在Cisco Catalyst 2900/3500系列交換機上實現span配置

2019-11-05 01:36:28

字體：大中小

來源：轉載

供稿：網友

　　一、SPAN的簡述
　　
　　1、所謂SPAN，是The Switched Port Analyzer的縮寫，通常被稱為端口鏡像或端口監聽。SPAN功能是基于交換機的，而交換機的原理不同于集線器：交換機在獲得了源端口的MAC地址后，會將流經該MAC地址的所有數據直接發往目標端口。如圖1所示，假如想要捕捉通過一個集線器連接在一起的主機A到主機B之間的網絡通信，只要在這個集線器上加一個嗅探器就可以監聽該集線器上的所有端口，并可監聽到主機A到主機B之間的一切通信。
　　　

　　在交換機上（如圖2），主機B的MAC地址是向后學習的，A、B間的單播通信只會被傳遞到主機B上，因此不會被監聽設備捕捉到：
　　　

　　在該配置情況下，監聽設備只能捕捉到發往所有端口的通信洪流（如廣播和多播包）。我們只能人為的將從主機A上發出的數據拷貝一份發送到監聽口上。
　　　

　　如圖3所示，一個監聽設備可以從交換機端口上接收所有從主機A上發出的數據包。該交換機端口即被稱為SPAN口。在接下來的內容中，本文將以Cisco Catalyst 2900/3500系列交換機為例，介紹SPAN功能的實現方法。
　　
　　2、SPAN術語：
　　
　　○ 入口數據流（Ingress traffic）：進入交換機的數據流。
　　
　　○ 出口數據流（Egress traffic）：送出交換機的數據流。
　　
　　○ 源（SPAN）口（Source (SPAN) Port）：用于監聽使用SPAN功能的端口。
　　
　　○ 目標（SPAN）口（Destination (SPAN) Port）：被源端口所監聽的端口，通常情況下連有一個網絡分析器。
　　
　　○ 監聽口（Monitor Port）：在Catalyst 2900XL/3500XL/2950術語中，監聽口也就是目標口。
　　　

　　○ 本地SPAN（Local SPAN）：即當監聽口都位于同一交換機上且作為目標口出現時。它與下面的遠程SPAN相對。
　　
　　○ 遠程SPAN或RSPAN（Remote SPAN or RSPAN）：即指當某些源口作為目標口出現時，不處于同一交換機上。這種高級功能需要一個專門的VLAN去傳遞被交換機間SPAN功能所監聽的數據。目前該功能只能在使用CatOS 5.3操作系統的Catalyst 6000 交換機上實現。
　　
　　○ PSPAN：表示基于端口的SPAN。指在交換機目標口上由用戶指定的一個或多個源口。
　　
　　○ VSPAN：表示基于VLAN的SPAN。指在一個給定交換機上，用戶可以用一條獨立命令去選擇監聽所有屬于一個特定VLAN的端口。
　　
　　○ 治理源（Administrative Source）：被配置成監聽狀態的源口或VLAN列表。
　　
　　○ 操作源（Operational Source）：處于實際監聽狀態的端口列表。這不同于治理源。例如：一個已經被關閉，但卻處于治理源中的端口，已不處于實際監聽狀態。
　　
　　二、在Catalyst 2900XL/3500XL交換機上實現SPAN配置
　　
　　1、功能的實現范圍和限制：
　　
　　端口監聽功能在Catalyst 2900XL/3500XL系列交換機上沒有大的擴展，而且相對輕易理解。
　　
　　必要的話，可以創建多個本地PSPAN會話。例如，可以在所選定的目標SPAN口上配置PSPAN會話；或按你所希望的通過port monitor<接口名>命令去監聽僅在列表中出現的源口。治理口在Catalyst 2900XL/3500XL術語中實際上就是目標SPAN口。
　　
　　○ 其主要限制在于，所有與一個已給定會話相關的端口（無論其是源口還是目標口）都必須屬于同一個VLAN。
　　
　　○ 假如你在port monitor命令中不指定任何接口的話，所有其他屬于同一個VLAN中的接口都將處于被治理狀態。
　　
　　ATM口是個例外，一般情況下不能作為被治理口，除非做非凡處理。在這里我們不做討論。
　　
　　應用于具備治理功能的端口的限制條件主要有以下幾點：
　　
　　○ 監聽口不能被置于一個快速以太網或是千兆以太網口組中。
　　
　　○ 監聽口不能處于安全模式下。
　　
　　○ 多重VLAN口不能作為監聽口。
　　
　　○ 監聽口與被監聽口必須處在同一VLAN組中。VLAN成員組中處于被監聽狀態的端口不答應變更為監聽口。
　　
　　○ 監聽口不能是一個動態存取口或主干口。但一個靜態存取口可以監聽一個主干上的一個VLAN、一個多重VLAN或是一個動態存取口。被監聽的VLAN是一組靜態存取口。
　　
　　○ 在監聽口和被監聽口均為被保護口的情況下，端口監聽功能將無法實現。
　　
　　值得注重的是，一個處于治理狀態的端口不能運行跨接樹協議（STP），除非它是VLAN中處于鏡像狀態的端口。假如監聽口是環路的一部分（如將其聯接到一個集線器或網橋上，在網絡的某個部分上形成一個環路），假如未能使用STP協議對其進行保護的話，橋環狀態將導致災難性的后果。
　　
　　2、配置范例：
　　
　　在下例中，將同時創建兩個SPAN會話。
　　
　　○ 快速以太網口Fa0/1將被用來治理通過Fa0/2和Fa0/5發送和接收數據流。同時也將治理從治理接口Vlan1中進出的數據流。
　　
　　○ 快速以太網口Fa0/4將被用來治理Fa0/3和Fa0/6。
　　
　　快速以太網口Fa0/3、Fa0/4、Fa0/6將都被配置在Vlan2中；其他端口包括治理口將被配置在默認的Vlan1中。
　　
　　網絡圖示：
　　

　　以下是在Catalyst 2900XL/3500XL環境中做的簡單配置：
　　
　　
　　
　　!
　　
　　interface FastEthernet0/1
　　
　　port monitor FastEthernet0/2
　　
　　port monitor FastEthernet0/5
　　
　　port monitor VLAN1
　　
　　!
　　
　　interface FastEthernet0/2
　　
　　!
　　
　　interface FastEthernet0/3
　　
　　switchport access vlan 2
　　
　　!
　　
　　interface FastEthernet0/4
　　
　　port monitor FastEthernet0/3
　　
　　port monitor FastEthernet0/6
　　
　　switchport access vlan 2
　　
　　!
　　
　　interface FastEthernet0/5
　　
　　!
　　
　　interface FastEthernet0/6
　　
　　switchport access vlan 2
　　
　　!
　　
　　
　　
　　!
　　
　　interface VLAN1
　　
　　ip address 10.200.8.136 255.255.252.0
　　
　　no ip directed-broadcast
　　
　　no ip route-cache
　　
　　!
　　
　　
　　
　　3、有關配置步驟的說明：
　　
　　若想將快速以太網口Fa0/1配置為源端口Fa0/2、Fa0/5和治理接口的目標端口。進入到配置模式后，首先選擇接口Fa0/1：
　　
　　Switch(config)#int fa0/1
　　
　　然后列出所有被監聽的端口：
　　
　　Switch(config-if)#port monitor fastEthernet 0/2
　　
　　Switch(config-if)#port monitor fastEthernet 0/5
　　
　　在此情況下，所有被這兩個端口接收和發送的數據包都將被拷貝到Fa0/1上。接下來將治理接口配置成被監聽模式，可使用port monitor命令的變種形式：
　　
　　Switch(config-if)#port monitor VLAN 1
　　
　　注重：以上命令并不意味著端口Fa0/1將監聽整個VLAN1。要害字VLAN1在這里只是單指交換機上的治理接口。
　　
　　下例中的命令本希望監聽與FastEthernet0/1分屬不同VLAN的端口FastEthernet0/3，而在現實中這是不可能實現的。
　　
　　Switch(config-if)#port monitor fastEthernet 0/3
　　
　　因為快速以太網接口FastEthernet0/1 和 FastEthernet0/3 分屬不同的VLAN。
　　
　　以上配置結束后，將進入到另一個配置會話中，這次將Fa0/4配置為目標SPAN口：
　　
　　Switch(config-if)#int fa0/4
　　
　　Switch(config-if)#port monitor fastEthernet 0/3
　　
　　Switch(config-if)#port monitor fastEthernet 0/6
　　
　　Switch(config-if)#^Z
　　
　　所有的工作完成后最好檢查一下配置結果，有兩條命令可供選擇：show running和show port monitor：
　　
　　Switch#show port monitor
　　
　　Monitor Port Port Being Monitored
　　
　　--------------------- ---------------------
　　
　　FastEthernet0/1 VLAN1
　　
　　FastEthernet0/1 FastEthernet0/2
　　
　　FastEthernet0/1 FastEthernet0/5
　　
　　FastEthernet0/4 FastEthernet0/3
　　
　　FastEthernet0/4 FastEthernet0/6
　　
　　注重：Catalyst 2900XL/3500XL系列交換機只能對同時對雙向數據流做處理，而不能單獨對發送或接收的數據做分別處理，即只支持雙向SPAN。
　　
　　三、在Catalyst 2950/Catalyst 3550系列交換機上實現SPAN配置
　　
　　1、下文主要說明如何在Catalyst 2950和Catalyst 3550上配置SPAN功能。
　　
　　○ Catalyst 2950交換機可以在某一時間僅激活一個SPAN會話并只監聽源口，Catalyst 2950交換機不能監聽VLAN。
　　
　　○ Catalyst 3550交換機可以在同一時間內建立兩個SPAN會話，它既能監聽源口又可以監聽VLAN。
　　
　　SPAN功能配置命令在Catalyst 2950和Catalyst 3550交換機上的使用形式是類似的，只是Catalyst 2950交換機不能用來監聽VLAN。
　　
　　2、以下是SPAN實現的范例：
　　
　　C2950#conf t
　　
　　C2950(config)#
　　
　　C2950(config)#monitor session 1 source interface fastEthernet 0/2
　　
　　!-- Interface fa 0/2 is configured as source port
　　
　　C2950(config)#monitor session 1 destination interface fastEthernet 0/3
　　
　　!-- Interface fa0/3 is configured as destination port
　　
　　C2950(config)#
　　
　　
　　C2950#show monitor session 1
　　
　　Session 1
　　
　　---------
　　
　　Source Ports:
　　
　　RX Only: None
　　
　　TX Only: None
　　
　　Both: Fa0/2
　　
　　Destination Ports: Fa0/3
　　
　　C2950#
　　
　　注重：
　　
　　（1）與Catalyst 2900XL/3500XL系列交換機不同的是，Catalyst 2950/3550系列交換機可以對不同方向的數據流做區別處理，既支持單向又支持雙向。
　　
　　（2）使用Cisco IOS 12.0(5.2)WC(1)操作系統的Catalyst 2950交換機不支持以上命令，任何使用版本早于Cisco IOS 12.1(6)EA2的操作系統的Catalyst 2950交換機都不支持以上命令。

上一篇：增加可靠性的嵌入交換技術

下一篇：2950交換機簡明配置維護手冊