CISCO交换机的SPAN功能总结

1、SPAN 综述： 2 1 SPAN会话 (SPAN Session) 4 2目的端口( Destination Port ) 4 3源端口( Source Port) 4 4流入 SPAN(Ingress SPAN) 5 5流出 SPAN(Egress SPAN) 5 6基于 VLAN 的 SPAN ( VSPAN ) 5 7其它概念 5 CISCO Catalyst 2900XL/3500XL SPAN 7 1 CISCO 2900XL/3500XL 的SPAN原则： 7 2 Cisco 2900XL/3500XL端口镜像配置 7 3 Cisco 2900XL/3500XL支持VLAN数 8

2、 Cisco Catalyst 5500 SPAN 10 1、配置 VTP 10 2、配置 TRUNK 10 3、配置 VLAN 10 4、路由交换模块( RSM )上的 VLAN 之间路由配置 11 5、端口镜像配置 11 CISCO Catalyst 6000 SPAN and RSPAN 12 1 Cisco 5000XL/6000XL支持 SPAN 和 RSPAN 数目 12 2 配置 SPAN 13 3 关闭 SPAN: 16 4 RSPAN 16 硬件要求 17 SPAN 综述： SPAN ，又称为端口镜像( port mirroring )或端口监听( port monitori

3、ng )， 是 CISCO Catalyst 交换机家族的基本功能之一。其作用为使用网络分析仪对 所选择的网络流量进行分析。网络分析仪可以是一个交换机探头 ( SwitchProbe )，也可以是远程监听探针( RMON probe )。 基本概念： 1. SPAN会话 (SPAN Session) 2. 目的端口 (Destination Port) 3. 源端口 (Source Port) 4. 流入 SPAN (Ingress SPAN) 5. 流出 SPAN (Egress SPAN) 6. 基于 VLAN 的 SPAN (VSPAN) 7. 其它概念 SPAN 参照图如下： 图 1

4、SPAN 综述参照图 1 SPAN 会话 (SPAN Session) 一个 SPAN 会话是一个目的端口和一组源端口组成， 配置以正确的参数以说明 被监听的网络流量。在一个交换网络中可以配置多个 SPAN会话。 SPAN 会话 对交换机的正常操作并没有影响。 SPAN 会话可以有两种状态： enable 和 disable 。SPAN 会话在 enable 状态下 才能起作用。其状态可以用指令 show span 查看。 2 目的端口( Destination Port ) 目的端口也称为 监听端口( monitor port )， SPAN 就是将数据包送到目的端 口进行分析的。 一旦某个

5、端口被定义为目的端口， 那么除了 SPAN 会话的数据 流，它就不会转发任何其他数据。 在 SPAN 会话被激活的状态下，目的端口并不参与 spanning tree 。 注意在缺省状态下，目的端口关闭从网络流入交换机的数据。如果作测试，要 将端口的该选项打开。 3 源端口( Source Port ) 源端口是一个被监听用以进行网络流量分析的交换机端口。 通过源端口的数据 流量可以被分为流入，流出，或者流入和流出三种类型。 在一个 SPAN 会话中可以有一个或多个源端口被监听，三种监听方式(流入， 流出，或者流入和流出)可以由用户定义，并且适用于所有源端口。 可以在任意 VLAN 中配置源端

6、口。源端口也可以是一个 VLAN (src_vlans )， VLAN 中所有端口都将是 SPAN 会话的源端口。 源端口分为管理源 (Admin Source )和操作源( Oper Source )或管理操作源 管理源端口是在 SPAN 会话配置中所定义的源端口或源 VLAN 。操作源端口是 所有被目的端口所监听的源端口，包括 VLAN 中的端口。 4流入 SPAN (Ingress SPAN ) 流入 SPAN 将源端口所接受到的网络数据拷贝到目的端口进行分析。 5流出 SPAN (Egress SPAN ) 流出 SPAN 将源端口所发送出的网络数据拷贝到目的端口进行分析。 6基于 V

7、LAN 的 SPAN (VSPAN ) 基于 VLAN 的 SPAN(VSPAN )分析一个或多个 VLAN 的网络流量。基于 VLAN 的 SPAN (VSPAN )可以被配置为流入 SPAN ，流出 SPAN ，或二者都有的 SPAN 。在 VSPAN 会话过程中，所有源 VLAN 中包括的端口都成为操作源端 口。 如果目的端口属于任何一个管理源 VLAN ，则从操作源端口中排除掉。若在管 理源 VLAN 中添加或删除端口，则操作源也相应地变化。 7其它概念 管理源( Administrative Source ) : 被监听的端口和 VLAN 的总称。 操作源( Operational

8、Source) : 被有效地监听的端口的总和。注意它和管理源有所区 别。例如，一个处于关闭状态的端口可以属于管理源范围，但不能被有效地监听。 本地 SPAN( Local SPAN ): 当所有被监听的源端口与目的端口同处于一台交换机上， SPAN会话被称为本地 SPAN。 远端 SPAN 或 RSPAN ( Remote SPAN or RSPAN ):源端口和目的端口不在同一台交换 机上。注意迄今为止， RSPAN 只有 Catalyst 6000(CatOS 5.3)支持。 封闭式 VLAN ：这种 VLAN 将广播域出限于 VLAN 定义的设备范围内。 举例来说 ,假 设你定义了基于端

9、口的 VLAN, 它包含交换机的端口 3、 4 和 8,则这个 VLAN 是封闭的 , 只有这个小型端口组 (端口 3、 4 和 8)中的帧能够一起交换。 开放式 VLAN ：能够获得来自其他 VLAN 的数据。 当 VLAN 之间相互交错 ,某个端口同 时位于多个 VLAN 中时 ,就形成了开放式 VLAN 。 由于交换机上的端口通常使用同一桥转 发表 (bridge forwarding table ), 顺此包含同一端口的两个或多个 VLAN 将看到来自其他 VLAN 的帧。在某些情况下 ,开放式 VLAN 被认为存在 “漏洞 ”。 CISCO Catalyst 2900XL/3500X

10、L SPAN 1 CISCO 2900XL/3500XL 的 SPAN 原则： 目的端口(监听端口)不能是快速以太网口(Fast Ether Channel)或者千兆以太网口 ( Gigabit EtherChannel ) 目的端口不允许激活端口安全 目的端口不能属于多个 VLAN 目的端口必须与被监听的端口属于同一个 VLAN 。目的端口必须与被监听端口的 VLAN 属性不得改变 目的端口不能是一个动态访问( dynamic-access)的端口或是 TRUNK 端口。但是一 个静态访问( static-access)端口可以监听 TRUNK 上的一个 VLAN ，属于多 VLAN 的端

11、口，或一个动态访问的端口。 ，被监听的 VLAN 需要与静态访问端口有关联。 如果源端口和目的端口都是被保护的，则不能实行端口监听。 2 Cisco 2900XL/3500XL 端口镜像配置 Cisco 2900XL/3500XL 交换机使用 IOS。端口镜像的配置过程基本上与路由器的端口配置 过程相仿。 c: telnet User Access Verification /* 得到如路由器般的提示 */ Password: SwitchName /* SwitchName 为该交换机的名字 */ SwitchName enable /* 允许特权命令 */ SwitchName# conf

12、ig terminal /* 进入终端配置模式 */ SwitchName# interface fastethernet / /* 进入对特定 interface 配置的状态 */ SwitchName# port monitor interface/ vlan-id /* 在此可以使用某个端口镜像另一个 端口的流量；也可以让某个端口镜像某个 VLAN 的流量，这种配置将使得整个 VLAN 对于这个 Monitor 端口来说类似整个 VLAN 连 在一个 HUB 上。不过该模式下，未测试过是 否会造成 overload 。 */ 举例： SwitchName enable SwitchNam

13、e# config terminal SwitchName# interface fastethernet 0/1 SwitchName# port monitor fastethernet 0/2 SwitchName# end (z) SwitchName# show port monitor Monitor Port Port Being Monitored FastEthernet0/1 FastEthernet0/2 此时该交换机端口 2 的数据镜像到了端口 1 上。在做 Port monitor 时，也可以指定你 的 VLAN 的 ID 来镜像整个 VLAN 给该端口。 3 Cis

14、co 2900XL/3500XL 支持 VLAN 数 Catalyst2900XL/3500XL 系列交换机可支持的 MAC 地址和多少个基于端口的 VLAN ？请 参见下表： 型号 支持 MAC 地址数 基于端口的 VLAN 数 Catalyst 2912-XL 2048 个 MAC 地址 64 个基于端口的 VLAN Catalyst 2912MF-XL 8192 个 MAC 地址 250 个基于端口的 VLAN Catalyst 2924-XL 2048 个 MAC 地址 64 个基于端口的 VLAN Catalyst 2924C-XL 2048 个 MAC 地址 64 个基于端口的 V

15、LAN Catalyst 2924M-XL 8192 个 MAC 地址 250 个基于端口的 VLAN Catalyst 3500-XL 系列 8192 个 MAC 地址 250 个基于端口的 VLAN Cisco Catalyst 5500 SPAN 1 、配置 VTP set vtp domain name 配置 VTP 协议的域名，同一 VTP 域名之间才能交换 VLAN 信息 set vtp mode server/client server 才能发布信息， client 只能获得 VLAN 信息 set vtp pruning enable - 设置修剪模式使能 set vtp pr

16、uning disable - 去掉修剪模式 2 、配置 TRUNK trunk 只有在 100/1000M 口才可以配置， 5500可以支持 802.1Q 和ISL 两种标准。 2、1 ISL trunk set trunk mod_num/port_num on | desirable | auto | nonegotiate isl -因 1924/1912只能支持 ISL 标准，建议配置 ISL。 show trunk mod_num/port_num -查看 PORT trunk 状态 2、2 IEEE 802.1Q Trunk set trunk mod_num/port_num

17、on | desirable | auto | nonegotiate dot1q show trunk mod_num/port_num 3 、配置 VLAN 以太网 VLAN 配置： set vlan vlan_num name name - 设置或产生一个 VLAN 的名称和 VLAN 号 set vlan vlan_num mod_num/port_num - 分配端口到指定的 VLAN show port mod_num /port_num - 查看端口的工作状态 show vlan vlan_num -查看交换机 VLAN 状况 4、路由交换模块（ RSM ）上的 VLAN 之间路

18、由配置 进入全球配置模式后，见到 router(config): 提示符 int vlan vlan_num 进入接口配置模式 ip addr ip_address netmask -配置协议地址子网掩码 5、端口镜像配置 set span disable dest_mod/dest_port | all 去掉所有端口镜像 set span src_mod/src_ports. | src_vlan. | sc0 dest_mod/dest_port rx | tx | both inpkts enable | disable learning enable | disable multica

19、st enable | disable create 配置端口镜像的源和目的端口、镜像包的限制等。 Show span 查看端口镜像状况 CISCO Catalyst 6000 SPAN and RSPAN 如果流入数据被目的端口所监听，则是在目的端口所在的 VLAN 进行交换。 注意：在 SPAN 会话激活的状态下，目的端口不能参与 Spanning Tree! 1 Cisco 5000XL/6000XL 支持 SPAN 和 RSPAN 数目 在 Catalyst 6000 系列交换机上，最多可以支持 30 个 SPAN 会话（并存在 NVRAM ） 中，在 Catalyst 5000 系列

20、交换机上，可支持的 SPAN会话最多为 5个。 下表说明 Catalyst 5000XL/6000XL 系列交换机可支持的最大 SPAN 和 RSPAN 会话数 目。对于每一个会话，可以配置多个端口或 VLAN 作为监听源。 SPAN/RSPAN 会话数 Catalyst 5000 Catalyst 6000 rx or both SPAN sessions 1 2 tx SPAN sessions 4 4 tx, rx, or both RSPAN source - 1 sessions RSPAN destinations - 24 Total SPAN sessions 5 30 2 配

21、置 SPAN 在 SPAN 的配置中，源端口和目的端口必须在同一台交换机上。 Catalyst 6000 配置 SPAN 的命令格式如下： set span src _mod/src _ports | src_vlans | sc0 dest _mod / dest _port rx | tx | both inpkts enable | disable learning enable | disable multicast enable | disable filter vlans. create 例 1: 将端口 1/1 （SPAN 源端口）所发送和接受的流量被镜像到2/1 （SPAN 目

22、的端口）： Console （enable） set span 1/1 2/1 目的端口 : Port 2/1 管理源 : Port 1/1 操作源端口 : Port 1/1 方向 : 发送 /接受 进入数据包 : 关闭 监听 : 开启 多播 : 开启 例 2: 将 VLAN 522 设为 SPAN 的源，端口 2/1 为 SPAN 的目的端口： Console (enable) set span 522 2/1 目的端口 : Port 2/1 管理源 : VLAN 522 操作源端口 : Port 3/1-2 方向 : 发送 /接受 进入数据包 : 关闭 监听 : 开启 多播 : 开启 Co

23、nsole (enable) 例 3: 将 VLAN 522 设为 SPAN 的源， 端口 2/12 为 SPAN 的目的端口， 只有发送的数据被监 听，在目的端口 2/12 上允许正常的数据流入： Console (enable) set span 522 2/12 tx inpkts enable 目的端口 : Port 2/12 管理源 : VLAN 522 操作源端口 : Port 2/1-2 方向 : 发送 进入数据包 : 开启 监听 : 开启 多播 : 开启 例 4: 将端口 3/2 设为 SPAN 的源，端口 2/2 为 SPAN 的目的端口： Console (enable)

24、set span 3/2 2/2 tx create 目的端口 : Port 2/1 管理源 : Port 3/1 操作源端口 : Port 3/1 方向 : 发送 /接受 进入数据包 : 关闭 目的端口 : Port 2/2 管理源 : Port 3/2 操作源端口 : Port 3/2 方向 : 发送 进入数据包 : 关闭 监听 : 开启 多播 : 开启 Console (enable) 3 关闭 SPAN: set span disable dest_mod / dest_port | all This command will disable your span session. Do you want to continue (y/n) n?y Disabled port 2/1 to monitor transmit traffic of VLAN 522 Console (enable) 4 RSPAN 源端口和目的