CCIE学习笔记-交换.docVIP

CCIE学习笔记—交换—SPAN/RSPAN Editor:Edison E-mail:shilianwang@ QQ如有疏漏之处请不吝赐教如有转载请注明作者及出处 SPAN(Switched Port Analyzer,交换端口分析器——用于交换环境的性能管理和排错。 SPAN能够将某个VLAN或一组端口(源的网络流量复制到某个端口中(目的,而那个目的端口通常连接到网络分析器(比如,SwitchProbe设备。SPAN不会对源端口或VLAN的网络流量交换产生影响。 SPAN分为两类: 1.本地SPAN 2.远程SPAN 本地SPAN(简称SPAN: SPAN通常只在一台交换机上进行配置,包括配置源端口、源VLAN和目的端口。SPAN将任何VLAN 中的单个或多个端口中的网络流量复制到用于分析的目标端口。 SPAN会话支持对如下三种类型的网络流量进行监控——流入的网络流量;流出的网络流量;双向网络流量。 通过将需要分析的源端口和VLAN所接受(rx的网络流量复制到目标端口,流入SPAN能够监控流入的网络流量;通过将需要分析的源端口和VLAN所发送(tx的网络流量复制到目标端口,流出SPAN 能够监控流出的网络流量。当使用双向(both关键字的时候,通过将需要分析的源端口和VLAN所收发网络流量复制到目标端口,SPAN能够监控双向的网络流量。 SPAN支持将交换端口和路由端口配置为SPAN源端口。SPAN能能够在单个SPAN会话中监控单个或多个源端口。任何VLAN中都可以配置源端口。干道端口能够与非干道端口混合形成有效的源端口。在目标端口没有配置trunk的时候,在它对流入的帧传输之前,首先会将帧中的ISL或Dot1q清除掉。 顺带介绍一下IPS,全称为Intrusion Prevention System,入侵防御系统,使用目标端口的流入特性来阻挠网络攻击,起方法是向攻击者的TCP会话发送TCP复位或者是向网络管理站发送警报。 在使用本地SPAN的时候,需要遵守下列规则和限制: 1.2层和3层交换端口都可以配置成源或目的端口。 2.如果只有一个SPAN会话,那么端口能够担当目标端口。 3.如果某个端口是某个SPAN会话的源端口,那么它就不能配置为目标端口。 4.EtherChannel口能够配置为源端口。 5.EtherChannel口不能够配置为目标端口。 6.SPAN支持源端口属于不同VLAN的配置。 7.默认情况下,SPAN源的流量方向是双向的。 8.目标端口从来不参与生成树实例。 9.无论数据包是否因为外出端口上STP阻塞状态而真实离开交换机,目标端口都将获得通过交换机进行交换的所有数据包副本。 10.默认情况下,本地SPAN监控所有的网络流量,包括多播和BPDU。 配置本地SPAN的相关命令: 1.定义SPAN会话的源端口,对于Catalyst 3550交换机,会话数只支持两条,即1和 2.还可以定义监听流量的方向,默认监听双向流量.如果需要多个源端口,重复该步骤: Edison(config#monitor session session source {interface interface-id | vlan vlan-id [ , ] [ - ] {rx | tx | both} 2.定义SPAN会话的目标端口,要确保目标端口和源端口处于同一VLAN,并且每条SPAN会话只能有一个目标端口,还可以定义封装方式: Edison(config #monitor session session destination interface interface-id [encapsulation { dot1q | isl } [ ingress vlan vlan-id ] 实验一 SPAN Objective: Configure SPAN on SW1 to redirect all traffic from VLAN 12 to R6 Final Configuration R1: interface FastEthernet0/0 ip address R2: interface FastEthernet0/0 ip address SW1: vlan 12 ! interface FastEthernet0/1 switchport mode access switchport access vlan 12 ! interface FastEthernet0/2 switchport moede access switchport access vlan 12 ! monitor session 1 source vlan 12 rx monitor session 1 de