先解釋一下端口鏡像:端口鏡像簡單的說,就是把交換機一個(數個)端口(源端口)的流量完全拷貝一份,從另外一個端口(目的端口)發出去,以便網絡管理人員從目的端口通過分析源端口的流量來找出網絡存在問題的原因。
cisco的端口鏡像叫做SWITCHED PORT ANALYZER,簡稱SPAN(僅在IOS系統中,下同),因此,端口鏡像僅適用於以太網交換端口。Cisco的SPAN
分成三種,SPAN、RSPAN和VSPAN,簡單的說,SPAN是指源和目的端口都在同一臺機器上、RSPAN指目的和源不在同一交換機上,VSPAN可以鏡像整個或數個VLAN到一個目的端口。
配置方法:
1. SPAN
(1) 創建SPAN源端口
monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]
**[i]session_number[/i],SPAN會話號,我記得3550支持的最多本地SPAN是2個,即1或者2。
**interface-id [, | -]源端口接口號,即被鏡像的端口,交換機會把這個端口的流量拷貝一份,可以輸入多個端口,多個用“,”隔開,
連續的用“-”連接。
**[both | rx | tx],可選項,是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流量,默認是both。
(2)創建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL
[ingress]} | ingress vlan vlan id]
**一樣的我就不說了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷貝的流量會從這個端口發出去,端口號不能被包含在源端口的範圍內。
**[encapsulation {dot1q | isl}],可選,指被從目的端口發出去時是否使用802.1q和isl封裝,當使用802.1q時,對於本地VLAN不進行封
裝,其他VLAN封裝,ISL則全部封裝。
2.VSPAN
(1)創建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一樣的也不說了,基本和SPAN相同,只是接口號變成了VLAN號,而且只能鏡像接收的流量。
(2)創建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一樣。
3.RSPAN
RSPAN的配置較爲複雜,其流程可以這樣來看,交換機把要鏡像的端口流量複製一份,然後發到本機的一個反射端口上(reflector-port )
,在由反射端口將其通過網絡轉發到目的交換機中的VLAN上(一般情況下,這個VLAN是專爲鏡像而設的,不要作爲客戶端接入所用),再在目
的交換機中配置VSPAN,將該VLAN的流量鏡像到目的端口,要注意的是,一旦這種RSPAN被使用,該鏡像專用VLAN的信息會被轉發到所有的VLAN
主幹上,造成網絡帶寬的浪費,因此要配置VLAN修剪(pruning),另外RSPAN也可以鏡像VLAN。
(1)在源交換機上創建RSPAN源端口
**同SPAN或VSPAN
(2)在源交換機上創建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交換機上轉爲鏡像而設的VLAN
**reflector-port interface源交換機上的鏡像端口
(3)在目的交換機上創建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的鏡像專用VLAN
(4)在目的交換機上創建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN
4.其他
(1)端口鏡像的過濾,端口鏡像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口進入的流量中,屬於哪些VLAN的可以從目的端口發出去。
(2)刪除鏡像
no monitor session {session_number | all | local | remote}
**session_number指定會話號,all是所有鏡像,local是本地鏡像,remote是遠程鏡像。
(3)鏡像的目的端口不能正常收發數據,因此不能再作爲普通端口使用,可以連接一些網絡分析和安全設備,例如裝有sniifer的計算機或者Cisco IDS設備。
SPAN特性不會影響源端口的正常工作,也不會影響正常的交換機操作。在交換網絡中可以配置多個SPAN會話,只有當目的端口可操作,同時源端口或源VLAN中的任意一個端口活動時纔可激活SPAN會話。
下面是一些配置SPAN會話的例子:
1 建立一個SPAN會話,監視某端口的數據流:
Switch(config)# monitor session 1 source interface fastEthernet0/1
Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation dot1q
本配置將監視所有出入端口fastethernet0/1的數據流,凡是經過該端口的數據都會copy一份並被送到端口fastethernet0/10上去。
2利用端口fastethernet0/5監視本交換機上vlan5的入流量:
Switch(config)# monitor session 1 destination interface Fa 0/5 ingress vlan 5
3 另外,在建立一個SPAN會話前,需要保證之前存在於該會話中的定義被清除,然後再給會話1新的定義。
Switch(config)# no monitor session 1
4 下面的配置首先將會話1的配置清除,然後定義將某端口的數據映射到監測端口上:
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/10 tx
Switch(config)# monitor session 1 destination interface fastEthernet0/1
Switch(config)# end