-
端口镜像是怎么实现的
介绍交换端口分析器(
SPAN
)功能有时被称为端口镜像或端口
监控,
该
功能可通过网络分析器
(例如交换机探测设备或者其它远程
监控
(
RMON
)探测器)选择网络流量进行分析。以前,
SPAN
是
Catalyst
< br>交换机族较为基本的功能,但最新推出的
CatOS
有许
多增
强功能,而且有许多功能是用户现有才开始使用的。本文并不是
SPAN
功能的又一种配置指南,
而是立足于介绍已实施的
SPAN
的最
新功能。本文将对
SPAN
的一般问题进行回答
,例如:
SPAN
是什
么?
我如何对它进行配置?有什么不同的功能
(尤其是同时进行多个
SPAN
话路)?需要何种级别的软件来执行这些功能?
SPA
N
是否会
影响交换机的性能?开始配置前规则有关详情,请参阅
Cisco
技术
提示规则。
SPAN
简要介绍
SP
AN
是什么?为什么需要
SPAN
?<
/p>
在
交换机上引入
SPAN
功能,是因为交换机和集线器有着根本的差异。
当集
线器在某端口上接收到一个数据包时,
它将向除接收该数据包端
口之外的其它所有端口发送一份数据包的拷贝。
当交换机启动时,
它
将根据所接收的不同数据包的源
MAC
地址开始建立第
2
层转发表。
一旦
建立该转发表,
交换机将把指定了
MAC
地址的业务直接转发至
相关端口。例如,如果您想要截获从主机
A
发送至主机
B
的以太网
业务,
而两台主机是用集线器相连的,
那么只要在
该集线器上安装一
嗅探器,所有端口均可看见主机
A
和主机
B
之间的业务:在交换机
< br>1
中,当知道了主机
B
的
MAC
地址之后,从主机
A
到主机
B
的单播
业务仅被转发至主机
B
的端口,
< br>因此,
嗅探器看不见:
在这个配置中,
< br>嗅探器将仅截获扩散至所有端口的业务,
例如广播业务、
具有
CGMP
或者
IGMP
侦听禁止的组播业务以及的单播业务。当交换机的
CAM
< br>表中没有目的地的
MAC
时,将发生单播泛滥。它无法理
解向何处发
送业务,而将数据包大量发送至
VLAN
中的所有端口。将主机
A
发
送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现。
在
< br>上面的图表中,与嗅探器相连的端口配置为:对主机
A
发
送的每一
个数据包拷贝进行接收。
该端口被称为
SPAN
端口。
下文各节将说明
如何对该功能进行精确的调节,
使其作用不仅仅限于监控端口。
SPAN
术语
?
入口业务:
进入交换机的业务。
?
出口业务:
离开交换机的
业务。
?
源(
SPAN
)端口:
<
/p>
用
SPAN
功能受监控的端口。
?
目的
地
(
SPAN
)
端口:
<
/p>
监控源端口的端口,
通常连有一个网络分析器。
< br>?
监控端口:在
Catalyst2900xl/35
00xl/2950
术语中,监控端口也是
目的地
SPAN
端口。
本地
SPAN
:
?
当
被监控端口全部位于同一交
换机上作为目的地端口时,
SPAN
功能为本地
SPAN
功能。
这和下文
中的远程
SPAN
形成对比。
远程
SPAN
或者
RSPAN
:
?
作为目的
地端口的某些源端口没有位于同一交换机上。
这是一项高级功能,
要
求有专门的
VLAN
来传送该业务,并由交换机之间的
SPAN
进行监
控。并非所有交换机均支持
RS
PAN
,所以,请检查各自的版本说明
或者配置指南,
来核实您要进行配置的交换机是否可以使用该功能。
?
PSPAN
:
指基于端口的
SPAN
。用户对交换机指定一个或者数个源<
/p>
2
端口以及一个目的地端口。
VSPAN:?
指基于
VLAN
的
SPAN
。
在给
定的交换机中,用户可以使用单个命令来选择对属于专门
VLA
N
的
所有端口进行监控。
ESPAN? ESPAN
指
SPAN
增强版本。
该术语在
SPAN
的发展期间数次用于命名新增功能,因此意义并不很明确。在
本文中避免
使用该术语。
管理源:
?
已配置受监控的源端口或者
VLAN
的列表。<
/p>
操作源:
?
受到有效监控的端口列表。这可能和管
理源有所不同。例如,在关闭模式下的端口可能在
管理源中出现,但
它不受到有效监控。
[page]
所用的组件本文使用
CatOS
5.5
作为
Catalyst
4000
、
5000
以
及
6000
族
的
参
考
。
在
Catalyst
2900XL/3500XL
族中使用了
Cisco IOS(r)
软件版本
12.0
(
5
)<
/p>
XU
。
虽然本文以后会根据
SPAN
的变化而更新,但有关
SPAN
功能的最
新发展情况,
请参阅文档的版本说明。<
/p>
本文中所提供的信息是在从特
殊实验室环境下的设备中产生的。<
/p>
本文中所使用的所有设备均以缺省
配置启动。
如果您是在实际网络中作业,
请确保您在使用所有命令之
前
,
已了解这些命令可能产生的影响。
.Catalyst 29
00XL/3500XL
交
换机上的
S
PAN
提供的功能及限制
Catalyst 2900XL/3
500XL
中的端
口监控功能没有太过扩展,
< br>因此比较容易理解。
您可以根据需要创建
多个本地
PSPAN
话路。例如,您可以在您选作目的地
SPAN
端口的
端口配置创建
PSP
AN
话路,只需用
端口监视
命令列出您想监控的
源端口即可。
在
Catalyst 2900
XL/3500XL
的术语中,
监控端口其实
< br>是目的地
SPAN
端口。
? <
/p>
主要限制在于:
与给定话路相关的所有端口
(无论源端口还是目的地端口)必须属于同一
VLAN
。
.?
如果您没
3
有在端口监控命令中指定任何接口,
则作为接口的所有其它属于同一
VLAN
的
端
口
将
受
到
监
控
。
以<
/p>
下
限
制
,
摘
自
Catalyst
2900XL/3500XL
的命令参考:
ATM
端口是唯一无法受到监控的端
口。然而您还是可以对
ATM
端口进行
监控。以下限制适用于具有端
口
监
控<
/p>
能
力
的
各
个
端
口
:
?
快
速
Etherne
tChannel
或
者
千
兆
EthernetChannel
端口群中不能有监控端口。
?
因为端
口安全性而
无法启用监控端口。
?
监
控端口不可以是多
VLAN
端口。
?
当端口
受到监控时,监控端口必须是同一
VLAN
的成员。对于监控端口以
及受到监控的端口,不允许
进行
VLAN
成员的改变。
?
监控端口不
可以是动态接入端口或者中继端口。
但是,
静态接入端口可以对中继
线上的
VLAN
、多
VLAN
或者动态接入
端口进行监控。受到监控的
VLAN
与静态接入端口有关联。<
/p>
?
如果监控器以及受监控端口为受保
护
端口,端口监控将不起作用。有关功能冲突的补充信息,请参阅下
文
的
链
接
:
?
管
理
交
换
机
—
—
管
理
配
置
冲
突
—
Catalyst
2900XL/3500XL
系列请注意,
处于监控状态的端口不执行生成树协
议(
STP
)
,但端口仍然属于其镜像
的端口
VLAN
。如果端口监控属
于某
个环路的一部分(例如,当您将其连接至集线器或者网桥,而环
接至网络的其它部分时)
,您可能会以严重的桥接环路状况收尾,因
为您不再受到
STP
的保护。请参阅
“为什么我的
SPAN
话路会产生
一个桥接环路?”一节,
看一看产生该情况的一个实例。配置
实例
在本例中,创建了两个并行的
SPAN
话路。
?
端口
Fa0/1
将对由端
口
Fa0/2
发送、端口
Fa0/5
接收的业务进行监控。它也将对往返于
4