思科交换机SPAN RSPAN基础知识.docx

思科交换机SPAN/RSPAN基础知识 思科 IOS 交换机端口镜像配置与管理 Cisco 的 SPAN（Switched Port Analyzer，交换端口分析仪）有时也称“端口镜像”（Port Mirroring）或者“端口监控”（ Port Monitoring），通过分析仪（如安装了 Sniffer、科来分析仪等工具软件的 PC 机）可以选择用于分析的网络通信。在进行网络监控时经常需要在交换机上配置一个处于混杂模式的端口来把交换机甚至整个网络的通信流量都镜像到这个端口上，以便实施实时抓包和网络通信监控，这就是本章所要介绍的 SPAN 和RSPAN（Remote SPAN，远程交换端口分析仪）。利用 SPAN 技术可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流复制或镜像一份，发送给连接在监控端口上的流量分析仪，如 Cisco 的 IDS 或是装了Sniffer 工具的 PC 机。受控端口和监控端口可以在同一台交换机上（本地 SPAN），也可以在不同的交换机上（远程SPAN）。 SPAN/RSPAN 基础 什么是 SPAN，为什么需要 SPAN？这可能是我们认识 SPAN 后第一个想知道的。SPAN 的全称为 Switched Port Analyzer，中文名就是“交换端口分析仪”， 用来对流经端口的通信流量进行监控。其最终的目的就是在监控端口连接安全设备（如安装了 Sniffer 类监控软件的 PC 机）实现对流经数据包的截取，以实现对整个网络的通信流量和数据包的分析，有助于网络性能分析与管理。其实 SPAN 的过程也就是通常所说的“端口镜像”， 也有称“端口侦听”的。通过把交换机上的所有需要监控的端口的通信复制一份流向镜像端口，即可监控整个网络或者指定范围端口的通信。1? SPAN 监控原理之所以要在交换机上引入这项功能，是因为交换机与集线器相比，数据转发原理不一样，当集线器在一个端口上接收到数据时，集线器会向所有端口发送复制的这个数据包，除了接收数据包的这个端口之外。而交换机在启动时会建立一个基于所接收的不同数据包的源 MAC 地址的二层转发表进行数据包转发。在转发表建立后，交换机就可以有目的地把数据包转发到对应的端口。例如，如果想捕获由 A 主机到 B 主机的通信，而且两主机是通过集线器连接的，则只需要在集线器上连接安装了 Sniffer 工具软件的监控器即可。在集线器的其他任何端口上都可以监听到 A主机与 B 主机间的通信（注意图中的箭头颜色）， 如图 14-1所示。也就是如果网络集中连接设备是集线器，则无须进行端口镜像就可以在一个端口上监控到整个网络的通信。图1 集线器网络的通信监控情形如果连接设备是交换机，在学习到 A 和 B 主机的 MAC 地址后，主机 A 与主机 B 之间的单播通信仅转发到 B 或 A 主机所连接的交换机端口，所以连接在交换机其他端口上的 Sniffer 监控器就不能看到 A 与 B 之间的通信了，如图 14-2所示。图2 交换机网络中的通信监控情形在这种情况下，Sniffer 监控器仅可以捕获到广播发送到所有端口的通信流，如广播通信、带有CGMP（Cisco Group Management Protocol，思科组管理协议）或 IGMP（Internet Group ManagementProtocol，互联网组管理协议）的多播通信，以及不可识别的单播通信。当交换机不能在它的 CAM（ContentAddressableMemory，按内容寻址内存）中找到与数据包中目标节点 MAC 一致的 MAC 地址时，交换机就不知道把数据包发送到哪里去了，最终就会以洪（Flood）方式把这个数据包发送到目标 VLAN 中的所有端口上。那是不是在交换机上就没有办法实现像集线器那样在任一端口监控所有端口的通信呢？当然不是，在交换机上可以采取人工方式复制两主机之间通信的数据包到 Sniffer 监控器所连接的交换机端口上，这就是本章要介绍的主题SPAN。在图 14-3中，Sniffer 监控器是连接到配置了可以接收每一个主机 A 发送的数据包副本的端口上。这种端口就称为 SPAN 端口（也就是后面所说的 SPAN 目标端口）。本节后面将介绍如何配置这样的SPAN，使它可以按照需求监控其他端口上（这些端口也就是后面所说的SPAN 源端口）的通信。图3 在交换机网络中实现通信监控的方式在 SPAN 中又有两种类型：一是被监控的源端口和用于监控通信的目标端口在同一交换机上，这称为 Local SPAN（本地 SPAN，通常就称为 SPAN）；另一种是源端口和目标端口不在同一交换机上，称为 Remote SPAN（远程 SPAN，RSPAN）。 2 SPAN 术语 在上节提到的 SPAN 和 RSPAN 中，将涉及许多专业术语，在此一并介绍，以便于对后面监控原理的理解。这些术语在 SPAN 监控网络中对应所指的部分如图 14-4所示。图4 SPAN 网络中的术语图示入口通信（Ingress Traffic）： 流入交换机的通信，通常是指从 PC 站点进入交换机的通信。出口通信（Egress Traffic）： 流出交换机的通信，通常是指交换机进入 PC 站点的通信。源 SPAN 端口（Source SPAN Port）： 使用 SPAN 功能监控的端口。源 SPAN VLAN（Source SPAN VLAN）： 使用 SPAN 功能监控的 VLAN。目标 SPAN 端口（Destination SPAN Port）： 用于监控源端口通信的端口，通常是指网络分析仪连接的端口。反射器端口（Reflector Port）： 复制 RSPAN VLAN 中数据包的端口。监控端口（Monitor Port）： 这是在 Catalyst 2900XL/3500XL/2950 交换机中的术语，监控端口也是前面所说的目标 SPAN 端口。本地 SPAN（LocaSPAN）： 只监控与目标端口处于同一交换机的端口通信的 SPAN。RSPAN：远程 SPAN（Remote SPAN）， 所监控的端口中有些不是与目标端口处于同一交换机上的 SPAN。RSPAN 是一个高级的 SPAN 功能，需要指定一个 VLAN 来承载交换机间由 SPAN 监控的通信，但并不是所有交换机都支持。PSPAN：基于端口的 SPAN（PortbasedSPAN）， 用户在交换机上指定一个或多个源端口、一个目标端口。VSPAN：基于 VLAN 的 SPAN（VLANbasedSPAN）， 用户在交换机上选择监控属于特定VLAN 中的所有端口。ESPAN：增强型 SPAN，但目前来说由于定义并不是十分明朗，所以还是很少用的。管理源（Administrative Source）： 已配置要监控的源端口或 VLAN 列表。操作源（OperationaSource）： 被有效监控的端口列表。这个端口列表可以与前面介绍的管理源不一样。例如，一个处于关闭状态的端口可以显示在管理源中，但是它不会显示在操作源中。在 Cisco Catalyst 以太网交换机中，各主要系列和型号的交换机对 SPAN 和 RSPAN 的支持情况如表 14-1所示。由此可以看出，不同的 Cisco 交换机系列对 SPAN 或 RSPAN 的支持也不完全相同，配置方法也存在一些区别，在本节后面会对各主要交换机系列的 SPAN 和 RSPAN 配置方法分别予以介绍。表 1Catalyst 交换机对 SPAN 和 RSPAN 的支持情况3 SPAN 和RSPAN 关键特性 在理解 SPAN 和 RSPAN 时，需要对上节所介绍的几个关键术语特性进行全面、深入的理解，只有这样才能更好地使用并在具体的配置中应用这些术语。 1源端口特性 SPAN 中的源端口也就是被监控端口，是所要监控的用于网络分析的交换或路由端口（注意，源端口既可以是二层交换端口，也可以是三层路由端口，而不仅是交换端口）。在单一本地 SPAN会话或 RSPAN 源会话中，可以监控源端口通信，包括接收和发送两个方向，有的交换机也可以仅监控某一个方向。交换机支持任何数量的源端口（应受交换机本身端口数影响）和任何数量的源VLAN。在一个 SPAN 会话中，SPAN 分析仪可以监控一个或多个源端口。可以在任何 VLAN 中配置源端口。中继端口可以被配置为源端口，并且可以与非中继源端口混合，但是 SPAN 不会从源中继端口上复制中继封装。源端口有以下特性：可以是任何端口类型，如以太网通道、快速以太网、千兆以太网等。可以被多个 SPAN 会话监控。不能成为目标端口。每个端口可以配置不同的监控通信流方向（可以是入口、出口，或者两者同时监控）。对于以太网通道源，监控方向配置将应用到以太网通道端口组中的所有物理端口上。源端口可以位于相同或不同的 VLAN 中。对于 VLAN SPAN 源，在源 VLAN 中的所有活动端口都将作为源端口。在把一个中继端口作为源端口时，默认情况下，在这个中继端口中所有活动 VLAN 通信都将被监控。可以使用 VLAN 过滤功能来限制在中继源端口上 SPAN 可以监控通信的 VLAN（也就是本章后面将要具体介绍的 VLAN 过滤器）。SPAN 中的 VLAN 过滤具有如下特性：VLAN 过滤仅应用于中继或语音 VLAN 端口，所以如果仅是监控非中继或语音端口，则不能配置 VLAN 过滤。VLAN 过滤仅应用于基于端口的会话，不能在 VLAN 源的 SPAN 或 RSPAN 会话中使用。在指定了 VLAN 过滤列表后，则在中继端口或语音 VLAN 访问端口上，仅在过滤列表中的 VLAN 可以被监控。来自其他类型端口（也就是非中继和语音端口）的 SPAN 通信不受 VLAN 过滤影响，也就是说在其他端口上所有 VLAN 仍都将被监控。VLAN 过滤仅影响通信流复制、转发到目标 SPAN 端口，不影响正常通信的数据交换。不能在一个会话中同时使用源 VLAN 和 VLAN 过滤（因为 VLAN 过滤不是应用于基于源VLAN 的 SPAN 或 SPAN 会话中，而是只能应用于基于源端口的 SPAN 或 RSPAN 会话中）。也就是说，可以配置源 VLAN 或 VLAN 过滤，但是不能同时配置。 2源 VLAN 特性 一个源 VLAN 是用于网络通信分析的被监控的 VLAN。基于 VLAN 的 SPAN（VSPAN）使用VLAN 作为 SPAN 源，是在一个或多个 VLAN 上进行的网络通信流监控。源 VLAN 中的所有端口都将成为源端口。VSPAN 中的 SPAN 或 RSPAN 源接口就是对应 VLAN 的 VLAN ID，且在指定的VLAN 中的所有端口通信都将被监控。VSPAN 具有以下特性：在源 VLAN 中的所有活动端口都将作为源端口，而且双向通信都将被监控。对于具体的端口来说，仅发送所属VLAN 中需要被监控的VLAN 中的通信流到目标端口。如果目标端口属于源 VLAN，则它将从源端口列表中排除，不被监控。如果端口添加到源 VLAN 或者从源 VLAN 中移除，在源 VLAN 中由这些端口接收到的通信将添加或者移出被监控的源 VLAN。不能同时在与源 VLAN 的会话中使用 VLAN 过滤。也就是在基于 VLAN 的监控中，不能配置 VLAN 过滤。可以仅监控以太网 VLAN。 3目标端口特性 每一个本地 SPAN 会话或 RSPAN 目标会话必须有一个目标端口（也称“镜像端口”）， 用于接收源端口和源 VLAN 的通信副本。一个目标端口也可以是一个二层交换端口或三层路由端口，用来转发所监控到的通信副本到Sniffer 分析仪。在配置一个端口作为 SPAN 目标端口时，这个端口就仅用于 SPAN，不转发任何除SPAN 会话以外的其他通信。在 Cisco IOS 12.1(13)E 及更高版本中，也可以配置中继端口作为目标端口，允许目标中继端口传输封装通信。但在比Cisco IOS 12.1(13)E 更早的IOS 版本中，中继端口在配置为目标端口后会停止中继。目标端口具有以下特性：对于本地 SPAN，目标端口必须与源端口在同一交换机上。目标端口可以是任何以太网物理端口。目标端口在同一时间只能参与一个 SPAN 会话，处于一个 SPAN 会话的目标端口不能作为其他 SPAN 会话的目标端口。目标端口不能作为源端口。目标端口不能是以太网通道组（源端口可以是以太网通道组）。但是，目标端口可以是一个分配到一个以太网通道中的物理端口，即使相应以太网通道组已被指定为一个 SPAN源。在该端口被配置为 SPAN 目标端口时，这个端口就会从以太网通道组中移除。目标端口除了 SPAN 会话所必需的通信外，不会传输任何其他通信，除非启用了 MAC 地址学习功能。如果启用了学习功能，目标端口也可以传输目标端口已学习到 MAC 地址的主机的通信。如果为一个网络安全设备（如 Sniffer 分析仪）启用了入口通信转发，则目标端口在二层进行通信转发。在 SPAN 会话活动期间，目标端口是不参与生成树的。当成为目标端口时，将不参与任何二层协议，如 STP、VTP、CDP、DTP 和 PagP 等。属于 SPAN 会话中源 VLAN 的目标端口都是从源列表中排除的、不被监控的。目标端口接收所有被监控的源端口上的双向通信流副本。如果目标端口监控的源端口太多，则可能造成通信堵塞。通信堵塞可能会影响一个或多个源端口的通信转发。4反射器端口特性 反射器端口（Reflector Port）是一个复制 RSPAN VLAN 上数据包的机制。反射器端口仅转发RSPAN 源相关会话的通信。任何连接到端口的设备在设置为反射器端口时会丢失连接，直到RSPAN 源会话被禁止。反射器端口具有以下特性：它是设置在 loopback 中的一个端口。它不能是以太网通道组，不中继，也不能进行协议过滤。它可以是以太网通道组中的一个物理端口，即使这个以太网通道组被指定为一个 SPAN源。但在该端口被配置为反射器端口后，它将从以太网通道中移除。用于反射器的端口不能作为SPAN 源或目标端口，也不能同时作为其他会话的反射器端口。它对于所有 VLAN 都是不可见的。在反射器端口上用于环回（loopedback）通信的本地 VLAN 是 RSPAN VLAN。反射器端口会环回未被标记的通信到交换机，然后这些通信转发到 RSPAN VLAN 中，并在该 VLAN 的所有中继端口上广播。在反射器端口上，生成树是自动禁止的。反射器端口接收所有被监控源端口上的双向通信副本。 4 本地SPAN 和远程SPAN 概述 本地 SPAN 在同一个交换机上支持源端口（Source Port）、源 VLAN（Source VLAN）和目标端口（Destination Port）。本地 SPAN 从位于同一交换机上的一个或多个任一 VLAN 中的源端口或者从一个或多个 VLAN 中复制通信到目标端口，用于数据包分析。例如，在图 14-5中，在以太网端口 5（E5）上的通信被复制到以太网端口 10（E10）上。E5是作为源端口，E10 是作为目标端口的。安装了各类 Sniffer（嗅探）工具的 PC 机（担当网络分析仪角色）直接连接到 E10 端口上，这样它可以接收在 E5 端口上的所有网络通信，而不用直接连接到 E5 端口。 ?图5 SPAN 监控示例RSPAN（远程 SPAN）支持位于不同交换机上的源端口、源 VLAN 和目标端口，提供通过网络进行多个交换机的远程监控功能。RSPAN 源中的通信通过反射器端口复制到 RSPAN VLAN，然后通过承载 RSPAN VLAN 通信的中继端口转发到任何 RSPAN 目标会话来实现监控 RSPAN VLAN 通信，如图 14-6所示。图 14-6中左、右两端的两个 RSPAN VLAN 其实分别叫目标RSPAN VLAN 和源 RSPAN VLAN。这样就形成了 RSPAN 源会话和 RSPAN 目标会话中都各有源和目标。SPAN 和 RSPAN 不会影响源端口的网络数据交换，只是源端口接收和发送的数据包副本发送到目标端口上。反射器端口和目标端口除了接收 SPAN 或 RSPAN 会话所需的通信外，不会接收和转发其他通信。在 SPAN 目标端口上也可以流入网络安全设备发来的通信，这就是后面在介绍具体配置时将介绍的入口通信转发（Ingress Traffic Forwarding）。例如，如果在目标端口上连接一个 IDS设备，则这个 IDS 设备可以发送 TCP 请求怀疑是黑客发起的 TCP 会话。但在 RSPAN 目标端口上不能使用入口通信转发。（点击查看大图）图6 RSPAN 配置示例如图 14-7所示，Switch D 是作为目标交换机（目标端口所在的交换机），而 Switch A 和 SwitchB 交换机是作为源交换机（源端口或源 VLAN 所在的交换机），Switch C 是作为连接源交换机与目标交换机的中间交换机。每个 RSPAN 会话是由用户指定的一个 RSPAN VLAN 来承载的，这个RSPAN VLAN 是所有参与 RSPAN 监控的交换机专用的。也就是说 RSPAN 是通过专门的 VLAN 进行通信复制和转发的。不要在 RSPAN VLAN 中配置任何除用于承载 RSPAN VLAN 通信的反射器端口外的其他端口，RSPAN VLAN 也不会启用 MAC 地址学习功能。本地 SPAN 和 RSPAN 不会监控在源中继上 RSPAN VLAN 中的 RSPAN 通信。图7 RSPAN 监控示例 来自源端口或源 VLAN 的 RSPAN 通信被交换到 RSPAN VLAN 中，然后再转发到位于 RSPANVLAN 中的目标端口上。一个 RSPAN 会话中的源（包括端口或 VLAN）可以因不同源交换机而不同（也就是说有的源交换机可以仅是源端口，有的可以仅是源 VLAN），但是在每个 RSPAN 源交换机中的所有源都必须相同，也就是每个 RSPAN 源交换机必须要么是源端口，要么是源 VLAN，不能同时有。5 本地SPAN 和RSPAN 会话 SPAN 会话（包括本地和远程）允许监控在一个或多个端口或者 VLAN 上的通信，并发送这些被监控的通信到一个或多个目标端口上（注意，并不是所有型号的交换机都支持有多个 SPAN 目标端口，具体参见表 14-1）。交换端口和路由端口都可以作为 SPAN 源或目标端口。本地 SPAN 会话是由一组源端口或源 VLAN 与一个或多个目标端口关联组成的。可以在一个单一网络设备上配置一个本地 SPAN 会话。本地 SPAN 中，源（端口或 VLAN）和目标（端口）会话都必须在同一设备之上，是不可分开的。RSPAN 会话是由一个 RSPAN 源会话、一个 RSPAN VLAN 和一个 RSPAN 目标会话组成的。RSPAN 源会话把 SPAN 源端口或 VLAN 与 RSPAN VLAN 关联起来，RSPAN 目标会话是把 RSPANVLAN 与目标端口关联起来。可以把 RSPAN 源会话和目标会话分开在不同设备上配置。要配置网络中的一个设备作为 RSPAN 源会话，必须把这些源端口或源 VLAN 与 RSPAN VLAN 进行关