1、CISCO交换机的SPAN功能分析SPAN综述: 21SPAN会话 (SPAN Session) 42目的端口(Destination Port) 43源端口(Source Port) 44流入SPAN(Ingress SPAN) 45流出SPAN(Egress SPAN) 56基于VLAN的SPAN(VSPAN) 57其它概念 5CISCO Catalyst 2900XL/3500XL SPAN 61CISCO 2900XL/3500XL的SPAN原则: 62Cisco 2900XL/3500XL端口镜像配置 63Cisco 2900XL/3500XL支持VLAN数 7Cisco Catal
2、yst 5500 SPAN 91、配置VTP 92、配置TRUNK 93、配置VLAN 94、路由交换模块(RSM)上的VLAN之间路由配置 105、端口镜像配置 10CISCO Catalyst 6000 SPAN and RSPAN 111 Cisco 5000XL/6000XL支持SPAN和RSPAN数目 112 配置SPAN 123 关闭SPAN: 144 RSPAN 14 硬件要求 15SPAN综述:SPAN,又称为端口镜像(port mirroring)或端口监听(port monitoring),是CISCO Catalyst交换机家族的基本功能之一。其作用为使用网络分析仪对所选
3、择的网络流量进行分析。网络分析仪可以是一个交换机探头(SwitchProbe),也可以是远程监听探针(RMON probe)。基本概念:1. SPAN会话 (SPAN Session)2. 目的端口 (Destination Port)3. 源端口 (Source Port)4. 流入SPAN (Ingress SPAN)5. 流出SPAN (Egress SPAN)6. 基于VLAN的SPAN (VSPAN)7. 其它概念SPAN参照图如下:图1 SPAN综述参照图1SPAN会话 (SPAN Session)一个SPAN会话是一个目的端口和一组源端口组成,配置以正确的参数以说明被监听的网络流
4、量。在一个交换网络中可以配置多个SPAN会话。SPAN会话对交换机的正常操作并没有影响。SPAN会话可以有两种状态:enable和disable。SPAN会话在enable状态下才能起作用。其状态可以用指令show span查看。2目的端口(Destination Port)目的端口也称为监听端口(monitor port),SPAN就是将数据包送到目的端口进行分析的。一旦某个端口被定义为目的端口,那么除了SPAN会话的数据流,它就不会转发任何其他数据。在SPAN会话被激活的状态下,目的端口并不参与spanning tree。注意在缺省状态下,目的端口关闭从网络流入交换机的数据。如果作测试,要
5、将端口的该选项打开。3源端口(Source Port)源端口是一个被监听用以进行网络流量分析的交换机端口。通过源端口的数据流量可以被分为流入,流出,或者流入和流出三种类型。在一个SPAN会话中可以有一个或多个源端口被监听,三种监听方式(流入,流出,或者流入和流出)可以由用户定义,并且适用于所有源端口。可以在任意VLAN中配置源端口。源端口也可以是一个VLAN(src_vlans),VLAN中所有端口都将是SPAN会话的源端口。源端口分为管理源(Admin Source)和操作源(Oper Source)或管理操作源。管理源端口是在SPAN会话配置中所定义的源端口或源VLAN。操作源端口是所有被
6、目的端口所监听的源端口,包括VLAN中的端口。4流入SPAN(Ingress SPAN)流入SPAN将源端口所接受到的网络数据拷贝到目的端口进行分析。5流出SPAN(Egress SPAN)流出SPAN将源端口所发送出的网络数据拷贝到目的端口进行分析。6基于VLAN的SPAN(VSPAN)基于VLAN的SPAN(VSPAN)分析一个或多个VLAN的网络流量。基于VLAN的SPAN(VSPAN)可以被配置为流入SPAN,流出SPAN,或二者都有的SPAN。在VSPAN会话过程中,所有源VLAN中包括的端口都成为操作源端口。如果目的端口属于任何一个管理源VLAN,则从操作源端口中排除掉。若在管理源
7、VLAN中添加或删除端口,则操作源也相应地变化。7其它概念 管理源(Administrative Source): 被监听的端口和VLAN的总称。 操作源(Operational Source): 被有效地监听的端口的总和。注意它和管理源有所区别。例如,一个处于关闭状态的端口可以属于管理源范围,但不能被有效地监听。 本地SPAN(Local SPAN): 当所有被监听的源端口与目的端口同处于一台交换机上,SPAN会话被称为本地SPAN。 远端SPAN或RSPAN(Remote SPAN or RSPAN):源端口和目的端口不在同一台交换机上。注意迄今为止,RSPAN只有Catalyst 600
8、0(CatOS 5.3)支持。 封闭式VLAN:这种VLAN将广播域出限于VLAN定义的设备范围内。 举例来说,假设你定义了基于端口的VLAN,它包含交换机的端口3、 4和8,则这个VLAN是封闭的,只有这个小型端口组(端口3、 4 和8)中的帧能够一起交换。 开放式VLAN:能够获得来自其他VLAN的数据。当VLAN之间相互交错,某个端口同时位于多个VLAN中时,就形成了开放式VLAN。 由于交换机上的端口通常使用同一桥转发表(bridge forwarding table ),顺此包含同一端口的两个或多个VLAN将看到来自其他VLAN的帧。在某些情况下,开放式VLAN被认为存在“漏洞”。
9、CISCO Catalyst 2900XL/3500XL SPAN1CISCO 2900XL/3500XL的SPAN原则: 目的端口(监听端口)不能是快速以太网口(Fast Ether Channel)或者千兆以太网口(Gigabit EtherChannel) 目的端口不允许激活端口安全 目的端口不能属于多个VLAN 目的端口必须与被监听的端口属于同一个VLAN。目的端口必须与被监听端口的VLAN属性不得改变 目的端口不能是一个动态访问(dynamic-access)的端口或是TRUNK端口。但是一个静态访问(static-access)端口可以监听TRUNK上的一个VLAN,属于多VLAN
10、的端口,或一个动态访问的端口。,被监听的VLAN需要与静态访问端口有关联。 如果源端口和目的端口都是被保护的,则不能实行端口监听。 2Cisco 2900XL/3500XL端口镜像配置Cisco 2900XL/3500XL交换机使用IOS。端口镜像的配置过程基本上与路由器的端口配置过程相仿。c: telnet User Access Verification /* 得到如路由器般的提示 */Password: SwitchName /* SwitchName为该交换机的名字 */SwitchName enable /* 允许特权命令 */SwitchName# config terminal
11、/* 进入终端配置模式 */SwitchName# interface fastethernet / /* 进入对特定interface配置的状态 */SwitchName# port monitor interface/ vlan-id/* 在此可以使用某个端口镜像另一个端口的流量;也可以让某个端口镜像某个VLAN的流量,这种配置将使得整个VLAN对于这个Monitor端口来说类似整个VLAN连在一个HUB上。不过该模式下,未测试过是否会造成overload。 */举例:SwitchName enable SwitchName# config terminal SwitchName# int
12、erface fastethernet 0/1 SwitchName# port monitor fastethernet 0/2SwitchName# end (z)SwitchName# show port monitorMonitor Port Port Being Monitored- -FastEthernet0/1 FastEthernet0/2此时该交换机端口2的数据镜像到了端口1上。在做Port monitor时,也可以指定你的 VLAN的ID来镜像整个VLAN给该端口。3Cisco 2900XL/3500XL支持VLAN数Catalyst2900XL/3500XL系列交换机可
13、支持的MAC地址和多少个基于端口的VLAN?请参见下表:型号支持MAC地址数基于端口的VLAN数Catalyst 2912-XL2048个MAC地址64个基于端口的VLANCatalyst 2912MF-XL8192个MAC地址250个基于端口的VLANCatalyst 2924-XL2048个MAC地址64个基于端口的VLANCatalyst 2924C-XL2048个MAC地址64个基于端口的VLANCatalyst 2924M-XL8192个MAC地址250个基于端口的VLANCatalyst 3500-XL 系列8192个MAC地址250个基于端口的VLANCisco Catalyst
14、 5500 SPAN1、配置VTPset vtp domain name 配置VTP协议的域名,同一VTP域名之间才能交换VLAN信息set vtp mode server/client server才能发布信息,client只能获得VLAN信息set vtp pruning enable -设置修剪模式使能set vtp pruning disable -去掉修剪模式2、配置TRUNKtrunk只有在100/1000M口才可以配置,5500可以支持802.1Q和ISL两种标准。2、1 ISL trunkset trunk mod_num/port_num on | desirable | a
15、uto | nonegotiate isl-因1924/1912只能支持ISL标准,建议配置ISL。show trunk mod_num/port_num -查看PORT trunk状态2、2 IEEE 802.1Q Trunkset trunk mod_num/port_num on | desirable | auto | nonegotiate dot1qshow trunk mod_num/port_num3、配置VLAN以太网VLAN配置:set vlan vlan_num name name -设置或产生一个VLAN 的名称和VLAN号set vlan vlan_num mod_n
16、um/port_num -分配端口到指定的VLANshow port mod_num/port_num -查看端口的工作状态show vlan vlan_num -查看交换机VLAN状况4、路由交换模块(RSM)上的VLAN之间路由配置进入全球配置模式后,见到router(config):提示符int vlan vlan_num -进入接口配置模式ip addr ip_address netmask -配置协议地址子网掩码5、端口镜像配置set span disable dest_mod/dest_port | all -去掉所有端口镜像set span src_mod/src_ports.
17、| src_vlan. | sc0 dest_mod/dest_port rx | tx | bothinpkts enable | disable learning enable | disable multicast enable | disablecreate -配置端口镜像的源和目的端口、镜像包的限制等。Show span -查看端口镜像状况CISCO Catalyst 6000 SPAN and RSPAN如果流入数据被目的端口所监听,则是在目的端口所在的VLAN进行交换。注意:在SPAN会话激活的状态下,目的端口不能参与Spanning Tree!1 Cisco 5000XL/60
18、00XL支持SPAN和RSPAN数目在Catalyst 6000系列交换机上,最多可以支持30个SPAN会话(并存在NVRAM)中,在Catalyst 5000系列交换机上,可支持的SPAN会话最多为5个。下表说明Catalyst 5000XL/6000XL系列交换机可支持的最大SPAN和RSPAN会话数目。对于每一个会话,可以配置多个端口或VLAN作为监听源。SPAN/RSPAN 会话数 Catalyst 5000Catalyst 6000 rx or both SPAN sessions 1 2tx SPAN sessions44tx, rx, or both RSPAN source s
19、essions -1RSPAN destinations-24Total SPAN sessions5302 配置SPAN在SPAN的配置中,源端口和目的端口必须在同一台交换机上。Catalyst 6000配置SPAN的命令格式如下:set span src_mod/src_ports | src_vlans | sc0 dest_mod/dest_port rx | tx | both inpkts enable | disable learning enable | disable multicast enable | disable filter vlans. create例1:将端口1
20、/1(SPAN源端口)所发送和接受的流量被镜像到2/1(SPAN目的端口):Console (enable) set span 1/1 2/1目的端口: Port 2/1管理源: Port 1/1操作源端口: Port 1/1方向: 发送/接受进入数据包: 关闭监听: 开启多播: 开启例2:将VLAN 522设为SPAN的源,端口2/1为SPAN的目的端口:Console (enable) set span 522 2/1目的端口: Port 2/1管理源: VLAN 522操作源端口: Port 3/1-2方向: 发送/接受进入数据包: 关闭监听: 开启多播: 开启Console (enab
21、le)例3:将VLAN 522设为SPAN的源,端口2/12为SPAN的目的端口,只有发送的数据被监听,在目的端口2/12上允许正常的数据流入:Console (enable) set span 522 2/12 tx inpkts enable目的端口: Port 2/12管理源: VLAN 522操作源端口: Port 2/1-2方向: 发送进入数据包: 开启监听: 开启多播: 开启例4:将端口3/2设为SPAN的源,端口2/2为SPAN的目的端口:Console (enable) set span 3/2 2/2 tx create目的端口: Port 2/1管理源: Port 3/1操
22、作源端口: Port 3/1方向: 发送/接受进入数据包: 关闭目的端口: Port 2/2管理源: Port 3/2操作源端口: Port 3/2方向: 发送进入数据包: 关闭监听: 开启多播: 开启Console (enable)3 关闭SPAN:set span disable dest_mod/dest_port | allThis command will disable your span session.Do you want to continue (y/n) n?yDisabled port 2/1 to monitor transmit traffic of VLAN 52
23、2Console (enable)4 RSPAN源端口和目的端口不在同一台交换机上,此时的SPAN会话称为远端SPAN或RSPAN(Remote SPAN or RSPAN)。注意迄今为止,RSPAN只有Catalyst 6000(CatOS 5.3)支持。要实现RSPAN会话,需要对参与RSPAN会话的交换机定义一个RSPAN VLAN,以承载RSPAN的数据。源端口的数据不同于RSPAN VLAN的数据,但是可以被交换到RSPAN VLAN中,然后转发到RSPAN VLAN所配置的目的端口。除非端口被用于RSPAN,否则不要将其配置于RSPAN VLAN中。RSPAN配置示意图如下,图中交
24、换机D为目的交换机,C为中间交换机,A为源交换机,端口D2为目的端口,端口A1,A2,B1,B2,B3为源端口。图2 RSPAN配置示意图RSPAN硬件要求如果要实现RSPAN,交换机的supervisor engine有如下要求: 对于源交换机: Supervisor Engine 1 and Policy Feature Card (PFC): WS-X6K-SUP1A-PFC Supervisor Engine 1, PFC, and multilayer switch feature card (MSFC): WS-X6K-SUP1A-MSFC Supervisor Engine 1, PFC, and MSFC2: WS-X6K-S1A-MSFC2 Supervisor Engine 2 and PFC2: WS-X6K-S2-PFC2 Supervisor Engine 2, PFC2, and MSFC2: WS-X6K-S1A-MSFC2. 对于目的或中间的交换机:任何Catalyst 6000系列的supervisor engine。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 