span和rspan.docx

配置SPAN和RSPAN使用SPAN（Switched Port Analyzer）或者RSPAN（Remote SPAN）可以有效地分析通过端口或VLAN的网络流量。借助SPAN或RSPAN，可以将一个交换机的端口映像至另一个交换机端口，即发送流量的备份到该交换机或者其他交换机的另一个端口，这样，只需将分析或侦听设备连接至监控端口，即可实现对被监听端口的分析和侦听。由于SPAN采用复制（或镜像）源端口或源VLAN上的接收或发送（或两者都有的）流量到目的端口，因此，SPAN不影响源端口或VLAN的网络交换。事实上，除了SPAN或RSPAN会话所需的流量之外，目的端口不会接收或转发流量。6.9.1 SPAN和RSPAN简介对单个或多个交换机端口进行监控和故障查寻，不需要中断现有业务流量，有助于故障隔离。交换式端口分析器（SPAN）分析经过某个本地端口或VLAN的流量信息。SPAN发送一份流量的拷贝给连接安全设备的交换机端口。【注意】 一旦启用了SPAN、VSPAN或RSPAN，目标端口的STP就被禁止，可能会造成环路。另外，配置RSPAN之前要先定义一个RSPAN专用的VLAN。如果在VTP服务器上配置了RSPAN VLAN，那么，VTP服务器自动将正确的信息传播给其他中间交换机。否则，要确保每台中间交换机都配置的有RSPAN VLAN。1SPAN术语入口业务。进入交换机的业务。出口业务。离开交换机的业务。源（SPAN）端口。用SPAN功能受监控的端口。目的地（SPAN）端口。监控源端口的端口，通常连有一个网络分析器。监控端口。在Catalyst 900xl/3500xl/2950术语中，监控端口也是目的地SPAN端口。管理源。已配置受监控的源端口或者VLAN的列表。操作源。受到有效监控的端口列表。这可能和管理源有所不同。例如，在关闭模式下的端口可能在管理源中出现，但它不受到有效监控。2SPAN模式SPAN拥有以下3种模式：l本地SPAN。也称PSPAN，指基于端口的SPAN。源端口和目标端口都处于同一交换机（如图6-22所示），并且源端口可以是一个或多个交换机端口。l远程SPAN或者RSPAN。目的地端口的源端口没有位于同一交换机上（如图6-23所示）。这是一项高级功能，要求有专门的VLAN来传送该业务，并由交换机之间的SPAN进行监控，因此，要求中间交换机必须支持RSPAN VLAN技术。由此可见，并非所有交换机均支持RSPAN，所以，应检查各自的版本说明或者配置指南，核实要进行配置的交换机是否可以使用该功能。lVSPAN。指基于VLAN的SPAN。SPAN的一种变体，源端口不是物理端口，而是VLAN。在给定的交换机中，用户可以使用单个命令来选择对属于专门VLAN的所有端口进行监控。图6-22 SPAN示意图 图6-23 RSPAN示意图SPAN和RSPAN默认配置SPAN和RSPAN的默认配置见表6-11。表6-11 SPAN和RSPAN默认配置特 性默 认 设 置SPAN状态（SPAN和RSPAN）禁用源端口流量监控接收并发送封装类型（目的端口）本地形式（不带标记的数据包）转发（目的端口）禁用VLAN过滤在作为源端口的中继接口上，允许所有的VLANRSPAN VLAN都被检测SPAN会话中的流量监视限制源既可以是端口也可以是VLAN，但是，不能将源端口和源VLAN混合放入一会话中。也就是说，VLAN或端口应当分别位于不同的会话。同一会话中，要么是VLAN，要么是端口，而不能既有端口又有VLAN。l可以配置在每个交换机堆栈上的两个源会话（本地SPAN和RSPAN源会话）。在同一台交换机上，可以同时运行一个本地SPAN和一个RSPAN。源会话和RSPAN目的会话的总数不能超过66个。l在一个SPAN会话中，可以有多个目的端口，但是，最多不能超过64个目的端口。l借助分开或重叠配置的SPAN源端口和VLAN，可以配置两个分开的SPAN或RSPAN源会话。lSPAN会话不会干涉交换机的正常工作。但是，源端口与目的端口的速率应当尽量匹配，甚至目的端口的速率应当高于源端口。如果使用100 Mbps端口监视1000 Mbps端口，那么，将导致端口down掉或者丢失数据。l当RSPAN被启用时，被一个被监视的包将发送两次，一次作为正常传输，一次作为监视包。因此，当监视大量的端口或VLAN时，将会大幅增加网络流量。l可以将禁用的端口配置为源端口或目的端口，但是，SPAN不会自动开始，直至目的端口和至少一个源端口或源VLAN被启用。l不能在一个会话中同时存在SPAN和RSPAN。RSPAN源会话不能有本地目的端口，RSPAN目的会话也不能有一个本地源端口。在同一交换机上，一个RSPAN目的会话和一个RSPAN源会话用于同一RSPAN VLAN时，将不能运行。l交换端口和路由端口都能够被配置为SPAN源端口和目的端口。配置本地SPAN当监视源端口和目的端口都在同一台交换机上时，应当配置本地SPAN。1配置SPAN的配置方针当配置SPAN时遵循下面的方针：对于源端口而言，既可以是一个端口或VLAN，也可以是几个端口或VLAN。但是，在一个会话中，不能既有VLAN又有端口。目的端口不能成为一个源端口，一个源端口也不能成为目的端口。不能在同一个目的端口上有两个SPAN会话。当配置一个交换机端口作为一个SPAN目的端口时，这便不再是一个常规的交换机端口；只有监控的通信可以抵达SPAN目的端口。将10 Gbps以太网模块端口配置为SPAN或RSPAN目的端口时，其连接速率可能会降低。输入SPAN配置命令不能移除以前配置的SPAN参数。必须输入“no monitor session session_number | all | local | remote”全局配置命令，才能删除已配置的SPAN参数。对本地SPAN而言，如果encapsulation replicate关键字被指定,向外发送的数据包通过SPAN目的端口时，将携带初始封装报头未标记的、ISL或IEEE802.1Q。如果该关键字没有被指定，数据包就会以本地模式发送。对于RSPAN目的端口，向外发送的数据是没有被标记的。可以限制SPAN通信到指定的VLAN，使用filter vlan关键字。如果一个汇聚端口被监控，只有具有关键字的在指定的VLAN上的通信才可以被监控。默认情况下，所有在中继端口上的VLAN都被监控。222.创建本地SPAN会话创建一个SPAN会话，并且指定源端口或VLAN，以及目的端口。下述操作从特权EXEX模式下开始。第一步：进入全局配置模式。Switch # configure terminal第二步：在对话中移除所有存在的SPAN配置。Switch (config) # no monitor session session_number |all |local |remote第三步：指定SPAN会话和源端口（被监视端口）。session_number可取值范围为166，interface-id端口号有效取值范围为148。vlan-id可取值范围为14094。Both表示同时监视进/出双向流量，Rx表示仅监控入口流量；Tx表示仅监控出口流量。 Switch (config) # monitor session session_number source interface interface-id |vlan vlan-id , |- both |rx |tx第四步：指定SPAN会话和目的端口（监视端口）。 Switch (config) # monitor session session_number destination interface interface-id ,|- encapsulation replicate第五步：返回特权EXEC模式。Switch (config-if) # end第六步：校验配置。 Switch # show monitor session session_numberSwitch # show running-config第七步：保存当前配置。Switch # copy running-config startup-config要删除一个SPAN会话，使用“no monitor session session_number”全局配置指令。移除来自一个SPAN会话的源或者目的端口或者VLAN，使用“no monitor session session_number source interface interface-id |vlan vlan-id”全局配置命令，或者“no monitor session session_number destination interface interface-id”全局配置指令。对于目的接口封装选项和没有形式的命令都被忽略。示例一，创建SPAN会话1，检测源端口到目的端口的流量。首先，删除所有的存在的会话1的SPAN配置，然后反映单向流量，从源千兆位以太网端口1到目的千兆位以太网端口2，仍然采用封装方法。Switch (config) # no monitor session 1Switch (config) # monitor session 1 source interface gigabitethernet1/0/1Switch (config) # monitor session 1 destination interface gigabitethernet1/0/2 encapsulation replicateSwitch (config) # end示例二，为SPAN会话1移除作为源SPAN的端口1。 Switch (config) # no monitor session 1 source interface gigabitethernet1/0/1Switch (config) # end示例三，禁用端口1上已收到的流量检测。 Switch (config) # no monitor session 1 source interface gigabitethernet1/0/1 rx示例四，移除SPAN会话2上已存在的配置，配置SPAN会话2，检测属于VLAN 1的所有端口收到的流量，并且发送到目的千兆位以太网端口2。 Switch (config) # no monitor session 2Switch (config) # monitor session 2 source vlan 1-3 rxSwitch (config) # monitor session 2 destination interface gigabitethernet1/0/2Switch (config) # monitor session 2 source vlan 10Switch (config) # end3创建本地SPAN会话并配置流量在特权EXEC模式下开始，创建一个SPAN会话，指定源端口或者目的端口，并且在目的端口为一个网络安全设备启用流量控制。第一步：进入全局配置模式。Switch # configure terminal第二步：为会话移除所有已存在的SPAN配置。 Switch (config) # no monitor session session_number |all | local | remote第三步：指定SPAN会话和源端口（被监视端口）。 Switch (config) # monitor session session_number source interface interface-id | vlan vlan-id ,|- both | rx |tx第四步：指定SPAN会话、目的端口、封装包和VLAN封装。 Switch (config) # monitor session session_number destinationinterface interface-id ,| - encapsulation replicate ingressdot1q vlan vlan-id | isl |untagged vlan vlan-id |vlan vlan-id第五步：返回特权EXEC模式。Switch (config) # end 第六步：校验配置。 Switch # show monitor session session_numberSwitch # show running-config第七步：保存配置。Switch # copy running-config startup-config4指定过滤VLAN在特权EXEC模式下，限制到指定VLAN的SPAN源流量。第一步：进入全局配置模式。 Switch # configure terminal第二步：为会话移除已存在的所有的SPAN配置。 Switch (config) # no monitor session session_number |all |local | remote第三步：指定源端口的特性和SPAN会话。 Switch (config) # monitor session session_numbersource interface interface-id第四步：限制到指定VLAN的SPAN源流量。 Switch (config) # monitor session session_number filter vlan vlan-id ,|-第五步：指定SPAN会话和目的端口（监视端口）。 Switch (config) # monitor session session_number destination interface interface-id ,|- encapsulation replicate第六步：返回特权EXEC模式。Switch (config) # end第七步：校验配置。Switch # show monitor session session_numberSwitch # show running-config第八步：保存配置。Switch (config) # copy running-config startup-config检测中继端口上的VLAN，使用“no monitor session session_number filter”全局配置指令。配置RSPAN1 RSPAN的配置方针下面是配置RSPAN的配置方针：由于RSPAN必须借助RSPAN VLAN才能实现，因此，应该在网络中为RSPAN VLAN预留少量VLAN，并且不要将端口指定至这些VLAN。可以一个输出ACL应用到SRPAN通信，从而选择性地过滤或监控指定的数据包。在RSPAN源交换机上的RSPAN VLAN中应用这些ACL。对RSPAN配置而言，源端口和目的端口可以跨越网络中的多个交换机。RSPAN不支持BPDU包监控或其他二层交换机协议。RSPAN VLAN只能在中继端口而不是访问端口配置。避免RSPAN VLAN中不必要的通信，确保所有涉及到的交换机都能支持VLAN远程SPAN功能。RSPAN VLAN上的所有访问端口（包括语音VLAN端口）都被设置为非活动状态。当源中继端口有激活的RSPAN VLAN时，RSPAN VLAN被包含作为源的基于端口的RSPAN会话中。RSPAN VLAN也可以成为在SPAN会话中的源。只要符合以下的情况，就可以将VLAN配置为RSPAN VLAN：所有交换机中同一RSPAN VLAN应用于一个RSPAN会话；所有参与的交换机都支持RSPAN。配置RSPAN源或目的会话之前，先配置一个RSPAN VLAN。如果启用VTP和VTP修剪，SRPAN通信就会在汇聚端口被剪除。2 配置一个VLAN作为RSPAN VLAN在配置RSPAN之前，应当先创建一个新的VLAN作为RSPAN VLAN，并且必须在所有参与到RSPAN的交换机上创建RSPAN VLAN。如果RSPAN VLAN-ID在正常范围内（低于1005）并且VTP在网络中是启用的，可以在一个交换机上创建RSPAN VLAN，这样，在VTP（VLAN Trunk Protocol，VLAN中继协议）域中，就可以创建多个RSPAN VLAN到其他交换机。第一步：进入全局配置模式。Switch # configure terminal第二步：输入一个VLAN号创建一个VLAN，或者输入一个已存在的VLAN号，并且进入VLAN配置模式。Switch (config) # vlan vlan-id第三步：配置VLAN作为RSPAN VLAN。Switch (config) # remote-span第四步：返回特权EXEC模式。Switch (config) # end 第五步：保存配置。Switch# copy running-config startup-config从一个VLAN中移除RSPAN特性，并且将其转为标准VLAN，使用“no remote-span”VLAN配置指令。示例，创建RSPAN VLAN 901。 Switch (config) # vlan 901Switch (config) # remote spanSwitch (config) # end3 创建RSPAN源会话借助以下操作，可以创建一个RSPAN源会话。第一步：进入全局配置模式。Switch# configure terminal 第二步：为会话移除所有存在的RSPAN配置。Switch (config) # no monitor session session_number |all |local | remote第三步：指定RSPAN会话和源端口（被监视端口）。Switch (config) # monitor session session_number source interface interface-id | vlan vlan-id ,|- both |rx |tx第四步：指定RSPAN会话和目的RSPAN VLAN。Switch (config) # monitor session session_number destination remote vlan vlan-id第五步：返回特权EXEC模式。Switch (config) # end 第六步：校验配置。Switch # show monitor session session_numberSwitch # show running-config第七步：保存配置。Switch # copy running-config startup-config删除一个SPAN会话，使用“no monitor session session_number”全局配置命令。移除一个源端口或者来自SPAN会话的VLAN，使用“no monitor session session_number source interface interface-id |vlan vlan-id”全局配置命令。从会话里移除RSPAN VLAN，使用“no monitor session session_number destination remote vlan vlan-id”。示例：为会话1移除所有存在在RSPAN配置，配置RSPAN 会话1去检测多源接口，配置目的端口作为RSPAN VLAN 901。 Switch (config) # no monitor session 1Switch (config) # monitor session 1 source interfacegigabitethernet1/0/1 txSwitch (config) # monitor session 1 source interface gigabitethernet1/0/2 rxSwitch (config) # monitor session 1 source interface port-channel 2Switch (config) # monior session 1 destination remote vlan 901Switch (config) # end4 创建RSPAN目的会话在其他交换机或交换机堆栈上配置RSPAN目的会话，也就是说，不能在源对话交换机或交换机堆栈上配置目的会话。在特权EXEC模式下开始，执行下述操作可以在交换机上定义RSPAN VLAN，创建一个RSPAN目的会话并指定源RSPAN VLAN和目的端口。第一步：进入全局配置模式。Switch # configure terminal第二步：输入在源交换机上创建的RSPAN VLAN的VLAN号，并且进入VLAN配置模式。Switch (config) # vlan vlan-id第三步：定义VLAN作为RSPAN VLAN。Switch (config) # remote-span第四步：返回全局配置模式。Switch (config?-if) # exit第五步：为会话移除所有存在的RSPAN配置。Switch (config) # no monitor session session_number |all |local|remote第六步：指定RSPAN会话和源RSPAN VLAN。Switch (config) # monitor session session_number source remote vlan vlam-id第七步：指定RSPAN会话和目的接口。Switch (config) # monitor session session_number destination interface interace-id第八步：返回特权EXEC模式。Switch (config) # end第九步：校验配置。Switch # show monitor session session_numberSwitch # show running-config第十步：保存配置。Switch # copy running-config startup-config要删除会话，使用“no monitor session session_number”全局配置命令。移除来自SPAN会话的目的端口，使用“no monitor session session_number destination interface interface-id”全局配置指令。移除来自会话的RSPAN VLAN，使用“no monitor session session_number source remote vlan vlan-id”。5 创建RSPAN目的会话并配置流量在特权EXEC模式下开始，创建一个RSPAN目的会话，指定源RSPAN VLAN和目的端口，并且在目的端口上为一个网络安全设备启用流量控制。第一步：进入全局配置模式。Switch # configure terminal第二步：为会话移除所有存在的SPAN配置。Switch (config) # no monitor session session_number |all |local |remote第三步：指定RSPAN会话和源RSPAN VLAN。Switch (config) # monitor session session_number source remote vlan vlan-id第四步：指定SPAN会话，目的端口，封装包和VLAN封装。Switch (config) # monitor session session_number destination interface interface-id ,|- ingress dot1q vlan vlan-id |isl |untagged vlan vlan-id |vlan vlan-id第五步：返回特权EXEC模式。Switch (config) # en