电脑技术学习

在Cisco Catalyst 2900/3500系列交换机上实现span配置

dn001

  一、SPAN的简述
  
  1、所谓SPAN,是The Switched Port Analyzer的缩写,通常被称为端口镜像或端口监听。SPAN功能是基于交换机的,而交换机的原理不同于集线器:交换机在获得了源端口的MAC地址后,会将流经该MAC地址的所有数据直接发往目标端口。如图1所示,假如想要捕捉通过一个集线器连接在一起的主机A到主机B之间的网络通信,只要在这个集线器上加一个嗅探器就可以监听该集线器上的所有端口,并可监听到主机A到主机B之间的一切通信。
  
 

  在交换机上(如图2),主机B的MAC地址是向后学习的,A、B间的单播通信只会被传递到主机B上,因此不会被监听设备捕捉到:
  
 

  在该配置情况下,监听设备只能捕捉到发往所有端口的通信洪流(如广播和多播包)。我们只能人为的将从主机A上发出的数据拷贝一份发送到监听口上。
  
 

  如图3所示,一个监听设备可以从交换机端口上接收所有从主机A上发出的数据包。该交换机端口即被称为SPAN口。在接下来的内容中,本文将以Cisco Catalyst 2900/3500系列交换机为例,介绍SPAN功能的实现方法。
  
  2、SPAN术语:
  
  ○ 入口数据流(Ingress traffic):进入交换机的数据流。
  
  ○ 出口数据流(Egress traffic):送出交换机的数据流。
  
  ○ 源(SPAN)口(Source (SPAN) Port):用于监听使用SPAN功能的端口。
  
  ○ 目标(SPAN)口(Destination (SPAN) Port):被源端口所监听的端口,通常情况下连有一个网络分析器。
  
  ○ 监听口(Monitor Port):在Catalyst 2900XL/3500XL/2950术语中,监听口也就是目标口。
  
 

  ○ 本地SPAN(Local SPAN):即当监听口都位于同一交换机上且作为目标口出现时。它与下面的远程SPAN相对。
  
  ○ 远程SPAN或RSPAN(Remote SPAN or RSPAN):即指当某些源口作为目标口出现时,不处于同一交换机上。这种高级功能需要一个专门的VLAN去传递被交换机间SPAN功能所监听的数据。目前该功能只能在使用CatOS 5.3操作系统的Catalyst 6000 交换机上实现。
  
  ○ PSPAN:表示基于端口的SPAN。指在交换机目标口上由用户指定的一个或多个源口。
  
  ○ VSPAN:表示基于VLAN的SPAN。指在一个给定交换机上,用户可以用一条独立命令去选择监听所有属于一个特定VLAN的端口。
  
  ○ 治理源(Administrative Source):被配置成监听状态的源口或VLAN列表。
  
  ○ 操作源(Operational Source):处于实际监听状态的端口列表。这不同于治理源。例如:一个已经被关闭,但却处于治理源中的端口,已不处于实际监听状态。
  
  二、在Catalyst 2900XL/3500XL交换机上实现SPAN配置
  
  1、功能的实现范围和限制:
  
  端口监听功能在Catalyst 2900XL/3500XL系列交换机上没有大的扩展,而且相对轻易理解。
  
  必要的话,可以创建多个本地PSPAN会话。例如,可以在所选定的目标SPAN口上配置PSPAN会话;或按你所希望的通过port monitor<接口名>命令去监听仅在列表中出现的源口。治理口在Catalyst 2900XL/3500XL术语中实际上就是目标SPAN口。
  
  ○ 其主要限制在于,所有与一个已给定会话相关的端口(无论其是源口还是目标口)都必须属于同一个VLAN。
  
  ○ 假如你在port monitor命令中不指定任何接口的话,所有其他属于同一个VLAN中的接口都将处于被治理状态。
  
  ATM口是个例外,一般情况下不能作为被治理口,除非做非凡处理。在这里我们不做讨论。
  
  应用于具备治理功能的端口的限制条件主要有以下几点:
  
  ○ 监听口不能被置于一个快速以太网或是千兆以太网口组中。
  
  ○ 监听口不能处于安全模式下。
  
  ○ 多重VLAN口不能作为监听口。
  
  ○ 监听口与被监听口必须处在同一VLAN组中。VLAN成员组中处于被监听状态的端口不答应变更为监听口。
  
  ○ 监听口不能是一个动态存取口或主干口。但一个静态存取口可以监听一个主干上的一个VLAN、一个多重VLAN或是一个动态存取口。被监听的VLAN是一组静态存取口。
  
  ○ 在监听口和被监听口均为被保护口的情况下,端口监听功能将无法实现。
  
  值得注重的是,一个处于治理状态的端口不能运行跨接树协议(STP),除非它是VLAN中处于镜像状态的端口。假如监听口是环路的一部分(如将其联接到一个集线器或网桥上,在网络的某个部分上形成一个环路),假如未能使用STP协议对其进行保护的话,桥环状态将导致灾难性的后果。
  
  2、配置范例:
  
  在下例中,将同时创建两个SPAN会话。
  
  ○ 快速以太网口Fa0/1将被用来治理通过Fa0/2和Fa0/5发送和接收数据流。同时也将治理从治理接口Vlan1中进出的数据流。
  
  ○ 快速以太网口Fa0/4将被用来治理Fa0/3和Fa0/6。
  
  快速以太网口Fa0/3、Fa0/4、Fa0/6将都被配置在Vlan2中;其他端口包括治理口将被配置在默认的Vlan1中。
  
  网络图示:
  

  以下是在Catalyst 2900XL/3500XL环境中做的简单配置:
  
  
  
  !
  
  interface FastEthernet0/1
  
  port monitor FastEthernet0/2
  
  port monitor FastEthernet0/5
  
  port monitor VLAN1
  
  !
  
  interface FastEthernet0/2
  
  !
  
  interface FastEthernet0/3
  
  switchport Access vlan 2
  
  !
  
  interface FastEthernet0/4
  
  port monitor FastEthernet0/3
  
  port monitor FastEthernet0/6
  
  switchport access vlan 2
  
  !
  
  interface FastEthernet0/5
  
  !
  
  interface FastEthernet0/6
  
  switchport access vlan 2
  
  !
  
  
  
  !
  
  interface VLAN1
  
  ip address 10.200.8.136 255.255.252.0
  
  no ip directed-broadcast
  
  no ip route-cache
  
  !
  
  
  
  3、有关配置步骤的说明:
  
  若想将快速以太网口Fa0/1配置为源端口Fa0/2、Fa0/5和治理接口的目标端口。进入到配置模式后,首先选择接口Fa0/1:
  
  Switch(config)#int fa0/1
  
  然后列出所有被监听的端口:
  
  Switch(config-if)#port monitor fastEthernet 0/2
  
  Switch(config-if)#port monitor fastEthernet 0/5
  
  在此情况下,所有被这两个端口接收和发送的数据包都将被拷贝到Fa0/1上。接下来将治理接口配置成被监听模式,可使用port monitor命令的变种形式:
  
  Switch(config-if)#port monitor VLAN 1
  
  注重:以上命令并不意味着端口Fa0/1将监听整个VLAN1。要害字VLAN1在这里只是单指交换机上的治理接口。
  
  下例中的命令本希望监听与FastEthernet0/1分属不同VLAN的端口FastEthernet0/3,而在现实中这是不可能实现的。
  
  Switch(config-if)#port monitor fastEthernet 0/3
  
  因为快速以太网接口FastEthernet0/1 和 FastEthernet0/3 分属不同的VLAN。
  
  以上配置结束后,将进入到另一个配置会话中,这次将Fa0/4配置为目标SPAN口:
  
  Switch(config-if)#int fa0/4
  
  Switch(config-if)#port monitor fastEthernet 0/3
  
  Switch(config-if)#port monitor fastEthernet 0/6
  
  Switch(config-if)#^Z
  
  所有的工作完成后最好检查一下配置结果,有两条命令可供选择:show running和show port monitor:
  
  Switch#show port monitor
  
  Monitor Port Port Being Monitored
  
  --------------------- ---------------------
  
  FastEthernet0/1 VLAN1
  
  FastEthernet0/1 FastEthernet0/2
  
  FastEthernet0/1 FastEthernet0/5
  
  FastEthernet0/4 FastEthernet0/3
  
  FastEthernet0/4 FastEthernet0/6
  
  注重:Catalyst 2900XL/3500XL系列交换机只能对同时对双向数据流做处理,而不能单独对发送或接收的数据做分别处理,即只支持双向SPAN。
  
  三、在Catalyst 2950/Catalyst 3550系列交换机上实现SPAN配置
  
  1、下文主要说明如何在Catalyst 2950和Catalyst 3550上配置SPAN功能。
  
  ○ Catalyst 2950交换机可以在某一时间仅激活一个SPAN会话并只监听源口,Catalyst 2950交换机不能监听VLAN。
  
  ○ Catalyst 3550交换机可以在同一时间内建立两个SPAN会话,它既能监听源口又可以监听VLAN。
  
  SPAN功能配置命令在Catalyst 2950和Catalyst 3550交换机上的使用形式是类似的,只是Catalyst 2950交换机不能用来监听VLAN。
  
  2、以下是SPAN实现的范例:
  
  C2950#conf t
  
  C2950(config)#
  
  C2950(config)#monitor session 1 source interface fastEthernet 0/2
  
  !-- Interface fa 0/2 is configured as source port
  
  C2950(config)#monitor session 1 destination interface fastEthernet 0/3
  
  !-- Interface fa0/3 is configured as destination port
  
  C2950(config)#
  
  
  C2950#show monitor session 1
  
  Session 1
  
  ---------
  
  Source Ports:
  
  RX Only: None
  
  TX Only: None
  
  Both: Fa0/2
  
  Destination Ports: Fa0/3
  
  C2950#
  
  注重:
  
  (1)与Catalyst 2900XL/3500XL系列交换机不同的是,Catalyst 2950/3550系列交换机可以对不同方向的数据流做区别处理,既支持单向又支持双向。
  
  (2)使用Cisco IOS 12.0(5.2)WC(1)操作系统的Catalyst 2950交换机不支持以上命令,任何使用版本早于Cisco IOS 12.1(6)EA2的操作系统的Catalyst 2950交换机都不支持以上命令。