RSPAN.docx

RSPAN.docx

《RSPAN.docx》由会员分享，可在线阅读，更多相关《RSPAN.docx（14页珍藏版）》请在冰豆网上搜索。

RSPAN

1.21            RSPAN配置

1.本章描述锐捷设备的RSPAN配置。

1.21.1       概述

2.远程端口镜像（RSPAN）是本地端口镜像（SPAN）的扩展，远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口之间可以跨越多个网络设备。

这样网络管理员就可以坐在中心机房通过分析仪观测远端被镜像端口的数据报文。

3.RSPAN实现的功能是将所有的被镜像报文通过一个特殊的RSPANVLAN（称为RemoteVLAN）传递到远端镜像设备的目的端口，典型应用拓扑如下所示：

4.

1.RSPAN典型应用拓扑图

5.图中各设备的角色分为三种：

1.⏹        源交换机：

远程镜像源端口所在的交换机，负责将源端口的报文复制一份从源交换机的输出端口输出，通过RemoteVLAN进行转发，传输给中间交换机或目的交换机。

2.⏹        中间交换机：

网络中处于源交换机和目的交换机之间的交换机，通过RemoteVLAN把镜像报文传输给下一个中间交换机或目的交换机。

如果源交换机与目的交换机直接相连，则不存在中间交换机。

3.⏹        目的交换机：

远程镜像目的端口所在的交换机，将从RemoteVLAN接收到的镜像报文通过镜像目的端口转发给监控设备。

6.各个交换机上参与RSPAN的端口如下所示。

交换机

参与镜像的端口

作用

源交换机

源端口（SourcePort）

被监测的用户端口，通过本地端口镜像把用户数据报文复制到指定的输出端口或者反射端口（Reflectorport），源端口可以有多个

反射端口（Reflector

Port）

反射端口用于“一对多镜像”，从镜像源端口进入交换机的数据报文，通过反射端口的“反射”，从输出端口输出。

反射端口无法作为正常的端口转发流量，所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口，且不要在该端口上添加其它配置。

输出端口

将镜像报文发送到中间交换机或者目的交换机

中间交换机

普通端口

将镜像报文发送到目的交换机。

建议中间交换机上配置两个Trunk端口，和两侧的设备相连

目的交换机

源端口

接收远程镜像报文

镜像目的端口（Destinationport）

远程镜像报文的监控端口

7.为了实现远程端口镜像功能，需要定义一个特殊的VLAN，称之为RemoteVLAN。

这个VLAN只传输镜像报文，不能用来承载正常的业务数据。

所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的指定端口，实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。

说明

1.⏹         在源交换机、中间交换机和目的交换机上，RSPAN与本地SPAN功能可以共存，互不冲突。

2.⏹         远程镜像RemoteVLAN内的报文不影响设备的CPU利用率

3.⏹         支持指定镜像目的口允许或不允许对外通讯，默认不允许对外通讯。

4.⏹         建议将镜像源端口和反射口设置于不同VLAN内。

5.⏹         不支持AP（AggregatePort）口设置为反射口。

6.⏹         RemoteVLAN不能是VLAN1，也不能是PrivateVLAN。

7.⏹         RemoteVLAN不参与GVRP。

8.

2.21.2       配置RSPAN

1.21.2.1 配置准备

4.⏹        确定源交换机、中间交换机、目的交换机

5.⏹        确定镜像源端口、反射端口、镜像目的端口、RemoteVLAN

6.⏹        通过配置保证RemoteVLAN内从源交换机到目的交换机的二层互通性

7.⏹        确定被监控报文的方向

8.⏹        启用RemoteVLAN

2.21.2.2 源交换机上的配置

9.⏹        RSPAN会话

10.⏹        源端口

11.⏹        输出端口

12.⏹        RemoteVLAN

13.⏹        VSPAN配置

14.⏹        一对多镜像

15.⏹        配置步骤

1.21.2.2.1RSPAN会话

9.RSPAN会话具有本地SPAN会话相同的特性，具体见SPAN配置指南。

2.21.2.2.2源端口

10.源端口也被称为被监控口，在RSPAN会话中，源端口上的数据流被监控，用于网络分析或故障排查。

在单个RSPAN会话中，用户可以监控输入、输出或双向数据流，且源端口的个数没有限制。

11.源端口具有以下特性：

16.⏹        源端口可以是switchedport，routedport或AP（AggregatePort）；

17.⏹        支持将源设备上的多个源端口镜像到指定的输出端口；

18.⏹        源端口与输出端口不能为同一端口；

19.⏹        当镜像源端口为三层接口时，监控的报文包括二层报文和三层报文；

20.⏹        在双向监控多个端口的情况下，一份报文由一个端口进入，从另外一个端口输出，只要有监控到一份报文视为正确；

21.⏹        当启用STP的端口处于block状态时，该端口输入、输出的报文能够被监控到；

22.⏹        源端口和目的端口可以属于同一VLAN，也可以属于不同VLAN。

3.21.2.2.3输出端口

12.RSPAN镜像数据流从源设备的输出端口向中间设备广播出去，输出端口具有以下特性：

23.⏹        输出端口可以是switchedport，routedport或AP（AggregatePort）。

24.⏹        输出端口只能属于一个RSPAN会话。

4.21.2.2.4RemoteVLAN

13.RSPAN镜像的数据流通过RemoteVLAN进行广播，这个VLAN只传输镜像报文，不能用来承载正常的业务数据。

所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的指定端口，实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。

14.RemoteVLAN具有以下特性：

25.⏹        RemoteVLAN不能是VLAN1，也不能是PrivateVLAN。

26.⏹        一个RemoteVLAN对应一个RSPANsession。

15.

说明

8.⏹         反射口需要加入RemoteVLAN。

9.⏹         反射端口无法作为正常的端口转发流量，所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口，且不要在该端口上添加其它配置。

5.21.2.2.5VSPAN配置

16.VSPAN是VLANSPAN的简称，是指将某些VLAN的数据流作为数据源镜像到目的设备的目的端口。

17.VSPAN具有以下特性：

27.⏹        可以指定某个VLAN作为镜像的数据源，这个VLAN不能是RemoteVLAN。

配置命令为monitorsessionsession-numsourcevlanvlan-id[rx|tx|both]。

28.⏹        可以指定某些VLAN作为镜像的数据源，这些VLAN不能是RemoteVLAN。

配置命令为monitorsessionsession-numfiltervlanvlan-id-list。

6.21.2.2.6一对多镜像

18.RSPAN会话支持多个目的设备，每个目的设备上支持1个目的端口。

为支持一对多镜像，需要在源设备上使用如下命令配置反射口：

命令

作用

Step1

Ruijie（config）#monitorsessionsession_numdestinationremotevlanremote_vlan-id[reflector-port]interfaceinterface-name[switch]

配置远程源镜像组的RemoteVLAN和远程反射端口，反射端口必须加入RemoteVLAN，Switch关键字表示目的口参与交换。

19.

20.

说明

反射口需要加入RemoteVLAN。

反射端口无法作为正常的端口转发流量，所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口，且不要在该端口上添加其它配置。

7.21.2.2.7配置步骤

21.源设备的配置步骤如下所示：

命令

作用

Step1

Ruijie#configure

进入全局配置模式

Step2

Ruijie（config）#vlanvlan-id

进入Vlan配置模式

Step3

Ruijie（config-Vlan）#remote-span

设置Vlan为remote-spanVlan

Step4

Ruijie（config-Vlan）#exit

退到全局配置模式

Step5

Ruijie（config）#monitorsessionsession_numremote-source

配置远程源镜像

Step6

Ruijie（config）#monitorsessionsession-numsourceinterfaceinterface-name[rx|tx|both]

配置远程镜像源端口（源口的rx，tx可以配置到同一个目的口，也可以配置到不同的目的口，但每一个只能配置到一个目的口）

Step7

Ruijie（config）#monitorsessionsession_numdestinationremotevlanremote_vlan-id[reflector-port]interfaceinterface-name[switch]

配置远程源镜像组的RemoteVLAN和远程反射端口

反射端口必须加入RemoteVLAN

Step8

Ruijie（config）#monitorsessionsession_numbersourceinterfaceinterface-idrxaclname

设定需要镜像的流所匹配的aclname

22.

说明

10.⏹         建议不要将普通端口加入RemoteVLAN。

11.⏹         不要在与中间交换机或目的交换机相连的端口上配置镜像源端口，否则可能引起网络内的流量混乱。

12.⏹         在一个RSPAN会话中，中间交换机如果有使用非-E系列线卡的端口作为转发口，源交换机在同一时刻只能配置RX镜像或者TX镜像。

此时，如果源设备进行RX镜像和TX镜像的交替配置时，需要去中间交换机上执行清除RemoteVLAN内MAC地址的操作。

3.21.2.3 中间交换机上的配置

23.RSPAN会话的中间设备确保远程镜像VLAN内的报文的透传，配置过程如下：

命令

作用

Step1

Ruijie#configure

进入全局配置模式

Step2

Ruijie（config）#vlanvlan-id

进入Vlan配置模式

Step3

Ruijie（config-Vlan）#remote-span

设置Vlan为remote-spanVlan

Step4

Ruijie（config-Vlan）#exit

退到全局配置模式

4.21.2.4 目的交换机上的配置

1.21.2.4.1目的端口

24.RSPAN远程设备将RemoteVLAN接收到的镜像报文通过目的端口转发给监控设备。

目的端口具有如下特性：

29.⏹        目的端口可以是switchedport，routedport或AP（AggregatePort）。

30.⏹        用户可以指定镜像目的端口允许或不允许对外通讯，默认状态是不允许对外通讯。

目的端口处于不允许通讯状态下时，既不允许转发其他端口的数据报文，也不允许转发CPU发出的报文。

2.21.2.4.2配置步骤

命令

作用

Step1

Ruijie#configure

进入全局配置模式

Step2

Ruijie（config）#vlanvlan-id

进入vlan配置模式

Step3

Ruijie（config-Vlan）#remote-span

设置vlan为remote-spanvlan

Step4

Ruijie（config-Vlan）#exit

退到全局配置模式

Step5

Ruijie（config）#monitorsessionsession_numremote-destination

配置远程目的镜像

Step6

Ruijie（config）#monitorsessionsession-numdestinationremotevlanvlan-idinterfaceinterface-name[switch]

配置RemoteVLAN和远程镜像目的端口

Switch关键字表示目的口参与交换

Step7

Ruijie（config）#interfaceinterface-name

进入远程镜像目的端口

Step8

Ruijie（config-if）#switchportaccessvlanvid|switchporttrunknativevlanvid

vid表示remote-spanvlan的vid

如果目的口是access口，则把它加入remote-spanvlan

如果目的口是trunk口，则把它加入remote-spanvlan，并且将remote-spanvlan设置成它的nativevlan

5.21.2.5 基于流的RSPAN配置

25.RSPAN是对本地SPAN的扩展，因此RSPAN同样也支持基于流的镜像（具体配置见镜像的配置指南）。

说明

基于流的RSPAN不影响正常通讯。

用户可以在RSPAN源设备上配置源端口的in方向的ACL，支持标准ACL、扩展ACL、MACACL、自定义ACL。

用户可以在RSPAN源设备上配置源端口的in方向的端口ACL，可以在RSPAN目的设备上配置目的端口out方向的端口ACL。

用户可以在RSPAN源交换机上基于RemoteVLAN应用out方向的ACL，在RSPAN目的交换机上基于RemoteVLAN应用in方向的ACL。

3.21.3       显示RSPAN会话

命令

作用

Step1

Ruijie#showmonitor

显示镜像

示例：

Ruijie#showmonitor

sess-num:

1

src-intf:

GigabitEthernet0/4frame-typeBoth

dest-intf:

GigabitEthernet0/6

remotevlan3

4.21.4       配置举例

26.设备拓扑如下所示：

27.

2.RSPAN典型拓扑

1.21.4.1.1源交换机配置

Ruijie#configure

Ruijie（config）#vlan7

Ruijie（config-Vlan）#remote-span

Ruijie（config-Vlan）#exit

Ruijie（config）#interfacegigabitEthernet1/3

Ruijie（config-if）#switchportmodetrunk

Ruijie（config-if）#switchporttrunkallowedvlanadd7

Ruijie（config-if）#exit

Ruijie（config）#monitorsession2remote-source

Ruijie（config）#monitorsession2sourceinterfacegigabitEthernet1/2

28.（不支持反射口设备）

Ruijie（config）#monitorsession2destinationremotevlan7interfacegigabitEthernet1/3switch

29.（支持反射口设备）

Ruijie（config）#interfacegigabitEthernet1/1

Ruijie（config-if）#switchportaccessvlan7

Ruijie（config）#monitorsession2destinationremotevlan7reflector-portinterfacegigabitEthernet1/1switch

2.21.4.1.2中间交换机配置

Ruijie#configure

Ruijie（config）#vlan7

Ruijie（config-Vlan）#remote-span

Ruijie（config-Vlan）#exit

Ruijie（config）#interfacegigabitEthernet1/3

Ruijie（config-if）#switchportmodetrunk

Ruijie（config-if）#switchporttrunkallowedvlanadd7

Ruijie（config-if）#exit

Ruijie（config）#interfacegigabitEthernet1/4

Ruijie（config-if）#switchportmodetrunk

Ruijie（config-if）#switchporttrunkallowedvlanadd7

3.21.4.1.3目的交换机配置

Ruijie#configure

Ruijie（config）#vlan7

Ruijie（config-Vlan）#remote-span

Ruijie（config-Vlan）#exit

Ruijie（config）#interfacegigabitEthernet1/4

Ruijie（config-if）#switchportmodetrunk

Ruijie（config-if）#switchporttrunkallowedvlanadd7

Ruijie（config-if）#exit

Ruijie（config）#monitorsession2remote-destination

Ruijie（config）#monitorsession2destinationremotevlan7