進行精確的調(diào)節(jié)，使其作用不僅僅限于監(jiān)控端口。 SPAN術語 入口業(yè)務： 進入交換機的業(yè)務。 出口業(yè)務： 離開交換機的業(yè)務。 源（SPAN）端口： 用SPAN功能受監(jiān)控的端口。 目的地（SPAN）端口： 監(jiān)控源端口的端口，通常連有一個網(wǎng)絡分析器。 監(jiān)控端口：在Catalyst2900xl/3500xl/2950術語中，監(jiān)控端口也是目的地SPAN端口。 本地SPAN： 當被監(jiān)控端口全部位于同一交換機上作為目的地端口時，SPAN功能為本地SPAN功能。這和下文中的遠程SPAN形成對比。 遠程SPAN或者RSPAN： 作為目的地端口的某些源端口沒有位于同一交換機上。這是一項高級功能，要求有專門的VLAN來傳送該業(yè)務，并由交換機之間的SPAN進行監(jiān)控。并非所有交換機均支持RSPAN，所以，請檢查各自的版本說明或者配置指南，來核實您要進行配置的交換機是否可以使用該功能。 PSPAN： 指基于端口的SPAN。用戶對交換機指定一個或者數(shù)個源端口以及一個目的地端口。 VSPAN: 指基于VLAN的SPAN。在給定的交換機中，用戶可以使用單個命令來選擇對屬于專門VLAN的所有端口進行監(jiān)控。 ESPAN ESPAN指SPAN增強版本。該術語在SPAN的發(fā)展期間數(shù)次用于命名新增功能，因此意義并不很明確。在本文中避免使用該術語。 管理源： 已配置受監(jiān)控的源端口或者VLAN的列表。 操作源： 受到有效監(jiān)控的端口列表。這可能和管理源有所不同。例如，在關閉模式下的端口可能在管理源中出現(xiàn)，但它不受到有效監(jiān)控。page所用的組件 本文使用CatOS 5.5作為Catalyst 4000、5000以及6000族的參考。在Catalyst 2900XL/3500XL族中使用了Cisco IOS(r)軟件版本12.0（5）XU。雖然本文以后會根據(jù)SPAN的變化而更新，但有關SPAN功能的最新發(fā)展情況，請參閱文檔的版本說明。 本文中所提供的信息是在從特殊實驗室環(huán)境下的設備中產(chǎn)生的。本文中所使用的所有設備均以缺省配置啟動。如果您是在實際網(wǎng)絡中作業(yè)，請確保您在使用所有命令之前，已了解這些命令可能產(chǎn)生的影響。.Catalyst 2900XL/3500XL交換機上的SPAN 提供的功能及限制 Catalyst 2900XL/3500XL中的端口監(jiān)控功能沒有太過擴展，因此比較容易理解。您可以根據(jù)需要創(chuàng)建多個本地PSPAN話路。例如，您可以在您選作目的地SPAN端口的端口配置創(chuàng)建PSPAN話路，只需用 端口監(jiān)視 命令列出您想監(jiān)控的源端口即可。在Catalyst 2900XL/3500XL的術語中，監(jiān)控端口其實是目的地SPAN端口。 主要限制在于：與給定話路相關的所有端口（無論源端口還是目的地端口）必須屬于同一VLAN。. 如果您沒有在端口監(jiān)控命令中指定任何接口，則作為接口的所有其它屬于同一VLAN的端口將受到監(jiān)控。 以下限制，摘自 Catalyst 2900XL/3500XL 的命令參考：ATM端口是唯一無法受到監(jiān)控的端口。然而您還是可以對ATM端口進行監(jiān)控。以下限制適用于具有端口監(jiān)控能力的各個端口： 快速EthernetChannel或者千兆EthernetChannel 端口群中不能有監(jiān)控端口。 因為端口安全性而無法啟用監(jiān)控端口。 監(jiān)控端口不可以是多VLAN端口。 當端口受到監(jiān)控時，監(jiān)控端口必須是同一VLAN的成員。對于監(jiān)控端口以及受到監(jiān)控的端口，不允許進行VLAN成員的改變。 監(jiān)控端口不可以是動態(tài)接入端口或者中繼端口。但是，靜態(tài)接入端口可以對中繼線上的VLAN、多VLAN或者動態(tài)接入端口進行監(jiān)控。受到監(jiān)控的VLAN與靜態(tài)接入端口有關聯(lián)。 如果監(jiān)控器以及受監(jiān)控端口為受保護端口，端口監(jiān)控將不起作用。有關功能沖突的補充信息，請參閱下文的鏈接： 管理交換機管理配置沖突 - Catalyst 2900XL/3500XL 系列 請注意，處于監(jiān)控狀態(tài)的端口不執(zhí)行生成樹協(xié)議（STP），但端口仍然屬于其鏡像的端口VLAN。如果端口監(jiān)控屬于某個環(huán)路的一部分（例如，當您將其連接至集線器或者網(wǎng)橋，而環(huán)接至網(wǎng)絡的其它部分時），您可能會以嚴重的橋接環(huán)路狀況收尾，因為您不再受到STP的保護。請參閱 “為什么我的SPAN話路會產(chǎn)生一個橋接環(huán)路？”一節(jié)， 看一看產(chǎn)生該情況的一個實例。 配置實例 在本例中，創(chuàng)建了兩個并行的SPAN話路。 端口Fa0/1將對由端口Fa0/2發(fā)送、端口Fa0/5接收的業(yè)務進行監(jiān)控。它也將對往返于管理接口VLAN 1的業(yè)務進行監(jiān)控。 端口Fa0/4將對端口Fa0/3以及Fa0/6進行監(jiān)控。端口Fa0/3、Fa0/4以及Fa0/6均在VLAN 2中進行配置；其它端口以及管理接口均在默認的VLAN 1中進行配置。 網(wǎng)絡圖 Catalyst 2900XL/3500XL上的配置樣本Catalyst 2900XL/3500XL上的配置樣本 ! interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5 ! interface FastEthernet0/6 switchport access vlan 2 ! ! interface VLAN1 ip address 36 no ip directed-broadcast no ip route-cache ! 配置步驟說明如果要將端口Fa0/1配置為源端口Fa0/2、Fa0/5以及管理接口的目的端口，請在配置模式中選擇接口Fa0/1： Switch(config)#int fa0/1 Enter the list of ports to be monitored: Switch(config-if)#port monitor fastEthernet 0/2 Switch(config-if)#port monitor fastEthernet 0/5 然后，這兩個端口接收的或者發(fā)送的數(shù)據(jù)包也會被復制到端口Fa0/1。使用另一版本的port monitor 命令對管理接口的監(jiān)控進行配置： Switch(config-if)#port monitor VLAN 1 注：?/B上文中的命令并不意味著端口Fa0/1將監(jiān)控整個VLAN 1。VLAN 1關鍵字僅指交換機的管理接口。 輸入以下命令說明在不同VLAN中監(jiān)控某個端口是不可能的：Switch(config-if)#port monitor fastEthernet 0/3 FastEthernet0/1 and FastEthernet0/3 are in different vlanTo finish the configuration, configure another session, this time using Fa0/4 as a destination SPAN port: Switch(config-if)#int fa0/4 Switch(config-if)#port monitor fastEthernet 0/3 Switch(config-if)#port monitor fastEthernet 0/6 Switch(config-if)#Z 檢查配置情況的最佳方法是發(fā)出簡單的 show running命令，或者使用 show port monitor 命令： Switch#show port monitor Monitor Port Port Being Monitored - - FastEthernet0/1 VLAN1 FastEthernet0/1 FastEthernet0/2 FastEthernet0/1 FastEthernet0/5 FastEthernet0/4 FastEthernet0/3 FastEthernet0/4 FastEthernet0/6注：?/BCatalyst 2900XL以及3500XL不支持單一接收方向的SPAN（Rx SPAN或者入口SPAN）或者單一發(fā)送方向的SPAN（Tx SPAN或者出口SPAN）。所有配置SPAN的受控端口必須既能進行業(yè)務接收（Rx）又能進行業(yè)務發(fā)送（Tx）。華為【3026等交換機鏡像】S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法：方法一1. 配置鏡像（觀測）端口 SwitchAmonitor-port e0/82. 配置被鏡像端口 SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定義鏡像和被鏡像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-