SPAN 配置Catalyst交换端口分析器

介绍
交换端口分析器(SPAN)功能有时被称为端口镜像或端口监控,该功能可通过网络分析器(例如交换机探测设备或者其它远程监控(RMON)探测器)选择网络流量进行分析 。以前,SPAN是Catalyst交换机族较为基本的功能,但最新推出的CatOS有许多增强功能,而且有许多功能是用户现有才开始使用的 。本文并不是SPAN功能的又一种配置指南,而是立足于介绍已实施的SPAN的最新功能 。本文将对SPAN的一般问题进行回答,例如:
SPAN是什么?我如何对它进行配置?
有什么不同的功能(尤其是同时进行多个SPAN话路)?需要何种级别的软件来执行这些功能?
SPAN是否会影响交换机的性能?
开始配置前
规则
有关详情,请参阅 Cisco技术提示规则 。
SPAN简要介绍
SPAN是什么?为什么需要SPAN? 在交换机上引入SPAN功能,是因为交换机和集线器有着根本的差异 。当集线器在某端口上接收到一个数据包时,它将向除接收该数据包端口之外的其它所有端口发送一份数据包的拷贝 。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表 。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关端口 。
例如,假如您想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该集线器上安装一嗅探器,所有端口均可看见主机A和主机B之间的业务:

在交换机中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的端口,因此,嗅探器看不见:
在这个配置中,嗅探器将仅截获扩散至所有端口的业务,例如广播业务、具有CGMP或者IGMP侦听禁止的组播业务以及未知的单播业务 。当交换机的CAM表中没有目的地的MAC时,将发生单播泛滥 。它无法理解向何处发送业务,而将数据包大量发送至VLAN中的所有端口 。
将主机A发送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现 。
在上面的图表中,与嗅探器相连的端口配置为:对主机A发送的每一个数据包拷贝进行接收 。该端口被称为SPAN端口 。下文各节将说明如何对该功能进行精确的调节,使其作用不仅仅限于监控端口 。
SPAN术语 入口业务: 进入交换机的业务 。
出口业务: 离开交换机的业务 。
源(SPAN)端口: 用SPAN功能受监控的端口 。
目的地(SPAN)端口: 监控源端口的端口,通常连有一个网络分析器 。
监控端口:在Catalyst 900xl/3500xl/2950术语中,监控端口也是目的地SPAN端口 。

本地SPAN: 当被监控端口全部位于同一交换机上作为目的地端口时,SPAN功能为本地SPAN功能 。这和下文中的远程SPAN形成对比 。
远程SPAN或者RSPAN: 作为目的地端口的某些源端口没有位于同一交换机上 。这是一项高级功能,要求有专门的VLAN来传送该业务,并由交换机之间的SPAN进行监控 。并非所有交换机均支持RSPAN,所以,请检查各自的版本说明或者配置指南,来核实您要进行配置的交换机是否可以使用该功能 。
PSPAN: 指基于端口的SPAN 。用户对交换机指定一个或者数个源端口以及一个目的地端口 。
VSPAN: 指基于VLAN的SPAN 。在给定的交换机中,用户可以使用单个命令来选择对属于专门VLAN的所有端口进行监控 。
ESPAN ESPAN指SPAN增强版本 。该术语在SPAN的发展期间数次用于命名新增功能,因此意义并不很明确 。在本文中避免使用该术语 。
治理源: 已配置受监控的源端口或者VLAN的列表 。
操作源: 受到有效监控的端口列表 。这可能和治理源有所不同 。例如,在关闭模式下的端口可能在治理源中出现,但它不受到有效监控 。更多的请看:http://www.QQread.com/windows/2003/index.Html

推荐阅读