介紹
交換端口分析器(SPAN)功能有時被稱為端口鏡像或端口監(jiān)控,該功能可通過網(wǎng)絡分析器(例如交換機探測設備或者其它遠程監(jiān)控(RMON)探測器)選擇網(wǎng)絡流量進行分析。以前,SPAN是Catalyst交換機族較為基本的功能,但最新推出的CatOS有許多增強功能,而且有許多功能是用戶現(xiàn)有才開始使用的。本文并不是SPAN功能的又一種配置指南,而是立足于介紹已實施的SPAN的最新功能。本文將對SPAN的一般問題進行回答,例如:
SPAN是什么?我如何對它進行配置?
有什么不同的功能(尤其是同時進行多個SPAN話路)?需要何種級別的軟件來執(zhí)行這些功能?
SPAN是否會影響交換機的性能?
開始配置前
規(guī)則
有關詳情,請參閱 Cisco技術提示規(guī)則。
SPAN簡要介紹
SPAN是什么?為什么需要SPAN? 在交換機上引入SPAN功能,是因為交換機和集線器有著根本的差異。當集線器在某端口上接收到一個數(shù)據(jù)包時,它將向除接收該數(shù)據(jù)包端口之外的其它所有端口發(fā)送一份數(shù)據(jù)包的拷貝。當交換機啟動時,它將根據(jù)所接收的不同數(shù)據(jù)包的源MAC地址開始建立第2層轉發(fā)表。一旦建立該轉發(fā)表,交換機將把指定了MAC地址的業(yè)務直接轉發(fā)至相關端口。
例如,假如您想要截獲從主機A發(fā)送至主機B的以太網(wǎng)業(yè)務,而兩臺主機是用集線器相連的,那么只要在該集線器上安裝一嗅探器,所有端口均可看見主機A和主機B之間的業(yè)務:
在交換機中,當知道了主機B的MAC地址之后,從主機A到主機B的單播業(yè)務僅被轉發(fā)至主機B的端口,因此,嗅探器看不見:
在這個配置中,嗅探器將僅截獲擴散至所有端口的業(yè)務,例如廣播業(yè)務、具有CGMP或者IGMP偵聽禁止的組播業(yè)務以及未知的單播業(yè)務。當交換機的CAM表中沒有目的地的MAC時,將發(fā)生單播泛濫。它無法理解向何處發(fā)送業(yè)務,而將數(shù)據(jù)包大量發(fā)送至VLAN中的所有端口。
將主機A發(fā)送的單播數(shù)據(jù)包人工復制到嗅探器端口需要一些附加功能來實現(xiàn)。
在上面的圖表中,與嗅探器相連的端口配置為:對主機A發(fā)送的每一個數(shù)據(jù)包拷貝進行接收。該端口被稱為SPAN端口。下文各節(jié)將說明如何對該功能進行精確的調節(jié),使其作用不僅僅限于監(jiān)控端口。
入口業(yè)務: 進入交換機的業(yè)務。
出口業(yè)務: 離開交換機的業(yè)務。
源(SPAN)端口: 用SPAN功能受監(jiān)控的端口。
目的地(SPAN)端口: 監(jiān)控源端口的端口,通常連有一個網(wǎng)絡分析器。
監(jiān)控端口:在Catalyst 900xl/3500xl/2950術語中,監(jiān)控端口也是目的地SPAN端口。
本地SPAN: 當被監(jiān)控端口全部位于同一交換機上作為目的地端口時,SPAN功能為本地SPAN功能。這和下文中的遠程SPAN形成對比。
遠程SPAN或者RSPAN: 作為目的地端口的某些源端口沒有位于同一交換機上。這是一項高級功能,要求有專門的VLAN來傳送該業(yè)務,并由交換機之間的SPAN進行監(jiān)控。并非所有交換機均支持RSPAN,所以,請檢查各自的版本說明或者配置指南,來核實您要進行配置的交換機是否可以使用該功能。
PSPAN: 指基于端口的SPAN。用戶對交換機指定一個或者數(shù)個源端口以及一個目的地端口。
VSPAN: 指基于VLAN的SPAN。在給定的交換機中,用戶可以使用單個命令來選擇對屬于專門VLAN的所有端口進行監(jiān)控。
ESPAN ESPAN指SPAN增強版本。該術語在SPAN的發(fā)展期間數(shù)次用于命名新增功能,因此意義并不很明確。在本文中避免使用該術語。
治理源: 已配置受監(jiān)控的源端口或者VLAN的列表。
操作源: 受到有效監(jiān)控的端口列表。這可能和治理源有所不同。例如,在關閉模式下的端口可能在治理源中出現(xiàn),但它不受到有效監(jiān)控。
更多的請看:http://www.QQread.com/windows/2003/index.Html
本文使用CatOS 5.5作為Catalyst 4000、5000以及6000族的參考。在Catalyst 2900XL/3500XL族中使用了Cisco IOS(r)軟件版本12.0(5)XU。雖然本文以后會根據(jù)SPAN的變化而更新,但有關SPAN功能的最新發(fā)展情況,請參閱文檔的版本說明。
本文中所提供的信息是在從非凡實驗室環(huán)境下的設備中產(chǎn)生的。本文中所使用的所有設備均以缺省配置啟動。假如您是在實際網(wǎng)絡中作業(yè),請確保您在使用所有命令之前,已了解這些命令可能產(chǎn)生的影響。.
Catalyst 2900XL/3500XL中的端口監(jiān)控功能沒有太過擴展,因此比較輕易理解。
您可以根據(jù)需要創(chuàng)建多個本地PSPAN話路。例如,您可以在您選作目的地SPAN端口的端口配置創(chuàng)建PSPAN話路,只需用 端口監(jiān)視 <interface> 命令列出您想監(jiān)控的源端口即可。在Catalyst 2900XL/3500XL的術語中,監(jiān)控端口其實是目的地SPAN端口。
主要限制在于:與給定話路相關的所有端口(無論源端口還是目的地端口)必須屬于同一VLAN。.
假如您沒有在端口監(jiān)控命令中指定任何接口,則作為接口的所有其它屬于同一VLAN的端口將受到監(jiān)控。
以下限制,摘自 Catalyst 2900XL/3500XL 的命令參考:
ATM端口是唯一無法受到監(jiān)控的端口。然而您還是可以對ATM端口進行監(jiān)控。以下限制適用于具有端口監(jiān)控能力的各個端口:
快速EthernetChannel或者千兆EthernetChannel 端口群中不能有監(jiān)控端口。
因為端口安全性而無法啟用監(jiān)控端口。
監(jiān)控端口不可以是多VLAN端口。
當端口受到監(jiān)控時,監(jiān)控端口必須是同一VLAN的成員。對于監(jiān)控端口以及受到監(jiān)控的端口,不答應進行VLAN成員的改變。
監(jiān)控端口不可以是動態(tài)接入端口或者中繼端口。但是,靜態(tài)接入端口可以對中繼線上的VLAN、多VLAN或者動態(tài)接入端口進行監(jiān)控。受到監(jiān)控的VLAN與靜態(tài)接入端口有關聯(lián)。
假如監(jiān)控器以及受監(jiān)控端口為受保護端口,端口監(jiān)控將不起作用。
有關功能沖突的補充信息,請參閱下文的鏈接:
治理交換機——治理配置沖突 -- Catalyst 2900XL/3500XL 系列
請注重,處于監(jiān)控狀態(tài)的端口不執(zhí)行生成樹協(xié)議(STP),但端口仍然屬于其鏡像的端口VLAN。假如端口監(jiān)控屬于某個環(huán)路的一部分(例如,當您將其連接至集線器或者網(wǎng)橋,而環(huán)接至網(wǎng)絡的其它部分時),您可能會以嚴重的橋接環(huán)路狀況收尾,因為您不再受到STP的保護。請參閱 “為什么我的SPAN話路會產(chǎn)生一個橋接環(huán)路?”一節(jié), 看一看產(chǎn)生該情況的一個實例。
在本例中,創(chuàng)建了兩個并行的SPAN話路。
端口Fa0/1將對由端口Fa0/2發(fā)送、端口Fa0/5接收的業(yè)務進行監(jiān)控。它也將對往返于治理接口VLAN 1的業(yè)務進行監(jiān)控。
端口Fa0/4將對端口Fa0/3以及Fa0/6進行監(jiān)控。
端口Fa0/3、Fa0/4以及Fa0/6均在VLAN 2中進行配置;其它端口以及治理接口均在默認的VLAN 1中進行配置。
Catalyst 2900XL/3500XL上的配置樣本
<snip> ! interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5 ! interface FastEthernet0/6 switchport access vlan 2 ! <snip> ! interface VLAN1 ip address 10.200.8.136 255.255.252.0 no ip directed-broadcast no ip route-cache ! <snip>
該圖是Catalyst 6000交換機插槽6線路卡的一部分。端口6/1以及6/2屬于VLAN 1,端口6/3屬于VLAN 2,而端口6/4以及6/5屬于VLAN 3。將一嗅探器連接至端口6/2,在各個不同的情況下將其作為監(jiān)控端口使用。
采用 set span 命令的最簡單形式來監(jiān)控單個端口。句法是: set span <source port> <destination port>
switch (enable) set span 6/1 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
使用該配置之后,端口6/1接收或者發(fā)送的數(shù)據(jù)包將被復制到端口6/2。當輸入了配置時,該情況得到清楚描述。假如要得到當前SPAN配置的摘要信息,使用show span命令即可:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
使用SPAN監(jiān)控數(shù)個端口
The set span <source ports> <destination port> 答應用戶指定一個以上的源端口。列出您需要實施SPAN的所有端口,用逗號分隔。命令行解析程序同樣可以讓您通過使用連字符來指定多個端口。以下實例將說明這個功能。使用端口6/1上的SPAN以及從6/3開始的三個端口范圍上的SPAN。僅可存在一個目的地端口,并總是在SPAN源之后對其進行指定。
switch (enable) set span 6/1,6/3-5 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3-5
Oper Source : Port 6/1,6/3-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
注:?/B>Catalyst 4000/5000/6000和Catalysts 2900XL/3500XL不同,前者可以對屬于CatOS 5.1之前的VLAN的數(shù)個不同端口進行監(jiān)控。在這里,鏡像端口被分配至VLAN1、2和3。
使用SPAN監(jiān)控VLAN
最后, set span 命令讓您能對端口進行簡單配置,便可監(jiān)控整個VLAN的本地業(yè)務: set span <source vlan(s)> <destination port> .
將一個或者多個VLAN列表作為源,而非端口列表:
switch (enable) set span 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
進行了以上配置之后,進入或者離開VLAN 2或者VLAN 3的每一個數(shù)據(jù)包將復制到端口6/2。請注重,該結果和當您單獨對所有屬于命令中指定VLAN的端口實施SPAN所取得的結果是完全一致的。您可以通過對 Oper Source 以及 Admin Source 字段進行比較來看到這個情況。Admin Source基本上列出您已經(jīng)對SPAN話路作出的所有配置,而Oper Source字段列出正在使用SPAN的端口。
入口/出口SPAN
在前面的例子中,進入以及離開指定端口的業(yè)務受到了監(jiān)控。您可以在字段 Direction: transmit/receive中看到這個情況。 Catalyst 4000/5000/6000系列交換機讓您得以在一個給定端口上收集只出(出局)或者只入(入局)業(yè)務。您僅需在結尾處添加要害字 rx ((接收)或者 tx (發(fā)送),默認值為 both (發(fā)送與接收)。
set span <source> <destination port> <rx/tx/both>
例:這個話路捕捉VLAN 1以及VLAN 3的所有入口業(yè)務并將其鏡像至端口6/2:
switch (enable) set span 1,3 6/2 rx
2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 1,3
Oper Source : Port 1/1,6/1,6/4-5,15/1
Direction : receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
在中繼線上實施SPAN
中繼線是交換機中的一個特例,它是承載數(shù)個VLAN的端口。假如選擇中繼線作為源端口,該中繼線上所有的VLAN業(yè)務將受到監(jiān)控。
對屬于中繼線VLAN的子集進行監(jiān)控
在下圖中,端口6/5現(xiàn)在是傳送所有VLAN的中繼線。試想,您想對端口6/4以及6/5VLAN 2中的業(yè)務進行SPAN。簡單使用該命令即可:
switch (enable) set span 6/4-5 6/2 
在該情況中,SPAN端口所接收的業(yè)務將是您所需業(yè)務的一個混合體,且所有VLAN通過中繼線6/5進行傳送。例如,假如數(shù)據(jù)包來自于VLAN 2中的端口6/4或者來自于VLAN 1中的端口6/5,將無法在目的地端口上進行區(qū)別。另一種可能性是使用整個VLAN 2上的SPAN:
switch (enable) set span 2 6/2
采用這個配置,最低限度上您僅監(jiān)控來自中繼線且屬于VLAN 2的業(yè)務。現(xiàn)在的問題是,您也接收到并不想要的來自于端口6/3的業(yè)務。CatOS包括的另一個要害字讓您能選擇一些VLAN來從中繼線進行監(jiān)控:
switch (enable) set span 6/4-5 6/2 filter 2
2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : 2
Status : active
這個命令將使我們只選擇所有受監(jiān)控的中繼線上的VLAN2來實現(xiàn)我們的目標(當然,您可以使用過濾器選項指定數(shù)個VLAN)。
注:?/B>僅Catalyst 4000和Catalyst 6000交換機支持過濾器選項。Catalyst 5000不支持使用 set span 命令來提供過濾器選項。
目的地端口上的中繼線
假如您的源端口屬于數(shù)個不同的VLAN,或者當您在一個中繼線端口上對數(shù)個VLAN使用SPAN時,您可能需要分辨在目的地SPAN端口接收的一個數(shù)據(jù)包屬于哪一個VLAN。這可以通過在對SPAN進行配置之前啟用的目的地端口上的中繼線來實現(xiàn)。通過這個方式,所有轉發(fā)至嗅探器的數(shù)據(jù)包也將被標上各自的VLAN ID。
注:?/B>您的嗅探器需要識別對應的封裝。
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
switch (enable) set trunk 6/2 nonegotiate isl
Port(s) 6/2 trunk mode set to nonegotiate.
Port(s) 6/2 trunk type set to isl.
switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk
switch (enable) set span 6/4-5 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
destination port 6/2
創(chuàng)建多個同步話路
到目前為止,僅創(chuàng)建了單個話路。每當您輸入一條新的 set span 命令,以上配置將失效。現(xiàn)在CatOS可以同時執(zhí)行多個話路,換言之,它可以同時具有不同的目的地端口。請使用 set span <source> <destination> create 命令來添加另外的SPAN話路。在以下話路中,端口6/1到6/2將受到監(jiān)控,與此同時,監(jiān)控器VLAN 3到端口6/3也將受到監(jiān)控: 
switch (enable) set span 6/1 6/2
2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
switch (enable) set span 3 6/3 create
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/3
現(xiàn)在,通過 show span 命令檢查你是否同時有兩條話路:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
------------------------------------------------------------------------
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 2
現(xiàn)在新增話路已經(jīng)創(chuàng)建。您需要刪除一些話路的方法。命令是:
set span disable <all / destination port>
話路的識別要通過它的目的地端口(因為每個話路只有一個目的地端口)。刪除第一個創(chuàng)建的話路,該話路使用端口6/2作為目的地:
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
你現(xiàn)在可以核查你只剩一條話路了:
switch (enable) show span
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
假如要在一個步驟中取消所有同步話路,請使用以下命令:
switch (enable) set span disable all
This command will disable all span session(s).
Do you want to continue (y/n) [n]?y
Disabled all local span sessions
2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/3
switch (enable) show span
No span session configured
其它SPAN選項
set span命令的句法是:
switch (enable) set span
Usage: set span disable [dest_mod/dest_portall]
set span <src_mod/src_ports...src_vlans...sc0>
<dest_mod/dest_port> [rxtxboth]
[inpkts <enabledisable>]
[learning <enabledisable>]
[multicast <enabledisable>]
[filter <vlans...>]
[create]
本節(jié)對本文中尚未述及的選項進行簡要介紹:
Sc0: Sc0:假如在對發(fā)送至治理接口的業(yè)務進行監(jiān)控時需要sc0,將在SPAN配置中指定sc0要害字。本功能由Catalyst 4000和6000上的CatOS 5.1提供。
Inpkts <enable/disable>: 該選項極其重要。 如前所述,配置為SPAN目的地的端口仍然屬于其最初的VLAN。 目的地端口接收到的數(shù)據(jù)包繼而進入該VLAN,就似乎該端口是一個正常的接入端口那樣,可能會需要動作。假如您將PC機用作嗅探器,可能需要將該PC機完全連接至VLAN。但是,假如您將目的地端口連接至另一個網(wǎng)絡設備,而該設備在網(wǎng)絡中創(chuàng)建了一個環(huán)路,則可能會比較危險。目的SPAN端口將不執(zhí)行STP,您可能會以危險的橋接環(huán)路狀況終止。請參閱 “為什么我的SPAN話路會產(chǎn)生一個橋接環(huán)路?” 一節(jié)來了解產(chǎn)生該情況的過程。該選項的默認設定為“禁止使用”,這意味著目的SPAN端口將丟棄接收到的數(shù)據(jù)包,以防止橋接環(huán)路。該選項在CatOS 4.2中出現(xiàn)。
Learning <enable/disable>: 該選項可以禁止對目的地端口的探聽。默認值為:啟用探聽,目的地端口獲悉其接收到的入口數(shù)據(jù)包的MAC地址。本功能在Catalyst 4000與5000上的CatOS 5.2以及Catalyst 6000上的CatOS 5.3中出現(xiàn)。
Multicast <enable/disable>: 顧名思義,該選項答應您啟用或者禁止對組播數(shù)據(jù)包的監(jiān)控(默認值為啟用)。本功能在Catalyst 4000以及6000上的CatOS 5.1中出現(xiàn)。
Spanning port 15/1: 在Catalyst 6000上,也可以將端口15/1(或者16/1)用作SPAN源,這將使它能夠對轉發(fā)至多層交換機功能卡(MSFC)(對于路由選擇至MSFC或者指向MSFC的軟件)的業(yè)務進行監(jiān)控。
遠程SPAN(RSPAN)答應您對遍布交換網(wǎng)絡的各個源端口進行監(jiān)控,而不僅僅是交換機上的本地SPAN。此功能在Catalyst 6000族上的CatOS 5.3中出現(xiàn),且自CatOS 6.3起被添加入Catalyst 4000族交換機。
該功能所起的作用與常規(guī)SPAN話路一致。由SPAN進行監(jiān)控的業(yè)務(而非直接復制到目的地端口)大量發(fā)送至專門的RSPAN VLAN。所以目的地端口可以處于該RSPAN VLAN的任何位置(甚至可以有多個目的地端口)。
下圖顯示了RSPAN話路的結構。
假設您配置RSPAN對主機A發(fā)送的業(yè)務進行監(jiān)控。當A生成一個送往B的幀,數(shù)據(jù)包將被Catalyst 6000策略功能卡應用專用集成電路(ASIC)復制入預定RSPAN VLAN。在那里,數(shù)據(jù)包大量發(fā)送至屬于RSPAN VLAN的所有其它端口。本圖中所畫的所有交換機間鏈路均為中繼線,這是RSPAN的一個要求。僅有的接入端口是目的地端口,這些目的地端口連接嗅探器(S4以及S5上)。
關于該設計的一些說明:
S1被稱為源交換機。數(shù)據(jù)包只進入配置為RSPAN源的交換機中的RSPAN VLAN。現(xiàn)在,交換機只作為一個RSPAN話路的源(這意味著源交換機每次只能饋入一個RSPAN VLAN)。
S2和S3是中間交換機。它們不是RSPAN源,沒有目的地端口。 一個交換機可以成為多個RSPAN話路的媒介。
S4和S5是目的地交換機。它們有一些端口配置成為RSPAN話路的目的地。現(xiàn)在,Catalyst 6000可以擁有多達24個RSPAN目的地端口,可用于一個或者多個不同的話路。您可能還注重到:S4既是目的地交換機,又是中間交換機。.
您可以看到RSPAN數(shù)據(jù)包大量發(fā)送至RSPAN VLAN:即使是像S2這樣的交換機(它沒有處于通向目的地端口的路徑中)也接收到了RSPAN VLAN的業(yè)務。這清楚地表明:在此類S1 - S2鏈路中,對該VLAN進行修整是十分有用的。
通過禁止RSPAN VLAN上的探聽,可以實現(xiàn)大量發(fā)送。.
為了防止出現(xiàn)環(huán)路,RSPAN VLAN上已運用了STP。因此,RSPAN無法監(jiān)控網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDUs)。
RSPAN配置實例
以下信息將說明如何使用極為簡單的RSPAN設計來建立這些不同的網(wǎng)元。S1和S2是兩臺Catalyst 6000交換機,您將對某些S1的端口或者S2的VLAN進行監(jiān)控。為了實現(xiàn)這個操作,您將看到大部分工作是建立專門的RSPAN VLAN。其余的命令在句法上類似于普通的SPAN話路命令。
在交換機S1和S2之間建立ISL中繼線
一開始,您僅需在各交換機的域中置入同一VLAN中繼線協(xié)議(VTP),并將一端配置為所需中繼線。VTP協(xié)商將執(zhí)行剩余操作。在S1上:
S1> (enable) set vtp domain cisco
VTP domain cisco modified
在S2上:
S2> (enable) set vtp domain cisco
VTP domain cisco modified
S2> (enable) set trunk 5/1 desirable
Port(s) 5/1 trunk mode set to desirable.
S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left bridge
port 5/1
2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl trunk
創(chuàng)建RSPAN VLAN
RSPAN話路需要非凡的RSPAN VLAN。必須對該VLAN進行創(chuàng)建(您不能將現(xiàn)有VLAN轉換為RSPAN VLAN)。在本例中,使用的是VLAN 100。
S2> (enable) set vlan 100 rspan
Vlan 100 configuration sUCcessful
在一個交換機(該交換機配置作為VTP服務器)上輸入本命令。在整個VTP域中,RSPAN VLAN 100的信息是自動擴散的。
將S2的端口5/2配置為RSPAN目的地端口
S2> (enable) set rspan destination 5/2 100
Rspan Type : Destination
Destination : Port 5/2
Rspan Vlan : 100
Admin Source : -
Oper Source : -
Direction : -
Incoming Packets: disabled
Learning : enabled
Multicast : -
Filter : -
Status : active
2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session
active for destination port 5/2
對S1的RSPAN源端口進行配置
在本例中,通過端口6/2對進入S1的入口業(yè)務進行監(jiān)控。輸入以下命令:
S1> (enable) set rspan source 6/2 100 rx
Rspan Type : Source
Destination : -
Rspan Vlan : 100
Admin Source : Port 6/2
Oper Source : Port 6/2
Direction : receive
Incoming Packets: -
Learning : -
Multicast : enabled
Filter : -
Status : active
S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span
source session active for remote span vlan 100
所有端口6/2上的入口數(shù)據(jù)包將被大量發(fā)送至RSPAN VLAN 100,并通過中繼線到達在S1上配置的目的地端口。
檢驗配置
show rspan 命令給出該交換機上的當前RSPAN結構的摘要信息。同樣,在一給定時間中,只能存在一個源RSPAN話路。
S1> (enable) show rspan
Rspan Type : Source
Destination : -
Rspan Vlan : 100
Admin Source : Port 6/2
Oper Source : Port 6/2
Direction : receive
Incoming Packets: -
Learning : -
Multicast : enabled
Filter : -
Status : active
Total remote span sessions: 1
使用set rspan命令的其它可能配置
請參閱命令參考,了解 set rspan 命令選項全表。 您可以使用RSPAN通過數(shù)個命令行對源以及目的地進行配置。除此以外,SPAN和RSPAN實際都是完全相同的。假如您想要獲得多個目的地SPAN端口,您甚至可以在單個交換機上進行RSPAN的本地使用。
請參閱 RSPAN 配置指南 來了解RSPAN配置的限制列表。
功能一覽和限制
該表對已介紹的不同功能進行總結,并說明在指定平臺上執(zhí)行這些功能所需要的最低CatOS版本:
功能
Catalyst 4000
Catalyst 5000
Catalyst 6000
Inpkts啟用/禁止選項
4.4
4.2
5.1
不同VLAN中的多重話路、端口
5.1
5.1
5.1
Sc0選項
X
5.1
5.1
組播啟用/禁止選項
X
5.1
5.1
探聽啟用/禁止選項
5.2
5.2
5.3
RSPAN
6.3
X
5.3
下表簡要列出了對SPAN話路數(shù)量的限制:
功能
Catalyst 4000系列交換機
Catalyst 5000系列交換機
Catalyst 6000系列交換機
接收SPAN話路或者收發(fā)SPAN話路
5
1
2
發(fā)送SPAN話路
5
4
4
接收、發(fā)送或者收發(fā)RSPAN源話路
5
不支持
1
RSPAN目的地
5
不支持
24
總話路
5
5
30
請參閱Cisco技術文檔,以了解有關 Catalyst 4000, Catalyst 5000, Catalyst 6000 的附加限制以及配置指南。
Catalyst 2950/Catalyst 3550系列交換機上的SPAN
以下是在Catalyst 2950以及Catalyst 3550交換機上配置SPAN功能的指南。
Catalyst 2950交換機每次僅可開啟一個SPAN話路,僅可對源端口進行監(jiān)控,無法監(jiān)控VLAN。.
Catalyst 3550交換機每次可支持兩個SPAN話路,可對源端口以及VLAN進行監(jiān)控。
Catalyst 2950和Catalyst 3550交換機上的SPAN功能配置命令相似,但Catalyst 2950無法監(jiān)控VLAN。可根據(jù)下例所示,對SPAN進行配置:
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.
C2950(config)#
C2950#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/2
Destination Ports: Fa0/3
C2950#
注:?/B>和2900XL以及3500XL族交換機不同,Catalyst 2950以及3550族交換機可以在單一接收方向(接收SPAN或者入口SPAN)的情況下對源端口業(yè)務進行SPAN,也可以在單一發(fā)送方向(發(fā)送SPAN或者出口SPAN)或雙向SPAN源端口業(yè)務。
注:?/B>假如Catalyst 2950使用Cisco IOS軟件版本12.0(5.2)WC(1)或者任何早于版本12.1(6)EA2的軟件,它將不支持上述命令。對于使用早于Cisco IOS軟件版本12.1(6)EA2的Catalyst 2950,假如要在其上進行SPAN配置,請參閱下文的“啟用交換端口分析器”一節(jié):
治理Catalyst 2950交換機
注:?/B>Catalyst 2950交換機采用 12.1.(9)EA1d軟件版本和更早的帶SPAN培訓支持的12.1版本,有一點需要注重,即SPAN目的端(連接到嗅探設備/PC)上看到的所有數(shù)據(jù)包都有一個802.1Q 標簽,盡管SPAN源端口(受監(jiān)控端口)可能沒有 802.1Q中繼端口。 假如嗅探裝置或者PC NIC無法理解802.1Q標記數(shù)據(jù)包,它們可能會丟失數(shù)據(jù)包或者難以進行解碼。當SPAN源端口為中繼線端口時,非常需要察看802.1Q標記幀的能力。從12.1(11)EA1開始,您可以在SPAN目的地端口啟用/禁止數(shù)據(jù)包標記。發(fā)出 monitor session session_number destination interface interface-id encapsulation dot1q 命令以在目的地端口啟用數(shù)據(jù)包封裝。假如沒有對封裝要害字進行指定,數(shù)據(jù)包的發(fā)送將不加標簽,默認設定為從12.1(11)EA1開始。
運行集成Cisco IOS(本機方式)的Catalyst 4000和Catalyst 6000支持SPAN功能。兩種交換機平臺使用的是完全相同的命令行界面(CLI),且配置類似于前文所述的3550配置。相關的配置文檔可以在下列文件中找到:
在Catalyst 6000上配置本地SPAN和SPAN
Catalyst 4000上的SPAN配置
該表對已介紹的不同功能進行總結,并說明在指定平臺上執(zhí)行這些功能所需要的最低Cisco IOS版本:
功能
Catalyst 2950/3550
Catalyst 3550
Catalyst 4000 (Cisco IOS)
Catalyst 6000 (Cisco IOS)
入口(inpkts)啟用/禁止選項
目前不支持(1)
12.1(12)EA1
目前不支持(1)
目前不支持(1)
RSPAN
12.1(12c)EA1
12.1(12c)EA1
目前不支持(1)
12.1(13)E
(1) 僅支持入侵監(jiān)測系統(tǒng)(IDS)以對網(wǎng)絡安全性侵害進行監(jiān)控、反抗及匯報。
下表列出了對SPAN/RSPAN話路數(shù)量的限制:
功能
Catalyst 2950/3550
Catalyst 4000 (Cisco IOS)
Catalyst 6000 (Cisco IOS)
接收SPAN話路或者收發(fā)SPAN話路
2
2
2
發(fā)送SPAN話路
2
4
2
接收、發(fā)送或者收發(fā)RSPAN源話路
2
目前不支持(1)
2
RSPAN目的地
2
目前不支持(1)
64
總話路
2
6
66
(1) 功能目前不提供,且這些功能的提供一般不公開,除非在發(fā)布之后。 .
請參閱Cisco技術文檔,以了解 Catalyst 3550, Catalyst 4000, 以及 Catalyst 6000 的附加限制以及配置指南。
QQRead.com 推出數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復故障解析 常用數(shù)據(jù)恢復方案 硬盤數(shù)據(jù)恢復教程 數(shù)據(jù)保護方法 數(shù)據(jù)恢復軟件 專業(yè)數(shù)據(jù)恢復服務指南
當衛(wèi)星從一個端口收到數(shù)據(jù)包,該數(shù)據(jù)包被分割為信元并通過一個或多個信道發(fā)送至交換結構。然后數(shù)據(jù)包被保存在共享存儲器。各衛(wèi)星知道目的地端口。在上圖中,衛(wèi)星1知道數(shù)據(jù)包X將由衛(wèi)星3及衛(wèi)星4接收。它通過通知環(huán)向這些衛(wèi)星發(fā)送一條信息,然后這些衛(wèi)星開始通過它們的輻射信道對來自于共享存儲器的信元進行檢索,并最終轉發(fā)該數(shù)據(jù)包。當源衛(wèi)星識別了目的地之后,它也會發(fā)送一個指數(shù),指定由另一個衛(wèi)星下載的數(shù)據(jù)包的下載次數(shù)。每當一個衛(wèi)星從共享存儲器中檢索該數(shù)據(jù)包時,該指數(shù)將遞減。一旦該指數(shù)到達零,共享存儲器可被釋放。
性能影響
使用SPAN對一些端口進行監(jiān)控即指額外地將數(shù)據(jù)包從數(shù)據(jù)緩沖器復制到一個衛(wèi)星。高速交換結構的影響可以忽略不計。
監(jiān)控端口接收所有被監(jiān)端口發(fā)送與接收的業(yè)務拷貝。在這個體系結構內(nèi),發(fā)送至多個目的地的數(shù)據(jù)包被保存在存儲器中,直到所有拷貝均已被轉發(fā)。假如監(jiān)控端口在一段穩(wěn)定的時期內(nèi)有百分之五十的超量預訂,該端口可能出現(xiàn)擁堵,并占據(jù)部分共享存儲器。一個或多個受到監(jiān)控的端口可能同時碰到延遲現(xiàn)象。
Catalyst 4000家族
體系結構概述
Catalyst 4000建立在共享存儲交換結構的基礎上。下面簡要描述了數(shù)據(jù)包經(jīng)過交換機的路徑。其實,真正的實施更為復雜。
在Catalyst 4000上,您可以對數(shù)據(jù)通路和控制通路進行辨別,前者相當于交換機內(nèi)部的真實數(shù)據(jù)傳輸,后者是所有決策做出的地方。
當數(shù)據(jù)包進入該交換機,在數(shù)據(jù)包緩沖存儲器(一個共享存儲器)中分配一個緩沖區(qū),同時將指向該緩沖區(qū)的數(shù)據(jù)包結構在數(shù)據(jù)包描述符表(PDT)中進行初始化。當數(shù)據(jù)復制入共享存儲器后,控制通路決定進行交換的地點:從數(shù)據(jù)包源地址、目的地址、VLAN、協(xié)議類型、輸入端口以及COS(802.1p標記或者端口默認值)對散列值進行計算。該值用于尋找虛擬路徑表(VPT)中路徑結構的虛擬路徑指數(shù)(VPI)。進入VPT的虛擬路徑具有和該非凡信息流有關的數(shù)個字段,其中包括目的地端口。PDT中的數(shù)據(jù)包結構現(xiàn)在根據(jù)虛擬路徑的參考值以及計數(shù)器進行更新。在上述實例中,數(shù)據(jù)包將被傳輸?shù)絻蓚€不同的端口,因此,計數(shù)器初始值為二。最后,數(shù)據(jù)包結構被添加到兩個目的地端口的輸出隊列。在那里,數(shù)據(jù)從共享存儲器被復制入端口的輸出緩沖器,數(shù)據(jù)包結構計數(shù)器遞減。當計數(shù)器到達零,共享存儲器的緩沖區(qū)被釋放。
性能影響
當使用SPAN功能時,需要將數(shù)據(jù)包發(fā)送至兩個不同的端口,與上述實例類似。 這并不是問題,因為交換結構不是閉塞的。假如目的地SPAN端口出現(xiàn)擁堵,數(shù)據(jù)包被放入輸出隊列中,從而正確地從共享存儲器中釋放出來。故對交換操作沒有影響。
Catalyst 5000/6000族
體系結構概述
對于Catalyst 5000和6000族,一個端口接收到的數(shù)據(jù)包被發(fā)送至內(nèi)部交換總線上。 交換機中的每條線路卡開始在內(nèi)部緩沖區(qū)保存該數(shù)據(jù)包。同時,編碼地址識別邏輯(EARL)對數(shù)據(jù)包的報頭進行接收,并計算通過結果總線發(fā)送至所有線路卡的結果指數(shù)。了解該指數(shù)后,線路卡能夠逐個判定:它們應該對還在緩沖區(qū)中接收的數(shù)據(jù)包進行清除還是進行發(fā)送。 QQRead.com 推出數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復故障解析 常用數(shù)據(jù)恢復方案 硬盤數(shù)據(jù)恢復教程 數(shù)據(jù)保護方法 數(shù)據(jù)恢復軟件 專業(yè)數(shù)據(jù)恢復服務指南
性能影響
無論最終是一個還是多個端口將發(fā)送數(shù)據(jù)包,這對于交換操作沒有任何影響。因此,對于該體系結構,SPAN功能不會對性能產(chǎn)生影響. QQRead.com 推出數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復指南教程 數(shù)據(jù)恢復故障解析 常用數(shù)據(jù)恢復方案 硬盤數(shù)據(jù)恢復教程 數(shù)據(jù)保護方法 數(shù)據(jù)恢復軟件 專業(yè)數(shù)據(jù)恢復服務指南
過去這種情況經(jīng)常發(fā)生在CatOS 5.1之前的版本。在那時,僅可存在一個SPAN話路,該話路即使在SPAN被禁止的情況下仍留在配置中。只需輸入 set span enable (例如,通常用戶因為打字錯誤而想要啟用STP)即可恢復保存的SPAN話路。假如目的地端口用于轉發(fā)用戶業(yè)務,則可能導致嚴重的連接性問題。
即使在CatOS的當前版本中,也請注重您選為SPAN目的地的端口。
這個情況一般發(fā)生在治理員試圖偽裝RSPAN功能時或者只是因為簡單的配置錯誤。
這里有一個實例:
例如,兩個核心交換機,通過中繼線連接,每一個都有數(shù)個服務器、客戶端或者其它網(wǎng)橋。治理員要對在幾個有SPAN的網(wǎng)橋中出現(xiàn)的VLAN 1進行監(jiān)控。為了實現(xiàn)這個目的,治理員在各核心交換機上創(chuàng)建了一個監(jiān)控整個VLAN 1的SPAN話路,并且,為了合并這兩個話路,目的地端口被連接至同一集線器(或者使用另一個SPAN話路連接至同一交換機)。
實現(xiàn)該目的之后,每個單獨的數(shù)據(jù)包通過一個核心交換機被VLAN 1接收,數(shù)據(jù)包被復制到其SPAN端口并向上轉發(fā)至集線器。業(yè)務最終被嗅探器捕捉。
唯一的問題在于,該業(yè)務還通過目的地SPAN端口被再次發(fā)送至核心2交換機,故在VLAN 1中創(chuàng)建了一個橋接環(huán)路。請記住,目的地SPAN端口沒有執(zhí)行STP,無法防止出現(xiàn)此類環(huán)路。
根據(jù)CatOS上的inpkts(輸入數(shù)據(jù)包)選項說明,SPAN目的地端口默認丟失所有入口數(shù)據(jù)包,從而防止該故障出現(xiàn)。但潛在問題仍然會在Catalyst 2900XL/3500XL族中出現(xiàn)。還請注重,即使有inpkts選項防止環(huán)路現(xiàn)象出現(xiàn),上述配置也可能導致網(wǎng)絡問題(因為至少在目的地端口上啟用了探聽)。
下面的鏈接對具體Catalyst平臺的性能影響進行說明:
Catalyst 2900XL/3500XL
Catalyst 4000
Catalyst 5000/6000
假如捆綁中的端口之一為SPAN目的地端口,將不會形成EthernetChannel 。假如您想進行配置,交換機將告訴您以下內(nèi)容:
Channel port cannot be a Monitor Destination Port Failed to configure span feature
EthernetChanne捆綁中的端口可以用作SPAN源端口。
對于Catalyst 2900XL/3500XL族,只有交換機上的可用目的地端口數(shù)目會對SPAN話路數(shù)目有限制。
對于Catalyst 2950族,您在任何給定時間中僅可使用一個指定監(jiān)控端口。假如您選擇另一個端口作為監(jiān)控端口,先前的端口將被禁止,重新選擇的端口將變?yōu)楸O(jiān)控端口。
從Catalyst 4000/5000/6000,從CatOS 5.1開始,您可以同時使用多個SPAN話路:請參閱“創(chuàng)建多個同步話路”一節(jié),以及本文的 “配置限制” 一節(jié)。
同樣,這通常是因為交換機的操作方式問題。當一個數(shù)據(jù)包通過交換機時,將發(fā)生以下情況:
數(shù)據(jù)包到達入口端口。
然后數(shù)據(jù)包被保存在至少一個緩沖區(qū)中。
最后數(shù)據(jù)包被再次發(fā)送至出口端口。
假如交換機接收到損壞的數(shù)據(jù)包,入口端口通常將其丟棄,所以您不會在出口端口見到該數(shù)據(jù)包。事實上交換機在捕捉業(yè)務時并非完全透明。類似地,當您在上述情況下從您的嗅探器中看到了損壞的數(shù)據(jù)包,錯誤在第3步出口段中發(fā)生。
假如您認為損壞的數(shù)據(jù)包由某個設備發(fā)出,您可以將發(fā)送主機以及嗅探器設備連接在同一集線器上。集線器將不執(zhí)行任何錯誤校驗,因此,和交換機不同,集線器將不會丟失數(shù)據(jù)包,通過這個方式,您可以看到數(shù)據(jù)包。
新聞熱點
疑難解答
