CCIE学习笔记-交换.pdfVIP

Written by Edison Site: 2008-12-7 CCIE学习笔记—交换—SPAN/RSPAN Editor ：Edison E-mail:shilianwang@ QQ 如有疏漏之处 请不吝赐教 如有转载 请注明作者及出处 SPAN （Switched Port Analyzer，交换端口分析器）——用于交换环境的性能管理和排错。 SPAN 能够将某个 VLAN 或一组端口（源）的网络流量复制到某个端口中（目的），而那个目的端口 通常连接到网络分析器（比如，SwitchProbe 设备）。SPAN 不会对源端口或 VLAN 的网络流量交换产生 影响。 SPAN 分为两类： 1． 本地 SPAN 2 ． 远程 SPAN 本地 SPAN （简称SPAN ）： SPAN 通常只在一台交换机上进行配置，包括配置源端口、源 VLAN 和目的端口。SPAN 将任何 VLAN 中的单个或多个端口中的网络流量复制到用于分析的目标端口。 SPAN 会话支持对如下三种类型的网络流量进行监控——流入的网络流量；流出的网络流量；双向网 络流量。 通过将需要分析的源端口和 VLAN 所接受（rx）的网络流量复制到目标端口，流入SPAN 能够监控流 入的网络流量；通过将需要分析的源端口和 VLAN 所发送（tx ）的网络流量复制到目标端口，流出 SPAN 能够监控流出的网络流量。当使用双向（both）关键字的时候，通过将需要分析的源端口和VLAN 所收发 网络流量复制到目标端口，SPAN 能够监控双向的网络流量。 SPAN 支持将交换端口和路由端口配置为 SPAN 源端口。SPAN 能能够在单个 SPAN 会话中监控单个 或多个源端口。任何 VLAN 中都可以配置源端口。干道端口能够与非干道端口混合形成有效的源端口。在 目标端口没有配置trunk 的时候，在它对流入的帧传输之前，首先会将帧中的 ISL 或 Dot1q 清除掉。 顺带介绍一下 IPS，全称为 Intrusion Prevention System，入侵防御系统，使用目标端口的流入特性来 阻挠网络攻击，起方法是向攻击者的TCP 会话发送 TCP 复位或者是向网络管理站发送警报。 在使用本地 SPAN 的时候，需要遵守下列规则和限制： 1．2 层和 3 层交换端口都可以配置成源或目的端口。 2 ．如果只有一个SPAN 会话，那么端口能够担当目标端口。 3．如果某个端口是某个SPAN 会话的源端口，那么它就不能配置为目标端口。 4 ．EtherChannel 口能够配置为源端口。 5．EtherChannel 口不能够配置为目标端口。 6．SPAN 支持源端口属于不同 VLAN 的配置。 7．默认情况下，SPAN 源的流量方向是双向的。 8．目标端口从来不参与生成树实例。 9．无论数据包是否因为外出端口上 STP 阻塞状态而真实离开交换机，目标端口都将获得通过交换机进行 交换的所有数据包副本。 10．默认情况下，本地SPAN 监控所有的网络流量，包括多播和 BPDU。 Copyright © 2008 MY WAY Written by Edison Site: 2008-12-7 配置本地 SPAN 的相关命令： 1.定义 SPAN 会话的源端口,对于 Catalyst 3550 交换机,会话数只支持两条,即 1 和 2.还可以定义监听流量的方 向,默认监听双向流量.如果需要多个源端口,重复该步骤: Edison(config)#monitor session session source {interface interface-id | vlan vlan-id [ , ] [ - ] {rx | tx | both} 2.定义 SPAN 会话的目标端口,要确保目标端口和源端口处于同一 VLAN,并且每条 SPAN 会话只能有一个目 标端口,还可以定义封装方式: Edison(config) #monitor session session destination interface interface-id [encapsulation { dot1q | isl } [ ingress vlan vlan-id ] 实验一 SPAN Objective: Configure SPAN o