SPAN与RSPAN详解.docVIP

SPAN RSPAN 一、SPAN简介 SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。 二、名词解释 SPAN Session——SPAN会话：SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出流量及VLAN的外出流量进行监控，可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，但只要相关的接口被打开，SPAN就会变为活动的。 监控端口最好是=受控端口的带宽，否则可能会出现丢包的情况。 SPAN Traffic——SPAN的流量：使用本地SPAN可以监控所有的网络流量，包括multicast、bridge protocol data unit （BPDU），和CDP、VTP、DTP、STP、PagP、LACP packets. RSPAN不能监控二层协议。 Traffic Types——流量类型：被监控的流量类型分为三种，Receive （Rx） SPAN 受控端口的接收流量，Transmit （Tx） SPAN 受控端口的发送流量，Both 一个受控端口的接收和发送流量。 Source Port——SPAN会话的源端口（也就是monitored port-即受控端口）：受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel，物理端口可以在不同的VLAN中，受控端口如果是VLAN则包括此VLAN中的所以物理端口，受控端口如果是以太通道则包括组成此以太通道组的所有物理端口，如果受控端口是一个TRUNK干道端口，则此TRUNK端口上承载的所有VLAN流量都会受到监控，也可以使用filter vlan 参数进行调整，只对filter vlan 中指定的VLAN数据流量做监控。 Destination Port——SPAN会话的目的端口（也就是monitoring port-即监控端口）：监控端口只能是单独的一个实际物理端口，一个监控端口同时只能在一个SPAN会话中使用，监控端口不参与其它的二层协议如：Layer 2 protocols，Cisco Discovery Protocol （CDP），VLAN Trunk Protocol （VTP），Dynamic Trunking Protocol （DTP），Spanning Tree Protocol （STP），Port Aggregation Protocol （PagP），Link Aggregation Control Protocol （LACP）。 缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流，也可以通过设置ingress参数，打开监控端口的二层转发功能，比如当连接CISCO IDS的时会有这种需求，此时IDS不仅要接收SPAN Session的数据流，IDS本身在网络中还会与其它设备有通讯流量，所以要打开监控端口的二层转发功能。 Reflector Port——反射端口：反射端口只在RSPAN中使用，与RSPAN中的受控端口在同一台交换机上，是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程监控端口的方法，反射端口也只能是一个实际的物理端口，它不属于任何VLAN（It is invisible to all VLANs.）。注意：反射端口是一个不使用的端口，并且将接口手动改为access模式，应该选择交换机上的一个没使用的端口 RSPAN中还要使用一个专用的VLAN来转发流量，反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机，远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。 关于RSPAN VLAN的创建，所有参与RSPAN的交换机应在同一个VTP域中，不能用VLAN 1，也不能用1002-1005，这是保留的（reserved for Token Ring and FDDI VLANs），如果是2-1001的标准VLAN，则只要在VTP Server上创建即可，其它的交换机会自动学到，如果是1006-4094的扩展V