Cisco端口鏡象詳解(span,vspan,rspan )11

第頁Cisco端口鏡象詳解(span,vspan,rspan)一、SPAN簡介

SPAN技術(shù)主要是用來監(jiān)控交換機上的數(shù)據(jù)流，大體分為兩種類型，本地SPAN和遠(yuǎn)程SPAN.

LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，實現(xiàn)方法上稍有不同。

利用SPAN技術(shù)我們可以把交換機上某些想要被監(jiān)控端口〔以下簡稱受控端口〕的數(shù)據(jù)流COPY或MIRROR一

份，發(fā)送給連接在監(jiān)控端口上的流量分析儀，比方CISCO的IDS或是裝了SNIFFER工具的PC.受控端口和

監(jiān)控端口可以在同一臺交換機上〔本地SPAN〕，也可以在不同的交換機上〔遠(yuǎn)程SPAN〕。

二、名詞解釋

SPANSession--SPAN會話

SPAN會話是指一組受控端口與一個監(jiān)控端口之間的數(shù)據(jù)流。可以同時對多個端口的進(jìn)入流量或是一個端

口的外出流量進(jìn)展監(jiān)控，也可以對VLAN內(nèi)所有端口的進(jìn)入流量進(jìn)展監(jiān)控，但不能同時對多個端口的外出

流量及VLAN的外出流量進(jìn)展監(jiān)控，可以對處于關(guān)閉狀態(tài)的端口設(shè)置SPAN，但此時的SPAN會話是非活動，

但只要相關(guān)的接口被翻開，SPAN就會變?yōu)榛顒拥摹?/p>

監(jiān)控端口最好是>=受控端口的帶寬，否那么可能會出現(xiàn)丟包的情況。

SPANTraffic--SPAN的流量

使用本地SPAN可以監(jiān)控所有的網(wǎng)絡(luò)流量，包括multicast、bridgeprotocoldataunit(BPDU)，和CDP、

VTP、DTP、STP、PagP、LACPpackets.RSPAN不能監(jiān)控二層協(xié)議。

TrafficTypes--流量類型被監(jiān)控的流量類型分為三種，Receive(Rx)SPAN受控端口的接收流量，Transmit(Tx)SPAN受控端口

的發(fā)送流量，Both一個受控端口的接收和發(fā)送流量。

SourcePort--SPAN會話的源端口〔也就是monitoredport-即受控端口〕

受控端口可以是實際的物理端口、VLAN、以太通道端口組EtherChannel，物理端口可以在不同的VLAN中，

受控端口如果是VLAN那么包括此VLAN中的所以物理端口，受控端口如果是以太通道那么包括組成此以太通道組

的所有物理端口，如果受控端口是一個TRUNK干道端口，那么此TRUNK端口上承載的所有VLAN流量都會受到監(jiān)

控，也可以使用filtervlan參數(shù)進(jìn)展調(diào)整，只對filtervlan中指定的VLAN數(shù)據(jù)流量做監(jiān)控。

DestinationPort--SPAN會話的目的端口〔也就是monitoringport-即監(jiān)控端口〕

監(jiān)控端口只能是單獨的一個實際物理端口，一個監(jiān)控端口同時只能在一個SPAN會話中使用，監(jiān)控

端口不參與其它的二層協(xié)議如：Layer2protocols

CiscoDiscoveryProtocol(CDP),

VLANTrunkProtocol(VTP),

DynamicTrunkingProtocol(DTP),

SpanningTreeProtocol(STP),

PortAggregationProtocol(PagP),

LinkAggregationControlProtocol(LACP).

缺省情況下監(jiān)控端口不會轉(zhuǎn)發(fā)除SPANSession以外的任何其它的數(shù)據(jù)流，也可以通過設(shè)置ingress

參數(shù)，翻開監(jiān)控端口的二層轉(zhuǎn)發(fā)功能，比方當(dāng)連接CISCOIDS的時會有這種需求，此時IDS不僅要接

收SPANSession的數(shù)據(jù)流，IDS舊碓諭韁謝夠嵊肫淥璞贛型ㄑ讀髁浚砸蚩囁囟絲詰?

二層轉(zhuǎn)發(fā)功能。ReflectorPort--反射端口

反射端口只在RSPAN中使用，與RSPAN中的受控端口在同一臺交換機上，是用來將本地的受控端口流量

轉(zhuǎn)發(fā)到RSPAN中在另一臺交換機上的遠(yuǎn)程監(jiān)控端口的方法，反射端口也只能是一個實際的物理端口，

它不屬于任何VLAN(ItisinvisibletoallVLANs.)。

RSPAN中還要使用一個專用的VLAN來轉(zhuǎn)發(fā)流量，反射端口會使用這個專用VLAN將數(shù)據(jù)流通過TRUNK端口

發(fā)送給其它的交換機，遠(yuǎn)程交換機再通過此專用VLAN將數(shù)據(jù)流發(fā)送到監(jiān)控端口上的分析儀。

關(guān)于RSPANVLAN的創(chuàng)立，所有參與RSPAN的交換機應(yīng)在同一個VTP域中，不能用VLAN1，也不能用

1002-1005，這是保存的(reservedforTokenRingandFDDIVLANs)，如果是2-1001的標(biāo)準(zhǔn)VLAN，

那么只要在VTPServer上創(chuàng)立即可，其它的交換時機自動學(xué)到，如果是1006-4094的擴展VLAN，那么需要

在所有交換機上創(chuàng)立此專用VLAN.

反射端口最好是>=受控端口的帶寬，否那么可能會出現(xiàn)丟包的情況。

VLAN-BasedSPAN--基于VLAN的SPAN

基于VLAN的SPAN只能監(jiān)控VLAN中所有活動端口接收的流量(onlyreceived(Rx)traffic)，如果

監(jiān)控端口屬于此VLAN，那么此端口不在監(jiān)控范圍內(nèi)，VSPAN只監(jiān)控進(jìn)入交換機的流量，不對VLAN接口上

的路由數(shù)據(jù)做監(jiān)控。

(VSPANonlymonitorstrafficthatenterstheswitch,nottrafficthatisroutedbetweenVLANs.

Forexample,ifaVLANisbeingRx-monitoredandthemultilayerswitchroutestraffic

fromanotherVLANtothemonitoredVLAN,thattrafficisnotmonitoredandisnotreceived

ontheSPANdestinationport.)

三、SPAN和RSPAN與其它特性的互操作性Routing--SPAN不監(jiān)控VLAN間的路由數(shù)據(jù)；(不好理解)

Routing—IngressSPANdoesnotmonitorroutedtraffic.VSPANonlymonitorstrafficthat

enterstheswitch,nottrafficthatisroutedbetweenVLANs.Forexample,ifaVLANis

beingRx-monitoredandthemultilayerswitchroutestrafficfromanotherVLANtothe

monitoredVLAN,thattrafficisnotmonitoredandnotreceivedontheSPANdestinationport.

STP--監(jiān)控端口和反射端口不會參與STP，但SPAN對受控端口的STP沒有影響；

CDP--監(jiān)控端口不參與CDP；

VTP--RSPANVLAN可以被修剪pruning；

VLANandtrunking--可以修改受控端口、監(jiān)控端口和反射端口的VLAN和TRUNK設(shè)置，受控端口的改變

會立即生效，而監(jiān)控端口和反射端口那么要在從SPAN中去除后才會生效；

EtherChannel--整個以太通道組可以做為受控端口使用，如果一個屬于某個以太通道組的物理端口被

配成了受控端口、監(jiān)控端口或反射端口，那么此端口會自動從以太通道組去除，當(dāng)SPAN

刪除后，它又會自動參加原以太通道組；

QoS--由于受QoS的策略影響，監(jiān)控端口上收到的數(shù)據(jù)流會與受控端口實際的數(shù)據(jù)流不同，比方DSCP值

被修改等；

Multicast--SPAN可以監(jiān)控組播的數(shù)據(jù)流；Portsecurity--平安端口不能做為監(jiān)控端口使用；

802.1x--受控端口、監(jiān)控端口和反射端口上可以設(shè)置802.1x，但有些限制。

四、SPAN和RSPAN的配置舉例

SPAN的限制和缺省設(shè)置

Catalyst3550交換機上最多只能設(shè)置兩個SPANSession，缺省SPAN沒有使用，如果做了設(shè)置，缺省

情況下，第一個被設(shè)為受控端口的接口進(jìn)出流量都會受到監(jiān)控，以后再追加的受控端口只會對接收的

流量進(jìn)展監(jiān)控，監(jiān)控端口的默認(rèn)封裝類型為Native，也就是沒有打VLAN的標(biāo)記。

1、ConfiguringSPAN--配置本地SPAN

Switch(config)#nomonitorsession1//先去除可能已經(jīng)存在SPAN設(shè)置

Switch(config)#monitorsession1sourceinterfacefastethernet0/10

//設(shè)定SPAN的受控端口

Switch(config)#monitorsession1destinationinterfacefastethernet0/20

//設(shè)定SPAN的監(jiān)控端口

Switch#shmonSession1

Type:LocalSession

SourcePorts:

Both:Fa0/10//注意此處是Both

DestinationPorts:Fa0/20

Encapsulation:Native

Ingress:Disabled

Switch(config)#monitorsession1sourceinterfacefastethernet0/11-13

//添加SPAN的受控端口

Switch#shmon

Session1

Type:LocalSession

SourcePorts:

RXOnly:Fa0/11-13//注意此處是RXOnly

Both:Fa0/10//注意此處還是Both

DestinationPorts:Fa0/20

Encapsulation:Native

Ingress:DisabledSwitch(config)#monitorsession1destinationinterfacefastethernet0/20ingressvlan5

//設(shè)定SPAN的監(jiān)控端口并啟用二層轉(zhuǎn)發(fā)

Switch#shmon

Session1

Type:LocalSession

SourcePorts:

RXOnly:Fa0/11-13

Both:Fa0/10

DestinationPorts:Fa0/20

Encapsulation:Native

Ingress:Enabled,defaultVLAN=5//允許正常的流量進(jìn)入

Ingressencapsulation:Native

2、VLAN-BasedSPAN--基于VLAN的SPAN

Switch(config)#nomonitorsession2

Switch(config)#monitorsession2sourcevlan101-102rx

Switch(config)#monitorsession2destinationinterfacefastethernet0/30

Switch#shmonses2

Session2

Type:LocalSession

SourceVLANs:

RXOnly:101-102//注意此處是RXOnly

DestinationPorts:Fa0/30

Encapsulation:Native

Ingress:Disabled

Switch(config)#monitorsession2sourcevlan201-202rx

Switch#shmose2

Session2

Type:LocalSession

SourceVLANs:

RXOnly:101-102,201-202//注意此處多了201-202

DestinationPorts:Fa0/30

Encapsulation:Native

Ingress:Disabled

3、SpecifyingVLANstoFilterSwitch(config)#nomonitorsession2

Switch(config)#monitorsession2sourceinterfacefastethernet0/48rx

Switch(config)#monitorsession2filtervlan100-102//指定受控的VLAN范圍

Switch(config)#monitorsession2destinationinterfacefastethernet0/30

Switch#shmonses2

Session2

Type:LocalSession

SourcePorts:

Both:Fa0/48

DestinationPorts:Fa0/30

Encapsulation:Native

Ingress:Disabled

FilterVLANs:100-102//只監(jiān)控VLAN100-102中的流量

4、ConfiguringRSPAN--配置遠(yuǎn)程RSPAN

RSPAN的Session分成RSPANSourceSession和RSPANDestinationSession兩局部，所以

相應(yīng)的配置也要分別在Session的源和目的交換機上做。4.1、首先要配置專用的RSPANVLAN

Switch(config)#vlan800

Switch(config-vlan)#remote-span

Switch(config-vlan)#end

sw1#shvlid800

VLANNameStatusPorts

800VLAN0800activeFa0/47,Fa0/48

VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2

800enet1008001500-----00

RemoteSPANVLAN

Enabled//注意看此處的提示

PrimarySecondaryTypePorts

4.2、配置RSPANSourceSessionSwitch(config)#nomonitorsession1

Switch(config)#monitorsession1sourceinterfacefastethernet0/10-13

Switch(config)#monitorsession1sourceinterfacefastethernet0/15rx

Switch(config)#monitorsession1destinationremotevlan800reflector-portfastethernet0/20

sw1#shmose1

Session1

Type:RemoteSourceSession

SourcePorts:

RXOnly:Fa0/11-13,Fa0/15

Both:Fa0/10

ReflectorPort:Fa0/20

DestRSPANVLAN:800

4.3、配置RSPANDestinationSession

Switch(config)#monitorsession1sourceremotevlan800

Switch(config)#monitorsession1destinationinterfacefastethernet0/30

Switch(config)#end

sw2#shmose1

Session1

Type:RemoteDestinationSession

SourceRSPANVLAN:800

DestinationPorts:Fa0/30

Encapsulation:Native

Ingress:Disabled

(VLAN-BasedRSPAN)基于VLAN的RSPAN也和上面的方法類似，只不過受控的是整個VLAN.

啟用監(jiān)控端口的二層轉(zhuǎn)發(fā)以及SpecifyingVLANstoFilter的方法也和本地SPAN一樣，

此處不再舉例。詳見CISCOCD.

五、Catalyst4000/4500系列交換機的SPAN配置

ConfiguringSPAN

命令如下：

setspan{src_mod/src_ports|src_vlan|sc0}dest_mod/dest_port[rx|tx|both]

[inpkts{enable|disable}][learning{enable|disable}]

[multicast{enable|disable}][create]

setspan中的create參數(shù)用于創(chuàng)立多個SPANSession.

showspan

setspandisable[dest_mod/dest_port|all]

舉例：ThisexampleshowshowtoconfigureSPANsothatboththetransmitandreceive

trafficf