在Cisco Nexus 752架构中，流量镜像需要注意的点（SPAN Feature）——那些你应该知道的知识（三）

目前Cisco Nexus 752架构，在数据中心内应用非常普遍。其所提供的VPC特性，使得数据中心网络的可靠性和可用性进一步增强。关于vpc的相关内容，一直在准备过程中。

在享受752架构带来的优势的同时，架构的复杂性也为数据中心内排障带来了一定的困难，本文主要针对其流量镜像的方法和需要注意的问题，做检验阐述。本文相关资料参考以下内容：

https://content.cisco.com/chapter.sjsuri=%2Fsearchable%2Fchapter%2Fcontent%2Fen%2Fus%2Ftd%2Fdocs%2Fswitches%2Fdatacenter%2Fnexus5500%2Fsw%2Fsystem_management%2F7x%2Fb_5500_System_Mgmt_Config_7x%2Fconfiguring_span.html.xml&query=monitor

拓扑图如上图所示，服务器双网卡，AS模式。2K双上联两台5K，本文简述本地镜像的配置方法。

###############################################################################################

我们知道流量镜像，Switched PortAnalyzer— SPAN，是将源端口的流量复制到目的端口。其中关于源端口和目的端口，在752架构中，存在一定的限制。

• 关于SPAN源接口

在5K上配置Span，其中源端口支持Ehernet接口、FC接口、vFC接口、port-channel、San port-channel、VSAN、VLAN作为源。其中在做vlan和vsan作为SPAN源，其实是将所有支持这些指定的接口都作为了span的源。你可以在Ehernet接口、FC接口、vFC接口这些作为SPAN源的接口上配置span流量是抓取入向、出向、或者都抓取。（然而FC接口和VSAN接口不能配置抓取如方向的流量，这部分前后矛盾）。

关于源接口的特性

1. 源端口不能同时是一个目的接口
2. 在VLAN和VSAN作为SPAN源的情况下，只有入方向的流量会被抓取到。
3. 可以是不同vlan和VSAN。

值得注意的还有

1. 如果一些fex接口是一个SPAN session的一部分，剩下的fex接口不能使另一个span的一部分
2. 每个span session中，源接口最大数量为128个接口
3. 在Nexus 5000系列和Nexus 5500系列，最多支持4组span session
4. 在Nexus 5600和Nexus 6000系列，最多支持16组span session

• 关于SPAN目的接口

思科nexus设备支持ethernet接口和FC接口作为SPAN目的地址。

自从Cisco NX-OS 7.2（0）N1（1）版本以后，HIF和vitural ethernet ports被支持作为SPAN的目的接口。

值得注意的还有，每个local span session必须有一个目的端口用来接收来自ports，vsan，vlan的复制的流量。

目的端口有以下特性

1. 可以是任何物理接口，然而已经作为源接口的不可以。
2. 源接口不可以。
3. 不能使port-channel 或 san port-channel
4. 当span session active的时候，不能参与生成树的计算。
5. 不能是源接口，也不能是源vlan或任何span session源中的一部分。
6. 特别值得注意的是—fex接口不可以！！！

另外，SPAN是支持挂ACL的，其中也有一些需要注意的地方，不是本文讨论的重点，暂不展开。

同时，SPAN还有SPAN ON Drop和SPAN-on_Latency这两个特性，也不做展开。

• 其他注意事项

1、关于流量限速

[code]swichport monitor rate-limit interface

在Nexus 5500设备上不适用。限速被span源端口的位置被限制，同样可以避免硬性生产流量。span被限制在8个接口5Gbps的速率。同时当端口流量超过5G时，接受方向的SPAN的速率被限制在0.71Gbps。这一点，在抓取流量很大时需要被注意。同时，也要注意镜像目的对端设备的接受能力。

2、当你配置大于2个span monitor session的时候，在经历重启后原本启动着的前两个，会被关闭，而最后两个会被激活。例如，你赔了10个session，1和2是active的，在重启后，9和10会变成active的。要避免这种现象，需要将3到10minitos session手动shutdown。

3、同一个接口的同一个方向，只能在一个monitor session中。

4、讲一个span 目的端口与交换机设备相连是不被支持的

5、在管理接口上，不支持做SPAN。

######################################################################################

• 具体配置

下面来看看具体的SPAN的配置：

[code]switch# configure terminal

switch(config)# interface ethernet100/1/24

switch(config-if)# switchport monitor

switch(config-if)# exit

switch(config)# monitor session 1

switch(config-monitor)# destination interface ethernet100/1/24

switch(config-monitor)# source interface ethernet 1/16 both

switch (config-monitor)# no shutdown

• 752架构与抓包

在752架构中，考虑到一般抓包场景。我们在网络设备抓包一般是为了判断数据包是否到达，是否丢失等信息。在752架构中，2K作为连接服务器的接入交换机而被使用。所以我们将2K作为SPAN源端口的场景，是比较多的。

然而在这样的情况下，由于2K通过VPC 特性，双上联至5K，其数据包的传递路径并不固定，而2K是作为5K的远程办卡被使用，所以在抓包时，我们需要在2K双上联的2台5K上都配置SPAN，做流量镜像。同时，由于前文提到的FEX接口不可以作为SPAN的目的接口，要将一台2K上的一个接口的流量完整镜像下来，需要在2台5K上都做抓包。如下图：

只有这样，才能在两台PC上获取完整的来自一个N2K接口的复制的流量。

由于在两台电脑上分别抓包，两个独立的抓包文件并不利于我们对相关数据进行分析，在这样的情况下，可以考虑引进TAP设备，对流量进行汇总，这样抓取到的一份抓包文件，对我们日后的抓包分析将提供极大的便利。

其中，如果需要在7K上做镜像，还有其他注意点，本文将会在之后更新。

同时，虽然Nexus设备支持在本地做流量的抓取，即ethanalyzer，但该方法只能用来抓取需要通过CPU转发的流量，不能覆盖大部分流量镜像场景。