CISCO交换机的SPAN功能分析.docx
《CISCO交换机的SPAN功能分析.docx》由会员分享,可在线阅读,更多相关《CISCO交换机的SPAN功能分析.docx(10页珍藏版)》请在冰豆网上搜索。
CISCO交换机的SPAN功能分析
SPAN综述:
2
1.SPAN会话(SPANSession)4
2.目的端口(DestinationPort)4
3.源端口(SourcePort)4
4.流入SPAN(IngressSPAN)4
5.流出SPAN(EgressSPAN)5
6.基于VLAN的SPAN(VSPAN)5
7.其它概念5
CISCOCatalyst2900XL/3500XLSPAN6
1.CISCO2900XL/3500XL的SPAN原则:
6
2.Cisco2900XL/3500XL端口镜像配置6
3.Cisco2900XL/3500XL支持VLAN数7
CiscoCatalyst5500SPAN9
1、配置VTP9
2、配置TRUNK9
3、配置VLAN9
4、路由交换模块(RSM)上的VLAN之间路由配置10
5、端口镜像配置10
CISCOCatalyst6000SPANandRSPAN11
1.Cisco5000XL/6000XL支持SPAN和RSPAN数目11
2.配置SPAN12
3.关闭SPAN:
14
4.RSPAN14
硬件要求15
SPAN综述:
SPAN,又称为端口镜像(portmirroring)或端口监听(portmonitoring),是CISCOCatalyst交换机家族的基本功能之一。
其作用为使用网络分析仪对所选择的网络流量进行分析。
网络分析仪可以是一个交换机探头(SwitchProbe),也可以是远程监听探针(RMONprobe)。
基本概念:
1.SPAN会话(SPANSession)
2.目的端口(DestinationPort)
3.源端口(SourcePort)
4.流入SPAN(IngressSPAN)
5.流出SPAN(EgressSPAN)
6.基于VLAN的SPAN(VSPAN)
7.其它概念
SPAN参照图如下:
图1SPAN综述参照图
1.SPAN会话(SPANSession)
一个SPAN会话是一个目的端口和一组源端口组成,配置以正确的参数以说明被监听的网络流量。
在一个交换网络中可以配置多个SPAN会话。
SPAN会话对交换机的正常操作并没有影响。
SPAN会话可以有两种状态:
enable和disable。
SPAN会话在enable状态下才能起作用。
其状态可以用指令showspan查看。
2.目的端口(DestinationPort)
目的端口也称为监听端口(monitorport),SPAN就是将数据包送到目的端口进行分析的。
一旦某个端口被定义为目的端口,那么除了SPAN会话的数据流,它就不会转发任何其他数据。
在SPAN会话被激活的状态下,目的端口并不参与spanningtree。
注意在缺省状态下,目的端口关闭从网络流入交换机的数据。
如果作测试,要将端口的该选项打开。
3.源端口(SourcePort)
源端口是一个被监听用以进行网络流量分析的交换机端口。
通过源端口的数据流量可以被分为流入,流出,或者流入和流出三种类型。
在一个SPAN会话中可以有一个或多个源端口被监听,三种监听方式(流入,流出,或者流入和流出)可以由用户定义,并且适用于所有源端口。
可以在任意VLAN中配置源端口。
源端口也可以是一个VLAN(src_vlans),VLAN中所有端口都将是SPAN会话的源端口。
源端口分为管理源(AdminSource)和操作源(OperSource)或管理操作源。
管理源端口是在SPAN会话配置中所定义的源端口或源VLAN。
操作源端口是所有被目的端口所监听的源端口,包括VLAN中的端口。
4.流入SPAN(IngressSPAN)
流入SPAN将源端口所接受到的网络数据拷贝到目的端口进行分析。
5.流出SPAN(EgressSPAN)
流出SPAN将源端口所发送出的网络数据拷贝到目的端口进行分析。
6.基于VLAN的SPAN(VSPAN)
基于VLAN的SPAN(VSPAN)分析一个或多个VLAN的网络流量。
基于VLAN的SPAN(VSPAN)可以被配置为流入SPAN,流出SPAN,或二者都有的SPAN。
在VSPAN会话过程中,所有源VLAN中包括的端口都成为操作源端口。
如果目的端口属于任何一个管理源VLAN,则从操作源端口中排除掉。
若在管理源VLAN中添加或删除端口,则操作源也相应地变化。
7.其它概念
◆管理源(AdministrativeSource):
被监听的端口和VLAN的总称。
◆操作源(OperationalSource):
被有效地监听的端口的总和。
注意它和管理源有所区别。
例如,一个处于关闭状态的端口可以属于管理源范围,但不能被有效地监听。
◆本地SPAN(LocalSPAN):
当所有被监听的源端口与目的端口同处于一台交换机上,SPAN会话被称为本地SPAN。
◆远端SPAN或RSPAN(RemoteSPANorRSPAN):
源端口和目的端口不在同一台交换机上。
注意迄今为止,RSPAN只有Catalyst6000(CatOS5.3)支持。
◆封闭式VLAN:
这种VLAN将广播域出限于VLAN定义的设备范围内。
举例来说,假设你定义了基于端口的VLAN,它包含交换机的端口3、4和8,则这个VLAN是封闭的,只有这个小型端口组(端口3、4和8)中的帧能够一起交换。
◆开放式VLAN:
能够获得来自其他VLAN的数据。
当VLAN之间相互交错,某个端口同时位于多个VLAN中时,就形成了开放式VLAN。
由于交换机上的端口通常使用同一桥转发表(bridgeforwardingtable),顺此包含同一端口的两个或多个VLAN将看到来自其他VLAN的帧。
在某些情况下,开放式VLAN被认为存在“漏洞”。
CISCOCatalyst2900XL/3500XLSPAN
1.CISCO2900XL/3500XL的SPAN原则:
◆目的端口(监听端口)不能是快速以太网口(FastEtherChannel)或者千兆以太网口(GigabitEtherChannel)
◆目的端口不允许激活端口安全
◆目的端口不能属于多个VLAN
◆目的端口必须与被监听的端口属于同一个VLAN。
目的端口必须与被监听端口的VLAN属性不得改变
◆目的端口不能是一个动态访问(dynamic-access)的端口或是TRUNK端口。
但是一个静态访问(static-access)端口可以监听TRUNK上的一个VLAN,属于多VLAN的端口,或一个动态访问的端口。
,被监听的VLAN需要与静态访问端口有关联。
◆如果源端口和目的端口都是被保护的,则不能实行端口监听。
2.Cisco2900XL/3500XL端口镜像配置
Cisco2900XL/3500XL交换机使用IOS。
端口镜像的配置过程基本上与路由器的端口配置过程相仿。
c:
\>telnet
UserAccessVerification/*得到如路由器般的提示*/
Password:
SwitchName>/*SwitchName为该交换机的名字*/
SwitchName>enable/*允许特权命令*/
SwitchName#configterminal/*进入终端配置模式*/
SwitchName#interfacefastethernet/
/*进入对特定interface配置的状态*/
SwitchName#portmonitorinterface/vlan-id
/*在此可以使用某个端口镜像另一个端口的流量;也可以让某个端口镜像某个VLAN的流量,这种配置将使得整个VLAN对于这个Monitor端口来说类似整个VLAN连在一个HUB上。
不过该模式下,未测试过是否会造成overload。
*/
举例:
SwitchName>enable
SwitchName#configterminal
SwitchName#interfacefastethernet0/1
SwitchName#portmonitorfastethernet0/2
SwitchName#end(^z)
SwitchName#showportmonitor
MonitorPortPortBeingMonitored
------------------------------------------
FastEthernet0/1FastEthernet0/2
此时该交换机端口2的数据镜像到了端口1上。
在做Portmonitor时,也可以指定你的VLAN的ID来镜像整个VLAN给该端口。
3.Cisco2900XL/3500XL支持VLAN数
Catalyst2900XL/3500XL系列交换机可支持的MAC地址和多少个基于端口的VLAN?
请参见下表:
型号
支持MAC地址数
基于端口的VLAN数
Catalyst2912-XL
2048个MAC地址
64个基于端口的VLAN
Catalyst2912MF-XL
8192个MAC地址
250个基于端口的VLAN
Catalyst2924-XL
2048个MAC地址
64个基于端口的VLAN
Catalyst2924C-XL
2048个MAC地址
64个基于端口的VLAN
Catalyst2924M-XL
8192个MAC地址
250个基于端口的VLAN
Catalyst3500-XL系列
8192个MAC地址
250个基于端口的VLAN
CiscoCatalyst5500SPAN
1、配置VTP
setvtpdomainname–配置VTP协议的域名,同一VTP域名之间才能交换VLAN信息
setvtpmodeserver/client–server才能发布信息,client只能获得VLAN信息
setvtppruningenable---设置修剪模式使能
setvtppruningdisable---去掉修剪模式
2、配置TRUNK
trunk只有在100/1000M口才可以配置,5500可以支持802.1Q和ISL两种标准。
2、1ISLtrunk
settrunkmod_num/port_num[on|desirable|auto|nonegotiate]isl
---因1924/1912只能支持ISL标准,建议配置ISL。
showtrunk[mod_num/port_num]---查看PORTtrunk状态
2、2IEEE802.1QTrunk
settrunkmod_num/port_num[on|desirable|auto|nonegotiate]dot1q
showtrunk[mod_num/port_num]
3、配置VLAN
以太网VLAN配置:
setvlanvlan_num[namename]---设置或产生一个VLAN的名称和VLAN号
setvlanvlan_nummod_num/port_num--分配端口到指定的VLAN
showport[mod_num[/port_num]]---查看端口的工作状态
showvlan[vlan_num---查看交换机VLAN状况
4、路由交换模块(RSM)上的VLAN之间路由配置
进入全球配置模式后,见到router(config):
提示符
intvlan[vlan_num]------进入接口配置模式
ipaddrip_addressnetmask–-配置协议地址子网掩码
5、端口镜像配置
setspandisable[dest_mod/dest_port|all]----去掉所有端口镜像
setspan{src_mod/src_ports...|src_vlan...|sc0}{dest_mod/dest_port}[rx|tx|both] [inpkts{enable|disable}][learning{enable|disable}][multicast{enable|disable}] [create]----配置端口镜像的源和目的端口、镜像包的限制等。
Showspan-----查看端口镜像状况
CISCOCatalyst6000SPANandRSPAN
如果流入数据被目的端口所监听,则是在目的端口所在的VLAN进行交换。
注意:
在SPAN会话激活的状态下,目的端口不能参与SpanningTree!
1.Cisco5000XL/6000XL支持SPAN和RSPAN数目
在Catalyst6000系列交换机上,最多可以支持30个SPAN会话(并存在NVRAM)中,在Catalyst5000系列交换机上,可支持的SPAN会话最多为5个。
下表说明Catalyst5000XL/6000XL系列交换机可支持的最大SPAN和RSPAN会话数目。
对于每一个会话,可以配置多个端口或VLAN作为监听源。
SPAN/RSPAN会话数
Catalyst5000
Catalyst6000
rxorbothSPANsessions
1
2
txSPANsessions
4
4
tx,rx,orbothRSPANsourcesessions
-
1
RSPANdestinations
-
24
TotalSPANsessions
5
30
2.配置SPAN
在SPAN的配置中,源端口和目的端口必须在同一台交换机上。
Catalyst6000配置SPAN的命令格式如下:
setspan{src_mod/src_ports|src_vlans|sc0}{dest_mod/dest_port}[rx|tx|both][inpkts{enable|disable}][learning{enable|disable}][multicast{enable|disable}][filtervlans...][create]
例1:
将端口1/1(SPAN源端口)所发送和接受的流量被镜像到2/1(SPAN目的端口):
Console>(enable)setspan1/12/1
目的端口:
Port2/1
管理源:
Port1/1
操作源端口:
Port1/1
方向:
发送/接受
进入数据包:
关闭
监听:
开启
多播:
开启
例2:
将VLAN522设为SPAN的源,端口2/1为SPAN的目的端口:
Console>(enable)setspan5222/1
目的端口:
Port2/1
管理源:
VLAN522
操作源端口:
Port3/1-2
方向:
发送/接受
进入数据包:
关闭
监听:
开启
多播:
开启
Console>(enable)
例3:
将VLAN522设为SPAN的源,端口2/12为SPAN的目的端口,只有发送的数据被监听,在目的端口2/12上允许正常的数据流入:
Console>(enable)setspan5222/12txinpktsenable
目的端口:
Port2/12
管理源:
VLAN522
操作源端口:
Port2/1-2
方向:
发送
进入数据包:
开启
监听:
开启
多播:
开启
例4:
将端口3/2设为SPAN的源,端口2/2为SPAN的目的端口:
Console>(enable)setspan3/22/2txcreate
目的端口:
Port2/1
管理源:
Port3/1
操作源端口:
Port3/1
方向:
发送/接受
进入数据包:
关闭
目的端口:
Port2/2
管理源:
Port3/2
操作源端口:
Port3/2
方向:
发送
进入数据包:
关闭
监听:
开启
多播:
开启
Console>(enable)
3.关闭SPAN:
setspandisable[dest_mod/dest_port|all]
Thiscommandwilldisableyourspansession.
Doyouwanttocontinue(y/n)[n]?
y
Disabledport2/1tomonitortransmittrafficofVLAN522
Console>(enable)
4.RSPAN
源端口和目的端口不在同一台交换机上,此时的SPAN会话称为远端SPAN或RSPAN(RemoteSPANorRSPAN)。
注意迄今为止,RSPAN只有Catalyst6000(CatOS5.3)支持。
要实现RSPAN会话,需要对参与RSPAN会话的交换机定义一个RSPANVLAN,以承载RSPAN的数据。
源端口的数据不同于RSPANVLAN的数据,但是可以被交换到RSPANVLAN中,然后转发到RSPANVLAN所配置的目的端口。
除非端口被用于RSPAN,否则不要将其配置于RSPANVLAN中。
RSPAN配置示意图如下,图中交换机D为目的交换机,C为中间交换机,A为源交换机,端口D2为目的端口,端口A1,A2,B1,B2,B3为源端口。
图2RSPAN配置示意图
RSPAN硬件要求
如果要实现RSPAN,交换机的supervisorengine有如下要求:
◆对于源交换机:
◆SupervisorEngine1andPolicyFeatureCard(PFC):
WS-X6K-SUP1A-PFC
◆SupervisorEngine1,PFC,andmultilayerswitchfeaturecard(MSFC):
WS-X6K-SUP1A-MSFC
◆SupervisorEngine1,PFC,andMSFC2:
WS-X6K-S1A-MSFC2
◆SupervisorEngine2andPFC2:
WS-X6K-S2-PFC2
◆SupervisorEngine2,PFC2,andMSFC2:
WS-X6K-S1A-MSFC2.
◆对于目的或中间的交换机:
任何Catalyst6000系列的supervisorengine。
升级会员 