SPAN
SPAN(Switched Port Analyzer,交換機端口分析器)特性有助於性能管理和排錯。SPAN能夠將某個VLAN或一組端口的網絡流量複製到某個端口上,這個端口通常連接到網絡分析儀,例如switchProb設備,它是一種運行數據包捕獲應用或RMON(Remote Monitoring,遠程監控)探測器的工作站。SPAN不會對源端口或VLAN的網絡流量交換產生影響。
一個源端口是SPAN程序從中複製流量的一個第2層或第 3層端口,從一個SPAN源端口轉發到一個SPAN目的端口的數據可以包括端口發送的所有幀和/或端口接收的所有幀。
一個SPAN目的端口是SPAN程序將流量複製到一個第2層或第 3層的接口,當一個端口被配置爲一個SPAN 的目的端口時,他將不轉發除SPAN流量外的任何流量,並且只由SPAN程序使用,
本地SPAN包括在相同的交換機上配置源端口、源VLAN和目標端口。本地SPAN包括單個或多個VLAN配置爲SPAN會話源,又稱爲VSPAN。源VLAN中的所有端口將成爲VSPAN的源端口。本地SPAN將任何VLAN中的單個或多個端口(或從單個或多個VLAN)中的網絡流量複製到用於分析的目標端口。
如圖,將端口5的數據流鏡像到端口10。端口10 上的一個網絡分析儀無需物理連接到端口5就能收到來自端口5的所有網絡流量。
SPAN會話支持對如下3種類型的網絡流量進行監控:流入的網絡流量、流出的網絡流量、雙向網絡流量。通過將需要分析的源端口和VLAN所接受的網絡流量複製到目標端口,流入SPAN能夠監控流入的網絡流量。通過將需要分析的源端口和VLAN所發送的網絡流量複製到目標端口,流出SPAN能夠監控流出的網絡流量。當使用both(雙向)關鍵字的時候,SPAN能夠監控雙向的網絡流量。
默認情況下,本地SPAN監控所有的網絡流量,其中包括多播和BPDU(Bridge Protocol Data Unit)
SPAN支持將交換端口和路由端口配置爲SPAN源端口。SPAN能夠在單個SPAN會話中監控單個或多個源端口。任何VLAN中都可以配置爲源端口。Trunk端口能夠與非Trunk端口混合形成有效的源端口,雖然如此,目標端口的trunk(dot1q或ISL)配置能夠確定目標端口所轉發的數據包封裝。如果目標端口沒有配置trunk封裝,那麼在對流入的幀進行傳輸之前,幀將清除其中ISL或dot1q。
在使用本地SPAN的時候,需要遵守下列規則和限制:
. 基於Cisco IOS軟件的交換機,第2層交換端口(採用Switchport命令配置的LAN端口)和第3層交換端口(未採用switchport命令配置的LAN端口)都能配置未源端口或目標端口。
. 如果只有1個SPAN會話,那麼端口能夠擔當目標端口
. 如果某個端口是某個SPAN會話的源端口,那麼它就不能配置成目標端口
. 端口通道接口(Etherchannel)能夠配置爲源端口
. 端口通道接口不能夠配置爲目標端口
. SPAN支持源端口屬於不同VLAN的配置
. 本地SPAN將使用先前在Cisco CatOS中所啓用的配置。爲了避免任何未得到確認的情況,在Cisco CatOS中啓用SPAN之前,我們都應當檢查先前的配置。
. 默認情況下,SPAN袁的流量方向是雙向的
. 目標端口從來不參與生成樹實例。本地SPAN包括被監控流量的BPDU,所以目標端口所看見的任何BPDU都來自於源端口。基於上述原因,SPAN目標端口不應當連接到其他交換機,其原因在於這可能導致網絡環路。
. 無論數據包是否因爲外出端口上STP阻塞狀態而真實地離開交換機,目標端口都將獲得通過交換機進行交換的所有數據包的副本。
在使用VSPAN的時候,還需要遵守下列規則和限制:
. 如果VSPAN會話配置流入和流出等兩種選項,那麼只有數據包在相同的VLAN中進行交換的時候,VSPAN會話將轉發來自源端口的重複數據包。數據包的1個副本來自於流入端口的輸入流量,而數據包的另外1個副本來自於流出端口的輸出流量。
. VSPAN只能監控VLAN中進出第2層端口的流量:
. 因爲流量從來不表現爲進入VLAN中的2層端口的輸入流量,如果SPAN會話將VLAN配置爲流入源,那麼進入被監控VLAN的路由流量將不被捕獲。
. 因爲流量從來不表現爲進入VLAN中的2層端口的輸入流量,如果SPAN會話將VLAN配置爲外出源,對於被路由到被監控VLAN之外的流量將不被捕獲。
SPAN監控和其他特性的影響:
1. SPAN與vlan和CDP的影響
1) 可以進行 VLAN 成員的改變,但他們不能作用到 SPAN 目的端口上,對於源端口,VLAN或者中繼設置立即生效,SPAN會話因此自動調整。
2) SPAN的目的端口不參與CDP
SPAN(Switched Port Analyzer,交換機端口分析器)特性有助於性能管理和排錯。SPAN能夠將某個VLAN或一組端口的網絡流量複製到某個端口上,這個端口通常連接到網絡分析儀,例如switchProb設備,它是一種運行數據包捕獲應用或RMON(Remote Monitoring,遠程監控)探測器的工作站。SPAN不會對源端口或VLAN的網絡流量交換產生影響。
一個源端口是SPAN程序從中複製流量的一個第2層或第 3層端口,從一個SPAN源端口轉發到一個SPAN目的端口的數據可以包括端口發送的所有幀和/或端口接收的所有幀。
一個SPAN目的端口是SPAN程序將流量複製到一個第2層或第 3層的接口,當一個端口被配置爲一個SPAN 的目的端口時,他將不轉發除SPAN流量外的任何流量,並且只由SPAN程序使用,
本地SPAN包括在相同的交換機上配置源端口、源VLAN和目標端口。本地SPAN包括單個或多個VLAN配置爲SPAN會話源,又稱爲VSPAN。源VLAN中的所有端口將成爲VSPAN的源端口。本地SPAN將任何VLAN中的單個或多個端口(或從單個或多個VLAN)中的網絡流量複製到用於分析的目標端口。
如圖,將端口5的數據流鏡像到端口10。端口10 上的一個網絡分析儀無需物理連接到端口5就能收到來自端口5的所有網絡流量。
SPAN會話支持對如下3種類型的網絡流量進行監控:流入的網絡流量、流出的網絡流量、雙向網絡流量。通過將需要分析的源端口和VLAN所接受的網絡流量複製到目標端口,流入SPAN能夠監控流入的網絡流量。通過將需要分析的源端口和VLAN所發送的網絡流量複製到目標端口,流出SPAN能夠監控流出的網絡流量。當使用both(雙向)關鍵字的時候,SPAN能夠監控雙向的網絡流量。
默認情況下,本地SPAN監控所有的網絡流量,其中包括多播和BPDU(Bridge Protocol Data Unit)
SPAN支持將交換端口和路由端口配置爲SPAN源端口。SPAN能夠在單個SPAN會話中監控單個或多個源端口。任何VLAN中都可以配置爲源端口。Trunk端口能夠與非Trunk端口混合形成有效的源端口,雖然如此,目標端口的trunk(dot1q或ISL)配置能夠確定目標端口所轉發的數據包封裝。如果目標端口沒有配置trunk封裝,那麼在對流入的幀進行傳輸之前,幀將清除其中ISL或dot1q。
在使用本地SPAN的時候,需要遵守下列規則和限制:
. 基於Cisco IOS軟件的交換機,第2層交換端口(採用Switchport命令配置的LAN端口)和第3層交換端口(未採用switchport命令配置的LAN端口)都能配置未源端口或目標端口。
. 如果只有1個SPAN會話,那麼端口能夠擔當目標端口
. 如果某個端口是某個SPAN會話的源端口,那麼它就不能配置成目標端口
. 端口通道接口(Etherchannel)能夠配置爲源端口
. 端口通道接口不能夠配置爲目標端口
. SPAN支持源端口屬於不同VLAN的配置
. 本地SPAN將使用先前在Cisco CatOS中所啓用的配置。爲了避免任何未得到確認的情況,在Cisco CatOS中啓用SPAN之前,我們都應當檢查先前的配置。
. 默認情況下,SPAN袁的流量方向是雙向的
. 目標端口從來不參與生成樹實例。本地SPAN包括被監控流量的BPDU,所以目標端口所看見的任何BPDU都來自於源端口。基於上述原因,SPAN目標端口不應當連接到其他交換機,其原因在於這可能導致網絡環路。
. 無論數據包是否因爲外出端口上STP阻塞狀態而真實地離開交換機,目標端口都將獲得通過交換機進行交換的所有數據包的副本。
在使用VSPAN的時候,還需要遵守下列規則和限制:
. 如果VSPAN會話配置流入和流出等兩種選項,那麼只有數據包在相同的VLAN中進行交換的時候,VSPAN會話將轉發來自源端口的重複數據包。數據包的1個副本來自於流入端口的輸入流量,而數據包的另外1個副本來自於流出端口的輸出流量。
. VSPAN只能監控VLAN中進出第2層端口的流量:
. 因爲流量從來不表現爲進入VLAN中的2層端口的輸入流量,如果SPAN會話將VLAN配置爲流入源,那麼進入被監控VLAN的路由流量將不被捕獲。
. 因爲流量從來不表現爲進入VLAN中的2層端口的輸入流量,如果SPAN會話將VLAN配置爲外出源,對於被路由到被監控VLAN之外的流量將不被捕獲。
SPAN監控和其他特性的影響:
1. SPAN與vlan和CDP的影響
1) 可以進行 VLAN 成員的改變,但他們不能作用到 SPAN 目的端口上,對於源端口,VLAN或者中繼設置立即生效,SPAN會話因此自動調整。
2) SPAN的目的端口不參與CDP
2.SPAN與EtherChannel成員或中繼端口的相互影響
. 如果一個被監控的EtherChannel組中添加一個端口,就把它加到SPAN源端口列表中,如果從一個被監控的 EtherChannel 中刪除一個端口,它會自動從源端口列表中刪除。
. 一個EtherChannel組可以配置爲一個源端口,但不能配置爲目的端口
. 可以在任何時候爲源目的端口修改 VLAN 成員或者只中繼, 但是一個目的端口的VLAN成員或中繼設置改變直到禁用SPAN會話纔會生效
. 如果將一個屬於EtherChannel組的物理端口配置成一個SPAN源或目的端口,那麼該端口將離開那個組。當端口從SPAN端口離開,它又重新加入到Channel組。
3.SPAN和Qos分類和多播流量
. 對於進入或流入流量監控,送往SPAN目的端口的分組可能與SPAN源端口實際收到的會有不同,分組在進入QoS分類與監管之後轉發。發送分組的DSCP值可能與接受分組不同。
. 可以監控多播流量,對於流入和流出,只將一個單一的未編輯的分組送往 SPAN目的端口
. 配置了端口安全的端口不能作爲SPAN目的端口
. 如果一個被監控的EtherChannel組中添加一個端口,就把它加到SPAN源端口列表中,如果從一個被監控的 EtherChannel 中刪除一個端口,它會自動從源端口列表中刪除。
. 一個EtherChannel組可以配置爲一個源端口,但不能配置爲目的端口
. 可以在任何時候爲源目的端口修改 VLAN 成員或者只中繼, 但是一個目的端口的VLAN成員或中繼設置改變直到禁用SPAN會話纔會生效
. 如果將一個屬於EtherChannel組的物理端口配置成一個SPAN源或目的端口,那麼該端口將離開那個組。當端口從SPAN端口離開,它又重新加入到Channel組。
3.SPAN和Qos分類和多播流量
. 對於進入或流入流量監控,送往SPAN目的端口的分組可能與SPAN源端口實際收到的會有不同,分組在進入QoS分類與監管之後轉發。發送分組的DSCP值可能與接受分組不同。
. 可以監控多播流量,對於流入和流出,只將一個單一的未編輯的分組送往 SPAN目的端口
. 配置了端口安全的端口不能作爲SPAN目的端口
配置過程:
默認的配置
特性 默認配置
SPAN 未啓動
源端口流量的監控 端口的發送和接收
封裝類型(目標端口) 本地VLAN(未標記)
進入轉發(目標端口) 非法
Vlan過濾 Trunk端口作爲源端口,所有vlan 都會被監控
建立SPAN會話
1) 進入全局配置模式 configure terminal
2) 清除先前配置的內容
no monitor session [會話號|all|local|remote]
. 會話號:可以單獨清除某個指定的會話,取值爲1-66
. all:所有的會話
. local:清除本地SPAN
. remote:遠程的SPAN
3) 指定監控的源端口
monitor session 會話號 source {interface 接口號|vlan vlan號} [both|rx|tx]
. 會話號:取值爲1-66
. vlan號:取值爲1-4094
. rx:接收
. tx:發送
4) 指定監控的目標端口
monitor session 會話號 destination {inteface 接口號} [encapsulation replicate] [ingress forwarding]
. 接口號:必須是物理接口,不能是VLAN或以太通道
. encapsulation replicate:目標端口的封裝類型將取代源端口的封裝類型,如果不設置將按照默認值將數據轉發到native vlan(本地VLAN,未標記的)
5) 驗證結果
show monitor [session 會話號]
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa0/23
Destination Ports : Fa0/2
Encapsulation : Native
Ingress: Disabled
案例:
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface gigabitethernet0/1
Switch(config)# monitor session 1 destination interface gigabitethernet0/2
encapsulation replicate
Switch(config)# end
---------------------------------------------------------------------------
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source vlan 1 - 3 rx
Switch(config)# monitor session 2 destination interface gigabitethernet0/2
Switch(config)# monitor session 2 source vlan 10
Switch(config)# end
案例:
CCIE-LAB(V135)
題目要求:
configure SPAN on 3550 SW1, source interface is fa0/8, destination port is fa0/9.no need config the port secure information.
配置:
SW1
configure terminal
no monitor session all
monitor session 1 source interface f0/8
monitor session 1 destination interface f0/9
案例:
CCIE-LAB(YY)
題目要求:
There is a network analyzer attached ports 0/19 at sw1.configure sw1 so the network anslyer receive the message in or out of the prot 0/20
配置:
SW1
configure terminal
no monitor session all
monitor session 1 source interface f0/20
monitor session 1 destination interface f0/19
VSPAN的建立
SPAN可以基於VLAN使用,一個源VLAN是一個爲了網絡流量分析的被監控的VLAN.VSPAN使用一個或多個VLAN作爲SPAN的源。源VLAN中的所有端口成爲源端口。對於VSPAN,只能監控進入的流量(rx流量)。2950系列交換機不能執行。
1) 進入全局配置模式 configure terminal
2) 清除先前配置的內容
no monitor session [會話號|all|local|remote]
會話號:可以單獨清除某個指定的會話,取值爲1-66
all:所有的會話
local:清除本地SPAN
remote:遠程的SPAN
3) 指定監控的源端口
monitor session 會話號 source vlan vlan號 rx
會話號:取值爲1-66
vlan號:取值爲1-4094
rx:接收
4) 指定監控的目標端口
monitor session 會話號 destination {inteface 接口號} [encapsulation replicate]
接口號:必須是物理接口,不能是VLAN或以太通道
encapsulation replicate:目標端口的封裝類型將取代源端口的封裝類型,如果不設置將按照默認值將數據轉發到native vlan(本地VLAN,未標記的)
5) 驗證結果
show monitor [session 會話號]
CCIE-LAB(YY)
題目要求:
There is a network analyzer attached ports 0/19 at sw1.configure sw1 so the network anslyer receive the message in or out of the prot 0/20
配置:
SW1
configure terminal
no monitor session all
monitor session 1 source interface f0/20
monitor session 1 destination interface f0/19
VSPAN的建立
SPAN可以基於VLAN使用,一個源VLAN是一個爲了網絡流量分析的被監控的VLAN.VSPAN使用一個或多個VLAN作爲SPAN的源。源VLAN中的所有端口成爲源端口。對於VSPAN,只能監控進入的流量(rx流量)。2950系列交換機不能執行。
1) 進入全局配置模式 configure terminal
2) 清除先前配置的內容
no monitor session [會話號|all|local|remote]
會話號:可以單獨清除某個指定的會話,取值爲1-66
all:所有的會話
local:清除本地SPAN
remote:遠程的SPAN
3) 指定監控的源端口
monitor session 會話號 source vlan vlan號 rx
會話號:取值爲1-66
vlan號:取值爲1-4094
rx:接收
4) 指定監控的目標端口
monitor session 會話號 destination {inteface 接口號} [encapsulation replicate]
接口號:必須是物理接口,不能是VLAN或以太通道
encapsulation replicate:目標端口的封裝類型將取代源端口的封裝類型,如果不設置將按照默認值將數據轉發到native vlan(本地VLAN,未標記的)
5) 驗證結果
show monitor [session 會話號]
建立本地會話的目標端口的到達流量
配置過程:
1) 進入全局配置模式 configure terminal
2) 清除先前配置的內容
no monitor session [會話號|all|local|remote]
3) 指定監控的源端口
monitor session 會話號 source interface 接口
4) 指定監控的目標端口
monitor session 會話號 destination {inteface 接口號} [encapsulation replicate] ingress [dot1q vlan vlan號|isl |untagged vlan vlan號]
接口號:必須是物理接口,不能是VLAN或以太通道
encapsulation replicate:目標端口的封裝類型將取代源端口的封裝類型,如果不設置將按照默認值將數據轉發到native vlan(本地VLAN,未標記的)
5) 驗證結果
配置過程:
1) 進入全局配置模式 configure terminal
2) 清除先前配置的內容
no monitor session [會話號|all|local|remote]
3) 指定監控的源端口
monitor session 會話號 source interface 接口
4) 指定監控的目標端口
monitor session 會話號 destination {inteface 接口號} [encapsulation replicate] ingress [dot1q vlan vlan號|isl |untagged vlan vlan號]
接口號:必須是物理接口,不能是VLAN或以太通道
encapsulation replicate:目標端口的封裝類型將取代源端口的封裝類型,如果不設置將按照默認值將數據轉發到native vlan(本地VLAN,未標記的)
5) 驗證結果
建立本地會話的過濾VLAN
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前的會話
no monitor session 會話號
1) 指定源會話
monitor session 會話號 source interface 接口號
接口號:必須是trunk端口
2) 指定過濾的vlan
monitor session 會話號 filter vlan vlan號 [, | -]
3) 指定目標端口
monitor session 會話號destination interface 端口號
案例:
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination interface gigabitethernet0/1
Switch(config)# end
將SPAN源流量限制在vlan 1-5和9
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前的會話
no monitor session 會話號
1) 指定源會話
monitor session 會話號 source interface 接口號
接口號:必須是trunk端口
2) 指定過濾的vlan
monitor session 會話號 filter vlan vlan號 [, | -]
3) 指定目標端口
monitor session 會話號destination interface 端口號
案例:
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination interface gigabitethernet0/1
Switch(config)# end
將SPAN源流量限制在vlan 1-5和9
=====================================================================================
RSPAN(Remote Switched Port Anylzer Network)
RSPAN是設計用來支持跨越不同交換機的源端口、源VLAN和目的端口的SPAN實現。RSPAN允許跨越網絡的多臺交換機的遠程監控。如圖所示:在一些大型的測試中,往往接入層交換機(交換機A和B)與核心交換機(交換機D)在物理距離上很遠,所以此時就需要一種RemoteSpan 的技術來進行監控。
RSPAN(Remote Switched Port Anylzer Network)
RSPAN是設計用來支持跨越不同交換機的源端口、源VLAN和目的端口的SPAN實現。RSPAN允許跨越網絡的多臺交換機的遠程監控。如圖所示:在一些大型的測試中,往往接入層交換機(交換機A和B)與核心交換機(交換機D)在物理距離上很遠,所以此時就需要一種RemoteSpan 的技術來進行監控。
RSPAN工作原理
創建一個RSPAN會話的第一步是創建一個爲所有參與交換機中特定會話指定的RSPAN VLAN。RSPAN使用反射端口將位於遠程交換機的源端口流量複製到本地交換機的目的端口上。除了RSPAN會話所需要的流量外,RSPAN反射端口的工作與RSPAN目的端口類似。反射端口只轉發由源端口接收或發送的分組。他們不接收或轉發其他的網絡流量。
從源端口或源VLAN來得RSPAN流量被交換到RSANP VLAN,然後被轉發到也在RSPAN VLAN中的目的端口。在RSPAN會話中源(端口或VLAN)在不同的源交換機上能不同。但是,如果因特網路由器,比如cisco7600系列路由器,被用作RSPAN會話的源,那麼它們必須和RSPAN源有相同的VLAN.
RSPAN反射端口
反射端口僅用於所監控的數據拷貝到Remote VLan,反射端口僅轉發有關聯的RSPAN 源端口的數據, 在配置成反射端口後,它將失去任何連通性,直到RSPAN的源監控會話被關閉爲止。
反射端口的屬性如下
1. 不能配置成EtherChannel組,不能爲Trunk,也不能配置任何協議過濾
2. 配置成反射端口後,他不能成爲SPAN的源或者目的端口
3. 一個端口被用作反射端口後,不能配置爲一個SPAN的源/目的端口。同時一個反射端口只能在同一時間支持一個監控會話。
4. 反射端口會將所有的監控數據會泛洪到所有能夠承載RSPAN Vlan 的Trunk接口上
5. STP在反射端口上會被禁用
6. 當反射端口沒有足夠的流量來轉發監控端口的流量時,它使用自己接口的最大速率進行轉發
7. 反射端口對於所有vlan是不可見的
8. 反射端口是一個被設置爲迴環的端口
創建一個RSPAN會話的第一步是創建一個爲所有參與交換機中特定會話指定的RSPAN VLAN。RSPAN使用反射端口將位於遠程交換機的源端口流量複製到本地交換機的目的端口上。除了RSPAN會話所需要的流量外,RSPAN反射端口的工作與RSPAN目的端口類似。反射端口只轉發由源端口接收或發送的分組。他們不接收或轉發其他的網絡流量。
從源端口或源VLAN來得RSPAN流量被交換到RSANP VLAN,然後被轉發到也在RSPAN VLAN中的目的端口。在RSPAN會話中源(端口或VLAN)在不同的源交換機上能不同。但是,如果因特網路由器,比如cisco7600系列路由器,被用作RSPAN會話的源,那麼它們必須和RSPAN源有相同的VLAN.
RSPAN反射端口
反射端口僅用於所監控的數據拷貝到Remote VLan,反射端口僅轉發有關聯的RSPAN 源端口的數據, 在配置成反射端口後,它將失去任何連通性,直到RSPAN的源監控會話被關閉爲止。
反射端口的屬性如下
1. 不能配置成EtherChannel組,不能爲Trunk,也不能配置任何協議過濾
2. 配置成反射端口後,他不能成爲SPAN的源或者目的端口
3. 一個端口被用作反射端口後,不能配置爲一個SPAN的源/目的端口。同時一個反射端口只能在同一時間支持一個監控會話。
4. 反射端口會將所有的監控數據會泛洪到所有能夠承載RSPAN Vlan 的Trunk接口上
5. STP在反射端口上會被禁用
6. 當反射端口沒有足夠的流量來轉發監控端口的流量時,它使用自己接口的最大速率進行轉發
7. 反射端口對於所有vlan是不可見的
8. 反射端口是一個被設置爲迴環的端口
RSPAN與其他特性的相互影響
1 STP:反射端口在RSPAN會話活動時不能參與STP,STP可以在中繼端口上激活以承載RSPAN VLAN
2 VTP:VTP不能用在交換機之間對RSPAN vlan 進行裁剪
3 VLAN 和中繼:可以在任何時候修改反射端口的 vlan 成員或中繼設置,直到 RSPAN 會話被禁用後才能生效
4 EtherChannel:如果屬於一個EtherCannel組的物理端口是反射端口,並且該組是一個源, 那麼端口將從EtherChanel組合被監控端口列表中刪除
1 STP:反射端口在RSPAN會話活動時不能參與STP,STP可以在中繼端口上激活以承載RSPAN VLAN
2 VTP:VTP不能用在交換機之間對RSPAN vlan 進行裁剪
3 VLAN 和中繼:可以在任何時候修改反射端口的 vlan 成員或中繼設置,直到 RSPAN 會話被禁用後才能生效
4 EtherChannel:如果屬於一個EtherCannel組的物理端口是反射端口,並且該組是一個源, 那麼端口將從EtherChanel組合被監控端口列表中刪除
配置過程
1 在VTP服務器交換機中配置Remote VLAN,該VLAN將專用於RSPAN。如果採用透明模式,必須在域中所有設備中都一致地配置SPAN
2 在源交換機和目標交換機中配置SPAN會話,並且確保中間交換機能夠跨越各個VLAN幹道承載RSPAN VLAN
1 在VTP服務器交換機中配置Remote VLAN,該VLAN將專用於RSPAN。如果採用透明模式,必須在域中所有設備中都一致地配置SPAN
2 在源交換機和目標交換機中配置SPAN會話,並且確保中間交換機能夠跨越各個VLAN幹道承載RSPAN VLAN
建立RSPAN VLAN
RSPAN VLAN應在配置PSPAN源或目的會話之前創建並通過交換網絡傳播。如果在網絡中啓用了VTP,則可以在一臺單一的VTP服務器交換機上創建RSPAN vlAN,並將它傳播給VTP域中的其他VTP交換機。如果還啓用了VTP修剪特性,則由VLAN中繼剪除RSPAN流量並防止任何VLAN-ID低於1005的不想擴散的RSPAN流量穿過網絡。在RSPAN vlan上禁止MAC地址的學習。
配置:
1) 進入全局模式 configure terminal
2) 指定vlan
vlan vlan號
vlan號:取值爲2-1001和1006-4094,2-1001的可以通過vtp傳播,擴展的vlan必須每臺交換機建立
3) 指定該vlan爲RSPAN VLAN
Remote-span
案例:
Switch(config)# vlan 901
Switch(config-vlan)# remote span
Switch(config-vlan)# end
Switch#show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------
10
RSPAN VLAN應在配置PSPAN源或目的會話之前創建並通過交換網絡傳播。如果在網絡中啓用了VTP,則可以在一臺單一的VTP服務器交換機上創建RSPAN vlAN,並將它傳播給VTP域中的其他VTP交換機。如果還啓用了VTP修剪特性,則由VLAN中繼剪除RSPAN流量並防止任何VLAN-ID低於1005的不想擴散的RSPAN流量穿過網絡。在RSPAN vlan上禁止MAC地址的學習。
配置:
1) 進入全局模式 configure terminal
2) 指定vlan
vlan vlan號
vlan號:取值爲2-1001和1006-4094,2-1001的可以通過vtp傳播,擴展的vlan必須每臺交換機建立
3) 指定該vlan爲RSPAN VLAN
Remote-span
案例:
Switch(config)# vlan 901
Switch(config-vlan)# remote span
Switch(config-vlan)# end
Switch#show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------
10
建立RSPAN源會話
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前配置的會話
no monitor session {會話號 | all | local | remote}
3) 建立源會話
monitor session 會話號 source {interface 接口號 | vlan vlan號} [, | -] [both | rx | tx]
4) 指定遠程VLAN和反射端口
monitor session 會話號 destination remote vlan 遠程VLAN號 reflector-port 端口
5) 驗證結果
show running-config
show monitor [session 會話號]
案例:
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface gigabitethernet0/1 tx
Switch(config)# monitor session 1 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 1 source interface port-channel 2
Switch(config)# monitor session 1 destination remote vlan 901
Switch(config)# end
--------------------------------------------------------------------------
案例:
Switch(config)#no monitor session all
Switch(config)#monitor session 1 source interface f0/2
Switch(config)#monitor session 1 destination remote vlan 10 reflector-port f0/5
Switch#show monitor session 1
Session 1
---------
Type : Remote Source Session
Source Ports :
Both : Fa0/2
Reflector Port : Fa0/5
Dest RSPAN VLAN : 10
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前配置的會話
no monitor session {會話號 | all | local | remote}
3) 建立源會話
monitor session 會話號 source {interface 接口號 | vlan vlan號} [, | -] [both | rx | tx]
4) 指定遠程VLAN和反射端口
monitor session 會話號 destination remote vlan 遠程VLAN號 reflector-port 端口
5) 驗證結果
show running-config
show monitor [session 會話號]
案例:
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface gigabitethernet0/1 tx
Switch(config)# monitor session 1 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 1 source interface port-channel 2
Switch(config)# monitor session 1 destination remote vlan 901
Switch(config)# end
--------------------------------------------------------------------------
案例:
Switch(config)#no monitor session all
Switch(config)#monitor session 1 source interface f0/2
Switch(config)#monitor session 1 destination remote vlan 10 reflector-port f0/5
Switch#show monitor session 1
Session 1
---------
Type : Remote Source Session
Source Ports :
Both : Fa0/2
Reflector Port : Fa0/5
Dest RSPAN VLAN : 10
建立RSPAN目標會話
1) 進入全局模式 configure terminal
2) 建立遠程vlan
vlan vlan號
3) 制定爲遠程vlan
remote-span
4) 清除先前配置的會話
no monitor session {會話號 | all | local | remote}
5) 建立源會話
monitor session 會話號 source remote vlan 遠程vlan號
6) 指定目標端口
monitor session 會話號 destination interface 端口號
7) 驗證結果
show running-config
show monitor [session 會話號]
案例:
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface gigabitethernet0/1
Switch(config)# end
--------------------------------------------------------------------------
案例:
Switch(config)#no monitor session all
Switch(config)#monitor session 1 source remote vlan 10
Switch(config)#monitor session 1 destination interface f0/10
Switch#show monitor session 1
Session 1
---------
Type : Remote Destination Session
Source RSPAN VLAN : 10
Destination Ports : Fa0/10
Encapsulation : Native
Ingress: Disabled
1) 進入全局模式 configure terminal
2) 建立遠程vlan
vlan vlan號
3) 制定爲遠程vlan
remote-span
4) 清除先前配置的會話
no monitor session {會話號 | all | local | remote}
5) 建立源會話
monitor session 會話號 source remote vlan 遠程vlan號
6) 指定目標端口
monitor session 會話號 destination interface 端口號
7) 驗證結果
show running-config
show monitor [session 會話號]
案例:
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface gigabitethernet0/1
Switch(config)# end
--------------------------------------------------------------------------
案例:
Switch(config)#no monitor session all
Switch(config)#monitor session 1 source remote vlan 10
Switch(config)#monitor session 1 destination interface f0/10
Switch#show monitor session 1
Session 1
---------
Type : Remote Destination Session
Source RSPAN VLAN : 10
Destination Ports : Fa0/10
Encapsulation : Native
Ingress: Disabled
建立RSPAN過濾
中繼VLAN過濾允許分析中繼源端口上一組經挑選的VLAN中的網絡流量。中繼VLAN過濾可以與屬於任何所選VLAN的其他源端口結合。只能與中繼源端口一起使用中繼vlan過濾。如果中繼VLAN過濾結合了其他源端口,而這些端口所屬的VLAN沒有包含在被選中的過濾VLAN列表中,那麼SPAN只包括操作源中屬於一個或多個被選中的VLAN的端口
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前的會話
no monitor session 會話號
3) 指定源會話
monitor session 會話號 source interface 接口號
接口號:必須是trunk端口
4) 指定過濾的vlan
monitor session 會話號 filter vlan vlan號 [, | -]
5) 指定遠程vlan
monitor session 會話號destination remote vlan vlan號
案例:
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination remote vlan 902
Switch(config)# end
-------------------------------------------------------------------------
案例:
CCIE-LAB(V148)
題目要求:
Make sure a Network Analyzer connected to Sw2-Fa0/16 can collect all bi-directional traffic on Sw1-Fa0/1.
配置:SW1和SW2之間要做到監控,這裏就需要應用RSPAN
SW1
configure terminal
vlan 901
remote-span
no minitor session all
monitor session 1 source interface f0/1
monitor session 1 destination remote vlan 901 reflected-port f0/22
interface f0/23
switchport trunk allowed vlan add 901
interface f0/24
switchport trunk allowed vlan add 901
SW2
configure terminal
no monitor session all
monitor session 1 source remote vlan 901
monitor session 1 destination interface f0/16
interface range f0/23 –24
switchport trunk allowed vlan add 901
中繼VLAN過濾允許分析中繼源端口上一組經挑選的VLAN中的網絡流量。中繼VLAN過濾可以與屬於任何所選VLAN的其他源端口結合。只能與中繼源端口一起使用中繼vlan過濾。如果中繼VLAN過濾結合了其他源端口,而這些端口所屬的VLAN沒有包含在被選中的過濾VLAN列表中,那麼SPAN只包括操作源中屬於一個或多個被選中的VLAN的端口
配置過程:
1) 進入全局模式 configure terminal
2) 清除先前的會話
no monitor session 會話號
3) 指定源會話
monitor session 會話號 source interface 接口號
接口號:必須是trunk端口
4) 指定過濾的vlan
monitor session 會話號 filter vlan vlan號 [, | -]
5) 指定遠程vlan
monitor session 會話號destination remote vlan vlan號
案例:
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination remote vlan 902
Switch(config)# end
-------------------------------------------------------------------------
案例:
CCIE-LAB(V148)
題目要求:
Make sure a Network Analyzer connected to Sw2-Fa0/16 can collect all bi-directional traffic on Sw1-Fa0/1.
配置:SW1和SW2之間要做到監控,這裏就需要應用RSPAN
SW1
configure terminal
vlan 901
remote-span
no minitor session all
monitor session 1 source interface f0/1
monitor session 1 destination remote vlan 901 reflected-port f0/22
interface f0/23
switchport trunk allowed vlan add 901
interface f0/24
switchport trunk allowed vlan add 901
SW2
configure terminal
no monitor session all
monitor session 1 source remote vlan 901
monitor session 1 destination interface f0/16
interface range f0/23 –24
switchport trunk allowed vlan add 901
案例:
CCIE-LAB(V210)
題目要求:
Traffic monitoring:RSPAN
Remote-vlan:500
Source interface:sw2 f0/18
Destination interface:sw4 f0/19
配置:
Sw1 (因爲sw1是服務器模式)
configure terminal
vlan 500
remote-span
Sw2
configure terminal
no monitor session all
monitor session 1 source interfac f0/18
monitor session 1 destination remote vlan 500 reflected-port f0/22
interface range f0/23 –24
switchport trunk allowed vlan add 500
SW4
configure terminal
no monitor session all
monitor session 1 source remote vlan 500
monitor session 1 destination interface f0/19
interface range f0/23 –24
switchport trunk allowed vlan add 500
CCIE-LAB(V210)
題目要求:
Traffic monitoring:RSPAN
Remote-vlan:500
Source interface:sw2 f0/18
Destination interface:sw4 f0/19
配置:
Sw1 (因爲sw1是服務器模式)
configure terminal
vlan 500
remote-span
Sw2
configure terminal
no monitor session all
monitor session 1 source interfac f0/18
monitor session 1 destination remote vlan 500 reflected-port f0/22
interface range f0/23 –24
switchport trunk allowed vlan add 500
SW4
configure terminal
no monitor session all
monitor session 1 source remote vlan 500
monitor session 1 destination interface f0/19
interface range f0/23 –24
switchport trunk allowed vlan add 500