SPAN与RSPAN
2010-03-29 10:14
218 查看
转自HunkZhang http://blog.sina.com.cn/s/blog_5d16ca0c0100byvy.html
感谢分享
SPAN是很烦人的一个东西!
1.基本概念
SPAN技术主要是用来监控交换机上的数据流,分为两种类型,本地SPAN(Local Switched Port Analyzer)和远程SPAN(Remote SPAN).
我们一般说SPAN指的就是本地的,远程的一般管它叫RSPAN。
这些SPAN技术可以把交换机上某些想要被监控端口(也叫受控端口)的数据流COPY(也说MIRROR)一份,发送给连接在监控端口上的数据流分析设备,比如IDS或是装了SNIFFER工具的主机。受控端口和监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(RSPAN)。
注意:本地SPAN必须在一台交换机上用,RSPAN必须不在一台交换机上用!
*下文的SPAN如无特殊强调则同时指本地和远程的*
2.SPAN监控数据流类型
SPAN可监控的数据流类型分为三种;
Receive (Rx) SPAN 受控端口的接收流量。
Transmit (Tx) SPAN 受控端口的发送流量。
Both 一个受控端口的接收和发送流量。
3.SPAN端口类型
Source Port--SPAN源端口,也叫monitored port即被监控端口(受控端口)
受控端口可以是实际的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所有物理端口,受控端口如果是以太信道则包括组成此以太信道的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filter vlan 参数进行调整,只对filter vlan 中指定的VLAN数据流量做监控。
Destination Port--SPAN目的端口,也就是monitoring port-即监控端口(连监控设备用的)。
监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN中使用,监控端口不参与其它的二层协议如:
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP)等.
缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCO IDS的时会有这种需求,此时IDS不仅要接 收SPAN Session的数据流,IDS本身在网络中还会与其它设备有通讯流量,所以要打开监控端口的二层转发功能。
*反正你就记着如过把一个端口错误的设置为监控端口了,那么它就不能正常的进行除SPAN外的所有通信了*
监控端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。
4.Reflector Port--反射端口
*反射端口只在RSPAN中使用*与RSPAN中的受控端口在同一台交换机上(监控端口不在这台交换机上),是用来将本地的受控端口数据流转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口。
*反射端口不能属于任何一个VLAN*
*RSPAN中还要使用一个专用的VLAN来转发流量*,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。
在使用RSPAN VLAN的时候,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用1002-1005,这是保留给令牌环和FDDI的,如果是2-1001的标准VLAN,则只要在VTP Server上创建即可(将交换机VTP模式设为Transparent后全部手工创建也可以),其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要在所有交换机上创建此专用VLAN。
反射端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。
5.需要注意的问题(其实有一大堆,挑重要的说吧)
监控端口不参与很多通信!并会对其他一些通信产生影响!反射端口影响小些,但也会有问题。大部分错误都是由这个引起的。有兴趣的话自己翻书吧,我是记不住了。
利用SPAN监控VLAN时,只能监控VLAN中所有活动端口接收的流量,如果监控端口也属于属于此VLAN,则此端口不在监控范围内。
利用SPAN监控VLAN时,不监控VLAN间的路由数据,比如我开个SPAN监控一台三层交换机某个VLAN的Rx方向的数据流(也只能是这个方向),当一个数据流被从其他VLAN路由到此VLAN时,此数据流不在监控范围内。
配置了端口安全的端口(如最大地址学习数等)不能设置为监控端口。
6.配置命令
本地SPAN:
no monitor session all '先清除可能已经存在SPAN设置
(默认情况下SPAN是不启用的,一个monitor session是一个监控端口和被监控端口的组合,一台交换机上monitor session只能设置两个,1和2)
monitor session 1 source interface fastethernet0/10 [both/rx/tx] '设定SPAN的受控端口及监控的方向,默认是both
monitor session 1 destination interface fastethernet0/20 '设定SPAN的监控端口,追加的默认监控rx方向的
monitor session 1 source interface fastethernet0/11 - 13 '追加SPAN的受控端口
monitor session 1 destination interface fastethernet0/20 ingress '设定SPAN的监控端口开启二层转发,连IDS的时候用的
#show monitor
monitor session 2 source vlan 101 - 102 rx '监控端口是多个VLAN(也可以再像上面一样追加)
monitor session 2 destination interface fastethernet0/30
再看个过滤的,假设fa0/24是trunk
monitor session 2 source interface fastethernet0/48 rx
monitor session 2 filter vlan 100 - 102 '指定受监控的VLAN范围
monitor session 2 destination interface fastethernet0/30
RSPAN:
假设有三台交换机SW1,SW2,SW3,如果受控端口在SW1上,监控端口在SW3上,反射端口在哪台交换机上?也在SW1上!!答错的出去跑一圈!
SW1配置:
vlan 333
remote-span
exit
no monitor session 1
monitor session 1 source interface fastethernet0/10
monitor session 1 source interface fastethernet0/13 - 15 rx
monitor session 1 destination remote vlan 333 reflector-port fastethernet0/18
SW2配置
vlan 333
exit '很简单,SW2上只要有个vlan 333就行了,不用配置成remote-span vlan。
SW3配置
monitor session 1 source remote vlan 333
monitor session 1 destination interface fastethernet0/10
这个例子很简单吧?做VLAN监控的时候把上面的东西放一起用就行了!还有就是把某个VLAN设置成remote-span VLAN的时候把里面原有接口移出去,不好使了别找我~
感谢分享
SPAN是很烦人的一个东西!
1.基本概念
SPAN技术主要是用来监控交换机上的数据流,分为两种类型,本地SPAN(Local Switched Port Analyzer)和远程SPAN(Remote SPAN).
我们一般说SPAN指的就是本地的,远程的一般管它叫RSPAN。
这些SPAN技术可以把交换机上某些想要被监控端口(也叫受控端口)的数据流COPY(也说MIRROR)一份,发送给连接在监控端口上的数据流分析设备,比如IDS或是装了SNIFFER工具的主机。受控端口和监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(RSPAN)。
注意:本地SPAN必须在一台交换机上用,RSPAN必须不在一台交换机上用!
*下文的SPAN如无特殊强调则同时指本地和远程的*
2.SPAN监控数据流类型
SPAN可监控的数据流类型分为三种;
Receive (Rx) SPAN 受控端口的接收流量。
Transmit (Tx) SPAN 受控端口的发送流量。
Both 一个受控端口的接收和发送流量。
3.SPAN端口类型
Source Port--SPAN源端口,也叫monitored port即被监控端口(受控端口)
受控端口可以是实际的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所有物理端口,受控端口如果是以太信道则包括组成此以太信道的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filter vlan 参数进行调整,只对filter vlan 中指定的VLAN数据流量做监控。
Destination Port--SPAN目的端口,也就是monitoring port-即监控端口(连监控设备用的)。
监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN中使用,监控端口不参与其它的二层协议如:
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP)等.
缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCO IDS的时会有这种需求,此时IDS不仅要接 收SPAN Session的数据流,IDS本身在网络中还会与其它设备有通讯流量,所以要打开监控端口的二层转发功能。
*反正你就记着如过把一个端口错误的设置为监控端口了,那么它就不能正常的进行除SPAN外的所有通信了*
监控端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。
4.Reflector Port--反射端口
*反射端口只在RSPAN中使用*与RSPAN中的受控端口在同一台交换机上(监控端口不在这台交换机上),是用来将本地的受控端口数据流转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口。
*反射端口不能属于任何一个VLAN*
*RSPAN中还要使用一个专用的VLAN来转发流量*,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。
在使用RSPAN VLAN的时候,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用1002-1005,这是保留给令牌环和FDDI的,如果是2-1001的标准VLAN,则只要在VTP Server上创建即可(将交换机VTP模式设为Transparent后全部手工创建也可以),其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要在所有交换机上创建此专用VLAN。
反射端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。
5.需要注意的问题(其实有一大堆,挑重要的说吧)
监控端口不参与很多通信!并会对其他一些通信产生影响!反射端口影响小些,但也会有问题。大部分错误都是由这个引起的。有兴趣的话自己翻书吧,我是记不住了。
利用SPAN监控VLAN时,只能监控VLAN中所有活动端口接收的流量,如果监控端口也属于属于此VLAN,则此端口不在监控范围内。
利用SPAN监控VLAN时,不监控VLAN间的路由数据,比如我开个SPAN监控一台三层交换机某个VLAN的Rx方向的数据流(也只能是这个方向),当一个数据流被从其他VLAN路由到此VLAN时,此数据流不在监控范围内。
配置了端口安全的端口(如最大地址学习数等)不能设置为监控端口。
6.配置命令
本地SPAN:
no monitor session all '先清除可能已经存在SPAN设置
(默认情况下SPAN是不启用的,一个monitor session是一个监控端口和被监控端口的组合,一台交换机上monitor session只能设置两个,1和2)
monitor session 1 source interface fastethernet0/10 [both/rx/tx] '设定SPAN的受控端口及监控的方向,默认是both
monitor session 1 destination interface fastethernet0/20 '设定SPAN的监控端口,追加的默认监控rx方向的
monitor session 1 source interface fastethernet0/11 - 13 '追加SPAN的受控端口
monitor session 1 destination interface fastethernet0/20 ingress '设定SPAN的监控端口开启二层转发,连IDS的时候用的
#show monitor
monitor session 2 source vlan 101 - 102 rx '监控端口是多个VLAN(也可以再像上面一样追加)
monitor session 2 destination interface fastethernet0/30
再看个过滤的,假设fa0/24是trunk
monitor session 2 source interface fastethernet0/48 rx
monitor session 2 filter vlan 100 - 102 '指定受监控的VLAN范围
monitor session 2 destination interface fastethernet0/30
RSPAN:
假设有三台交换机SW1,SW2,SW3,如果受控端口在SW1上,监控端口在SW3上,反射端口在哪台交换机上?也在SW1上!!答错的出去跑一圈!
SW1配置:
vlan 333
remote-span
exit
no monitor session 1
monitor session 1 source interface fastethernet0/10
monitor session 1 source interface fastethernet0/13 - 15 rx
monitor session 1 destination remote vlan 333 reflector-port fastethernet0/18
SW2配置
vlan 333
exit '很简单,SW2上只要有个vlan 333就行了,不用配置成remote-span vlan。
SW3配置
monitor session 1 source remote vlan 333
monitor session 1 destination interface fastethernet0/10
这个例子很简单吧?做VLAN监控的时候把上面的东西放一起用就行了!还有就是把某个VLAN设置成remote-span VLAN的时候把里面原有接口移出去,不好使了别找我~
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Cisco SPAN VSPAN RSPAN
- 快来看啊-cisco端口镜象详解(span,vspan,rspan )
- 交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN
- 快来看啊-cisco端口镜象详解(span,vspan,rspan )
- SPAN和RSPAN的设置方法
- 端口镜像span、rspan实现数据检测
- 端口镜像的SPAN与RSPAN简介及案例
- Cisco SPAN VSPAN RSPAN
- SPAN和RSPAN
- SPAN/RSPAN/ERSPAN
- SPAN/RSPAN与配置详解
- 端口镜像 SPAN && RSPAN
- 远程端口镜像(span)和本地端口镜像(rspan)
- 【矩阵】概念的理解 —— span、基
- DIV元素和SPAN元素的区别和应用
- android 各种 span的生成 如:修改TextView中部分文字的颜色 ,生成图片span
- Android中各种Span的用法
- J - Slim Span 思维+并查集
- .Net Core中使用ref和Span<T>提高程序性能的实现代码
- HTML学习---------1.8 <em>,<strong>,<span>标签