感謝分享
SPAN是很煩人的一個東西!
1.基本概念
SPAN技術主要是用來監控交換機上的數據流,分爲兩種類型,本地SPAN(Local Switched Port Analyzer)和遠程SPAN(Remote SPAN).
我們一般說SPAN指的就是本地的,遠程的一般管它叫RSPAN。
這些SPAN技術可以把交換機上某些想要被監控端口(也叫受控端口)的數據流COPY(也說MIRROR)一份,發送給連接在監控端口上的數據流分析設備,比如IDS或是裝了SNIFFER工具的主機。受控端口和監控端口可以在同一臺交換機上(本地SPAN),也可以在不同的交換機上(RSPAN)。
注意:本地SPAN必須在一臺交換機上用,RSPAN必須不在一臺交換機上用!
SPAN技術主要是用來監控交換機上的數據流,分爲兩種類型,本地SPAN(Local Switched Port Analyzer)和遠程SPAN(Remote SPAN).
我們一般說SPAN指的就是本地的,遠程的一般管它叫RSPAN。
這些SPAN技術可以把交換機上某些想要被監控端口(也叫受控端口)的數據流COPY(也說MIRROR)一份,發送給連接在監控端口上的數據流分析設備,比如IDS或是裝了SNIFFER工具的主機。受控端口和監控端口可以在同一臺交換機上(本地SPAN),也可以在不同的交換機上(RSPAN)。
注意:本地SPAN必須在一臺交換機上用,RSPAN必須不在一臺交換機上用!
*下文的SPAN如無特殊強調則同時指本地和遠程的*
2.SPAN監控數據流類型
SPAN可監控的數據流類型分爲三種;
Receive (Rx) SPAN 受控端口的接收流量。
Transmit (Tx) SPAN 受控端口的發送流量。
Both 一個受控端口的接收和發送流量。
3.SPAN端口類型
Source Port--SPAN源端口,也叫monitored port即被監控端口(受控端口)
受控端口可以是實際的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN則包括此VLAN中的所有物理端口,受控端口如果是以太信道則包括組成此以太信道的所有物理端口,如果受控端口是一個TRUNK幹道端口,則此TRUNK端口上承載的所有VLAN流量都會受到監控,也可以使用filter vlan 參數進行調整,只對filter vlan 中指定的VLAN數據流量做監控。
Source Port--SPAN源端口,也叫monitored port即被監控端口(受控端口)
受控端口可以是實際的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN則包括此VLAN中的所有物理端口,受控端口如果是以太信道則包括組成此以太信道的所有物理端口,如果受控端口是一個TRUNK幹道端口,則此TRUNK端口上承載的所有VLAN流量都會受到監控,也可以使用filter vlan 參數進行調整,只對filter vlan 中指定的VLAN數據流量做監控。
Destination Port--SPAN目的端口,也就是monitoring port-即監控端口(連監控設備用的)。
監控端口只能是單獨的一個實際物理端口,一個監控端口同時只能在一個SPAN中使用,監控端口不參與其它的二層協議如:
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP)等.
缺省情況下監控端口不會轉發除SPAN Session以外的任何其它的數據流,也可以通過設置ingress參數,打開監控端口的二層轉發功能,比如當連接CISCO IDS的時會有這種需求,此時IDS不僅要接 收SPAN Session的數據流,IDS本身在網絡中還會與其它設備有通訊流量,所以要打開監控端口的二層轉發功能。
*反正你就記着如過把一個端口錯誤的設置爲監控端口了,那麼它就不能正常的進行除SPAN外的所有通信了*
監控端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
監控端口只能是單獨的一個實際物理端口,一個監控端口同時只能在一個SPAN中使用,監控端口不參與其它的二層協議如:
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP)等.
缺省情況下監控端口不會轉發除SPAN Session以外的任何其它的數據流,也可以通過設置ingress參數,打開監控端口的二層轉發功能,比如當連接CISCO IDS的時會有這種需求,此時IDS不僅要接 收SPAN Session的數據流,IDS本身在網絡中還會與其它設備有通訊流量,所以要打開監控端口的二層轉發功能。
*反正你就記着如過把一個端口錯誤的設置爲監控端口了,那麼它就不能正常的進行除SPAN外的所有通信了*
監控端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
4.Reflector Port--反射端口
*反射端口只在RSPAN中使用*與RSPAN中的受控端口在同一臺交換機上(監控端口不在這臺交換機上),是用來將本地的受控端口數據流轉發到RSPAN中在另一臺交換機上的遠程監控端口的方法,反射端口也只能是一個實際的物理端口。
*反射端口不能屬於任何一個VLAN*
*RSPAN中還要使用一個專用的VLAN來轉發流量*,反射端口會使用這個專用VLAN將數據流通過TRUNK端口發送給其它的交換機,遠程交換機再通過此專用VLAN將數據流發送到監控端口上的分析儀。
在使用RSPAN VLAN的時候,所有參與RSPAN的交換機應在同一個VTP域中,不能用VLAN 1,也不能用1002-1005,這是保留給令牌環和FDDI的,如果是2-1001的標準VLAN,則只要在VTP Server上創建即可(將交換機VTP模式設爲Transparent後全部手工創建也可以),其它的交換機會自動學到,如果是1006-4094的擴展VLAN,則需要在所有交換機上創建此專用VLAN。
反射端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
*反射端口只在RSPAN中使用*與RSPAN中的受控端口在同一臺交換機上(監控端口不在這臺交換機上),是用來將本地的受控端口數據流轉發到RSPAN中在另一臺交換機上的遠程監控端口的方法,反射端口也只能是一個實際的物理端口。
*反射端口不能屬於任何一個VLAN*
*RSPAN中還要使用一個專用的VLAN來轉發流量*,反射端口會使用這個專用VLAN將數據流通過TRUNK端口發送給其它的交換機,遠程交換機再通過此專用VLAN將數據流發送到監控端口上的分析儀。
在使用RSPAN VLAN的時候,所有參與RSPAN的交換機應在同一個VTP域中,不能用VLAN 1,也不能用1002-1005,這是保留給令牌環和FDDI的,如果是2-1001的標準VLAN,則只要在VTP Server上創建即可(將交換機VTP模式設爲Transparent後全部手工創建也可以),其它的交換機會自動學到,如果是1006-4094的擴展VLAN,則需要在所有交換機上創建此專用VLAN。
反射端口的帶寬最好大於等於受控端口的帶寬,否則可能會出現丟包的情況。
5.需要注意的問題(其實有一大堆,挑重要的說吧)
監控端口不參與很多通信!並會對其他一些通信產生影響!反射端口影響小些,但也會有問題。大部分錯誤都是由這個引起的。有興趣的話自己翻書吧,我是記不住了。
利用SPAN監控VLAN時,只能監控VLAN中所有活動端口接收的流量,如果監控端口也屬於屬於此VLAN,則此端口不在監控範圍內。
利用SPAN監控VLAN時,不監控VLAN間的路由數據,比如我開個SPAN監控一臺三層交換機某個VLAN的Rx方向的數據流(也只能是這個方向),當一個數據流被從其他VLAN路由到此VLAN時,此數據流不在監控範圍內。
配置了端口安全的端口(如最大地址學習數等)不能設置爲監控端口。
監控端口不參與很多通信!並會對其他一些通信產生影響!反射端口影響小些,但也會有問題。大部分錯誤都是由這個引起的。有興趣的話自己翻書吧,我是記不住了。
利用SPAN監控VLAN時,只能監控VLAN中所有活動端口接收的流量,如果監控端口也屬於屬於此VLAN,則此端口不在監控範圍內。
利用SPAN監控VLAN時,不監控VLAN間的路由數據,比如我開個SPAN監控一臺三層交換機某個VLAN的Rx方向的數據流(也只能是這個方向),當一個數據流被從其他VLAN路由到此VLAN時,此數據流不在監控範圍內。
配置了端口安全的端口(如最大地址學習數等)不能設置爲監控端口。
6.配置命令
本地SPAN:
no monitor session all '先清除可能已經存在SPAN設置
(默認情況下SPAN是不啓用的,一個monitor session是一個監控端口和被監控端口的組合,一臺交換機上monitor session只能設置兩個,1和2)
monitor session 1 source interface fastethernet0/10 [both/rx/tx] '設定SPAN的受控端口及監控的方向,默認是both
monitor session 1 destination interface fastethernet0/20 '設定SPAN的監控端口,追加的默認監控rx方向的
monitor session 1 source interface fastethernet0/11 - 13 '追加SPAN的受控端口
monitor session 1 destination interface fastethernet0/20 ingress '設定SPAN的監控端口開啓二層轉發,連IDS的時候用的
#show monitor
本地SPAN:
no monitor session all
(默認情況下SPAN是不啓用的,一個monitor session是一個監控端口和被監控端口的組合,一臺交換機上monitor session只能設置兩個,1和2)
monitor session 1 source interface fastethernet0/10
monitor session 1 destination interface fastethernet0/20
monitor session 1 source interface fastethernet0/11 - 13
monitor session 1 destination interface fastethernet0/20 ingress
#show monitor
monitor session 2 source vlan 101 - 102 rx '監控端口是多個VLAN(也可以再像上面一樣追加)
monitor session 2 destination interface fastethernet0/30
monitor session 2 destination interface fastethernet0/30
再看個過濾的,假設fa0/24是trunk
monitor session 2 source interface fastethernet0/48 rx
monitor session 2 filter vlan 100 - 102 '指定受監控的VLAN範圍
monitor session 2 destination interface fastethernet0/30
monitor session 2 source interface fastethernet0/48 rx
monitor session 2 filter vlan 100 - 102
monitor session 2 destination interface fastethernet0/30
RSPAN:
假設有三臺交換機SW1,SW2,SW3,如果受控端口在SW1上,監控端口在SW3上,反射端口在哪臺交換機上?也在SW1上!!答錯的出去跑一圈!
假設有三臺交換機SW1,SW2,SW3,如果受控端口在SW1上,監控端口在SW3上,反射端口在哪臺交換機上?也在SW1上!!答錯的出去跑一圈!
SW1配置:
vlan 333
remote-span
exit
no monitor session 1
monitor session 1 source interface fastethernet0/10
monitor session 1 source interface fastethernet0/13 - 15 rx
monitor session 1 destination remote vlan 333 reflector-port fastethernet0/18
vlan 333
remote-span
exit
no monitor session 1
monitor session 1 source interface fastethernet0/10
monitor session 1 source interface fastethernet0/13 - 15 rx
monitor session 1 destination remote vlan 333 reflector-port fastethernet0/18
SW2配置
vlan 333
exit '很簡單,SW2上只要有個vlan 333就行了,不用配置成remote-span vlan。
vlan 333
exit
SW3配置
monitor session 1 source remote vlan 333
monitor session 1 destination interface fastethernet0/10
monitor session 1 source remote vlan 333
monitor session 1 destination interface fastethernet0/10
這個例子很簡單吧?做VLAN監控的時候把上面的東西放一起用就行了!還有就是把某個VLAN設置成remote-span VLAN的時候把裏面原有接口移出去,不好使了別找我~