交换机设置之CatOS系统交换机上的SPAN设置.docx

交换机设置之CatOS系统交换机上的SPAN设置 交换机设置之CatOS系统交换机上的SPAN设置 本节所介绍的内容适用于运行 CatOS 映像系统的 思科2900/4500/4000/5500/5000/6500/6000系列交换机。但对于 思科Catalyst 2900 系列交换机，仅以下型号支持 SPAN：Cisco Catalyst 2948GL2Cisco Catalyst 2948GGETXCisco Catalyst 2980GA对于 思科Catalyst 4000 系列交换机，对于模块机箱式交换机，仅有 Cisco Catalyst 4003 和Cisco Catalyst 4006 两个型号的交换机支持 SPAN；对于固定配置交换机，仅有 Cisco Catalyst 4912G型号的交换机支持 SPAN。 本地SPAN 配置（1） SPAN 功能已逐渐添加到运行 CatOS 系统的交换机上。在这些交换机上，SPAN 配置是由一系列的 set span 命令组成的，并且有许多可选项，具体命令格式如下（参数说明如表14-2所示）：1. set?span?disable?dest_mod/dest_port|all? ?或1. set?span? ? ?rx|tx|bothinpkts? ? 2. learning? ?multicast? ?filter? create? ?表 14-2 CatOS 系统交换机中的 set span 命令参数说明 sc0：在需要监控 sc0 管理接口通信时，可以在 SPAN 配置中指定 sc0 关键字。这个选项仅可以在运行 CatOS 5.1 或更高版本的 Catalyst 5500/5000/6500/6000 系列交换机上使用。inpkts enable|disable：这个选项极其重要，但仅在 CatOS 4.2 及以上版本映像交换机中支持。配置为 SPAN 目标端口的端口仍将属于它原来的VLAN。如果这个端口是普通访问端口，则在目标端口上接收到数据包后进入 VLAN。如果使用一个 PC 作为 Sniffer 监控器，则可能需要这台 PC 与这个VLAN 全面连接。如果连接目标端口到其他在网络中创建了环路的设备，这样的连接会存在风险。目标 SPAN 端口不支持运行 STP，可以在这种情况下结束这个存在风险的桥接环。这个选项的默认设置是禁止的，也就是说目标SPAN 端口会放弃在端口上接收的包，以阻止桥接环的产生。learning enable|disable：这个选项允许禁止目标端口的学习功能。默认情况下，学习功能是启用的，目标端口可以从端口上接收的数据包中学习到MAC 地址。这个功能在 CatOS 5.2 的 Catalyst4500/4000/5500/5000 系列和 CatOS 5.3 的 Catalyst 6500/6000 系列交换机中支持。multicast enable|disable：这个选项用来启用或禁止多播数据包的监控，默认是启用的。这个功能在运行 CatOS 5.1 或更高版本的 Catalyst 5500/5000/6500/6000 系列交换机上可用。在 Catalyst 6500/6000 系列交换机上，可以通过 spanning port 15/1 命令使用15/1 或 16/1 端口作为 SPAN 源端口。这个端口可以监控转发到 MSFC（Multilayer Switch Feature Card，多层交换功能卡）上的通信。这个端口捕获到的是软路由或直接连接到 MSFC 的通信。下面仅以最新的 CatOS 系统 Catalyst 6500/6000 系列交换机为例进行 SPAN 和 RSPAN 配置介绍。图14-11所示为Catalyst 6500/6000 系列交换机第6 插槽中的部分线路卡。在本示例中，配置如下：图14-11 Catalyst 6500/6000 系列交换机第6 插槽中的线路卡 本地SPAN 配置（2） VLAN 1 端口 6/1 和 6/2 属于 VLAN 1。VLAN 2 端口 6/3 属于 VLAN 2。VLAN 3 端口 6/4 和 6/5 属于 VLAN 3。在 6/2 端口中连接一个 Sniffer 监控器，并在几种不同情形使用这个端口作为监控端口（也就是前面所说的 SPAN 目标端口）。 1监控单一端口 可以使用 set span 命令来监控单一端口，语法格式为：1. set?span?source_port?destination_port? 参数 source_port 和 destination_port 分别用来指定 SPAN 源端口和 SPAN 目标端口。如以下命令可以监控图 14-11中端口 6/1 上的通信到端口 6/2 上。switch.(enable) .set.span.6/1.6/2.每个在 6/1 端口接收或发送的数据包都将复制一份到 6/2 端口。使用 show span 命令可以查看当前 SPAN 配置汇总，如下：switch.(enable). show.span .Destination.:.Port.6/2 .Admin.Source.:.Port.6/1 .Oper.Source.:.Port.6/1 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .Total.local.span.sessions:.1.2监控多个端口 前面说到的 set span source_ports destination_port 命令也允许用户指定多于一个源端口，只需简单地列出所要监控的源端口，各源端口间以英文逗号（,）分隔即可。也可以使用连接符号（）来指定一个源端口范围。如图 14-12所示为指定多于一个源端口的 SPAN 监控的示例：使用 6/2 作为 SPAN 目标端口（或称为监控端口），6/1 和 6/36/5 为被监控端口。但目标端口只能有一个，而且总是源端口在命令的前面，目标端口在后面。?图14-12 监控多个端口通信的示例本示例配置命令如下：?在这种配置下，至少还要监控中继链路上属于 VLAN 2 的通信。这样就存在一个问题，即同时监控了不想监控的 6/3 端口（同样属于 VLAN 2）上的通信。在 CatOS 系统中，还包括另一个关键字 filter，允许从中继中选择中继链路上需要监控的特定 VLAN。配置命令如下（6/5 端口是中继端口，这样配置后的监控效果如图 14-17所示）：?图14-16 监控整个VLAN 通信的示例图14-17 过滤中继端口上的监控VLAN 后的监控效果通过以上这个命令即可达到上述愿望，因为选择了只监控 VLAN 2 的通信。要注意的是，关键字 filter 可以指定多个要监控的 VLAN，各 VLAN 间用逗号分隔。【说明】set span 命令中的关键字 filter 选项仅在 Catalyst 4500/4000/6500/6000 系列交换机上支持，Catalyst 5500/5000 系列交换机不支持这个选项。2在目标端口上的中继如果有一个属于多个不同 VLAN 的源端口，或者在一个中继端口中的多个 VLAN 使用 SPAN监控，则可能想要标识在监控端口上接收到的数据包属于哪个 VLAN。如果在配置某个端口为SPAN 目标端口之前在这个端口上启用了中继，即可实现以上愿望。通过这种方法，所有转发到Sniffer 监控器的数据包也将以它们各自的 VLAN ID 进行标识。当然这要求 Sniffer 监控器能识别相应的 VLAN 封装方式。示例的具体配置命令如下：switch.(enable).set.span.disable.6/2 .Tmand.will.disable.your.span.session. .Do.you.want.to.continue.(y/n).n.y .Disabled.Port.6/2.to.monitor.transmit/receive.traffic.of.Port.6/45 .2008.Sep.06.02:52:22.%SYS5SPAN_ .CFGSTATECHG:local.span.session .inactive.for.destination.port.6/2 .switch.(enable).set.trunk.6/2.nonegotiate.isl.!设 .置.6/2.端口为非协商的.ISL.中继模式 .Port(s).6/2.trunk.mode.set.to.nonegotiate. .Port(s).6/2.trunk.type.set.to.isl. .2008.Sep.06.02:52:33.%DTP5TRUNKPORTON: .Port.6/2.has.become.isl.trunk .switch.(enable).set.span.6/45 .6/2 .Destination.:.Port.6/2 .Admin.Source.:.Port.6/45 .Oper.Source.:.Port.6/45 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .2008.Sep.06.02:53:23.%SYS5SPAN_ .CFGSTATECHG:local.span.session.active.for.destination.port.6/2.多个并发本地SPAN 会话的配置到目前为止，仅介绍了单个 SPAN 会话的创建。在每次键入新的 set span 命令时，以前的配置都将失效。现在最新的 CatOS 版本 Catalyst 4500/4000/6500/6000 系列交换机上可以允许同时进行多个 SPAN 会话，所以可以同时有多个目标端口。执行set span source destination create 命令可以添加其他的 SPAN 会话。在如图 14-18所示的示例中，6/1 端口的双向通信被监控到 6/2 端口上，VLAN 3 中的通信被监控到 6/3 端口上。图14-18 多个并发SPAN 会话配置示例具体配置命令如下：.switch.(enable).set.span.6/1.6/2 .2008.Sep.05.08:49:04.%SYS5SPAN_ .CFGSTATECHG:local.span.session.inactive.for.destination.port.6/2 .Destination.:.Port.6/2 .Admin.Source.:.Port.6/1 .Oper.Source.:.Port.6/1 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .2008.Sep.05.08:49:05.%SYS5SPAN_ .CFGSTATECHG:local.span.session.active.for.destination.port.6/2 .switch.(enable).set.span.3.6/3.create .Destination.:.Port.6/3 .Admin.Source.:.VLAN.3 .Oper.Source.:.Port.6/45,15/ .1 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .2008.Sep.05.08:55:38.%SYS5SPAN_ .CFGSTATECHG:local.span.session.active.for.destination.port.6/3.现在键入 show span 命令可以查看是否同时启用了两个 SPAN 会话，示例如下：switch.(enable).show.span .Destination.:.Port.6/2 .Admin.Source.:.Port.6/1 .Oper.Source.:.Port.6/1 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .Destination .:.Port.6/3 .Admin.Source.:.VLAN.3 .Oper.Source.:.Port.6/45,15/ .1 .Direction.:.transmit/receive .Incoming.Packets:.disabled .Learning.:.enabled .Multicast.:.enabled .Filter.:.Status .:.active .Total.local.span.sessions:.2.如果想要删除当前的多个 SPAN 会话中的一个，则可以执行如下命令：set.span.disable.all.|.destination_port.因为每个会话仅允许一个目标端口，所以可以通过目标端口来区别不同的会话。如果想要删除使用 6/2 作为目标端口的会话，则可以使用以下命令：switch.(enable).set.span.disable.6/2 .Tmand.will.disable.your.span.session. .Do.you.want.to.continue.(y/n).n.y .Disabled.Port.6/2.to.monitor.transmit/receive.traffic.of.Port.6/1 .2000.Sep.05.09:04:33.%SYS5SPAN_ .CFGSTATECHG:local.span.session.inactive