把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口的方法。
2) 爲什麼需要端口鏡像 ?
在進行網絡故障排查、網絡數據流量分析的過程中,有時需要對網絡節點或骨幹交換機的某些端口進行數據流量監控分析,而在交換機中設置鏡像(SPAN)端口,可以對某些可疑端口進行監控,同時又不影響被監控端口的數據交換。
通常爲了部署 IDS 產品需要監聽網絡流量,但是在目前廣泛採用的交換網絡中監聽所有流量有相當大的困難,因此需要通過配置交換機來把一個或多個端口(VLAN)的數據轉發到某一個端口來實現對網絡的監聽。
SPAN數據流主要分爲三類:
(1)輸入數據流(Ingress SPAN):指被源端口接收進來,其數據副本發送至監控端口的數據流;
(2)輸出數據流(Egress SPAN):指從源端口發送出去,其數據副本發送至監控端口的數據流;
(3)雙向數據流(Both SPAN):即爲以上兩種的綜合。
(1)對數據進行監控分析的設備應搭接在監控端口上;
(2)冗餘鏈路端口只能作爲SPAN任務的源端口;
(3)SPAN任務中所有的源端口的被監控方向必須一致;
(4)在設置端口爲源端口時,如果沒有指定數據流的監控方向,默認爲雙向;
(5)當SPAN任務含有多個源端口時,這些端口可以來自不同的VLAN;
(6)取消某一個SPAN任務的命令是:no monitor session任務號;
(7)取消所有SPAN任務的命令是:no monitor;
(8)SPAN任務的目的端口不能參與到生成樹的距離計算中,但由於源端口的BPDU包可以被鏡像,所以SPAN目的端口可以監控到來自源端口的BPDU數據包。
對於Cisco 2950、Cisco 3550 和 Cisco 3750 系列交換機配置SPAN的源端口,命令格式如下:
Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both]
//rx 指接收的流量,tx 指發送的流量,both 指雙向流量
以下例子顯示如何配置源端口爲FastEthernet 5/l的SPAN任務,其監控對象爲雙向數據流:
Switch(config)# monitor session 1 source interface fastethrnet 5/l
配置SPAN的目的端口,命令格式如下:
Switch(config)# [no] monitor session(session_number){destination{interface type/num}}
以下例子顯示如何配置目的端口爲FastEthernet 5/48的SPAN任務:
Switch(config)#monitor session l destination interface fastethernet 5/48
當SPAN任務的源端口爲Trunk端口時,命令格式如下:
Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[,|-]}
以下例子是當源端口爲Trunk端口時,如何配置監控其中的VLANl~VLAN5和 VLAN9:
Switch(config)# monitor session 2 filter vlan 1-5,9
以下是一個綜合例子,將用到前面所提到的各種命令:
監控Trunk端口FastEtheraet4/10上的雙向數據流(在該端口上承載着VLANl~ VLANl005的數據流),只監控其中VLAN57中的數據流,端口 FastEthernet4/15爲目的端口,具體配置方法如下:
Switch(config)# monitor session 1 source interface fastethernet 4/10
Switch(config)# monitor session 1 filter vlan 57
Switch(config)# monitor session 1 destination interface fastethernet 4/15
如果想釋放該SPAN任務,輸入如下命令: Switch(config)# no monitor session 1
以下語句顯示如何檢驗SPAN任務的配置結果:Switch# show monitor session 2
在配置鏡像端口(SPAN)過程中,還應考慮到數據流量過大時,設備的處理速度及端口數據緩存的大小,要儘量減少被監控數據包的丟失。