CISCO交換機端口鏡像配置

鏡像口配置
    大多數交換機都支持鏡像技術，這可以對交換機進行方便的故障診斷。我們稱之爲“mirroring ”或“Spanning ”。鏡像是將交換機某個端口的流量拷貝到另一端口(鏡像端口)，進行監測。

Cisco3550可以配置2個鏡像口
 
案例：將端口2~5鏡像到端口6
 
1、鏡像口配置
 
Switch>enable                         
Switch#conf  t                         
 
Step3: 配置鏡像源，可以是端口也可以是Vlan
Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx
上面命令最後一個參數:
both  監聽雙向數據,默認爲both
rx    接收
tx    發送
 
Step4: 配置鏡像目的端口
Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6
 
Switch(config)#exit
 
Switch#wr
 
Step7:查看配置結果
Switch#show monitor
Session 1
---------
Type              : Local Session
Source Ports      :
    RX Only       : Gi0/2-5
Destination Ports : Gi0/6
    Encapsulation : Native
          Ingress : Disabled
 
Both      監聽雙向數據
RX Only   監聽接收
Tx Only   監聽發送


2、刪除鏡像端口
Switch#conf t
Switch(config)#no monitor session 1
Switch(config)#end

Switch#wr

Switch#show monitor
 No SPAN configuration is present in the system.

3.其他
(1)端口鏡像的過濾，端口鏡像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口進入的流量中，屬於哪些VLAN的可以從目的端口發出去。
(2)刪除鏡像
no monitor session {session_number | all | local | remote}
**session_number指定會話號，all是所有鏡像，local是本地鏡像，remote是遠程鏡像。
(3)鏡像的目的端口不能正常收發數據，因此不能再作爲普通端口使用，可以連接一些網絡分析和安全設備，例如裝有sniifer的計算機或者Cisco IDS設備。


    在交換以太網的環境下，一般兩臺工作站之間的通訊是不會被第三者偵聽到的。在某些情況下，我們可能會需要進行這樣的偵聽，如：協議分析、流量分析、***檢測。爲此我們可以設置Cisco交換機的SPAN (Switched Port Analyzer交換端口分析器)特性, 或早期的“端口鏡像”、“監控端口”功能。 偵聽的對象可以是一個或多個交換機端口，或者整個VLAN。如果要偵聽的端口(“源端口”)或VLAN和連接監控工作站的端口(“目標端口”)在同一臺交換機上，我們只需配置SPAN; 如果不在同一臺交換機上，需要配置RSPAN (Remote SPAN)。不同的交換機對SPAN有不同的限制，如2900XL交換機中源端口和目標端口必須在同一VLAN、某些交換機不支持RSPAN等等，詳見設備文檔。

在配置SPAN的時候，我們需要提供的參數是源端口或VLAN號以及目標端口。

4000/6000 CatOS 交換機:
set span 6/17 6/19//SPAN:源端口爲6/17 目標端口爲6/19

2950/3550/4000IOS/6000IOS 交換機：
monitor session 1 local          //SPAN
monitor session 1 source interface fastethernet 0/17 both   //源端口，也可以是某個VLAN
monitor session 1 destination interface fastethernet 0/19   //目標端口

2900/3500XL 交換機：
Switch(config)#interface fastethernet 0/19           //目標端口
Switch(config-if)#port monitor fastethernet 0/17     //源端口

1900 交換機: (或使用菜單 [M] Monitoring)
monitor-port monitored 0/17    //源端口(0/17和0/18端口)
monitor-port monitored 0/18
monitor-port port 0/19         //目標端口
monitor-port                   //開始監控


在配置RSPAN的時候，我們首先要定義一個類型爲RSPAN的VLAN。在普通VLAN上如果源主機和目標主機都在同一臺交換機上，則它們之間的單播通訊不需要通過TRUNK傳遞到別的交換機，而RSPAN VLAN需要在TRUNK上轉發這樣的通訊，以保證監控機能夠偵聽到。在源交換機上，需設置使被偵聽的端口或VLAN把流量轉發到RSPAN VLAN上(如果是運行IOS的交換機，需要另外設置一個端口作爲反射端口); 在目標交換機上，需設置把RSPAN VLAN中的信息轉發到連接監控主機的目標端口。

IOS交換機,如3550:
3550(config)#vlan 900//建立RSPAN VLAN
3550(config-vlan)#remote-span

monitor session 1 remote//源交換機
monitor session 1 source interface fastethernet 0/17 both//源端口
monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20//目標RSPAN VLAN，反射端口

monitor session 2 remote//目標交換機
monitor session 2 source remote vlan 900//RSPAN VLAN
monitor session 2 destination interface fastethernet 0/19//目標端口

CatOS 交換機，如6500:

set vlan 900 rspan//建立RSPAN VLAN

set rspan source 4/1-2 900 //源交換機

set rspan destination 4/19 900//目標交換機


最近一次配置完RSPAN之後，有用戶反映：部分網段出現嚴重丟包現象。仔細檢查，發現部分交換機的上聯端口負載很重。再分析，原來在兩臺中心交換機上啓用了一個RSPAN進程，RSPAN VLAN上的流量很大，達300M。由於VTP 域中沒有啓用Pruning 功能，這個RSPAN VLAN的流量出現在所有的TRUNK上，造成了阻塞。把RSPAN VLAN從這些TRUNK上修剪掉之後，網絡恢復了正常。

SPAN功能的出現，使保護交換機不被非法控制變得更爲重要。因爲假如***控制了一臺主機和部分交換機，他將能夠使用SPAN/RSPAN和Sniffer竊聽任何在網絡上傳遞的信息。


       先解釋一下端口鏡像：端口鏡像簡單的說，就是把交換機一個（數個）端口（源端口）的流量完全拷貝一份，從另外一個端口（目的端口）發出去，以便網絡管理人員從目的端口通過分析源端口的流量來找網絡存在問題的原因。

cisco的端口鏡像叫做SWITCHED PORT ANALYZER，簡稱SPAN（僅在IOS系統中，下同），因此，端口鏡像僅適用於以太網交換端口。Cisco的SPAN 分成三種，SPAN、RSPAN和VSPAN，簡單的說，SPAN是指源和目的端口都在同一臺機器上、RSPAN指目的和源不在同一交換機上，VSPAN可以鏡像整個或數個VLAN到一個目的端口。

配置方法：
1. SPAN
(1) 創建SPAN源端口
monitor session session_number source interface interface-id [, | -] [both | rx | tx]
**session_number,SPAN會話號，我記得3550支持的最多本地SPAN是2個，即1或者2。
**interface-id [, | -]源端口接口號，即被鏡像的端口，交換機會把這個端口的流量拷貝一份，可以輸入多個端口，多個用“,”隔開， 連續的用“-”連接。

[both | rx | tx]，可選項，是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流量，默認是both。

(2)創建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL

[ingress]} | ingress vlan vlan id]
**一樣的我就不說了。
**session_number要和上面的一致。
**interface-id目的端口，在源端口被拷貝的流量會從這個端口發出去，端口號不能被包含在源端口的範圍內。
**[encapsulation {dot1q | isl}]，可選，指被從目的端口發出去時是否使用802.1q和isl封裝，當使用802.1q時，對於本地VLAN不進行封裝，其他VLAN封裝，ISL則全部封裝。

2.VSPAN
(1)創建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一樣的也不說了，基本和SPAN相同，只是接口號變成了VLAN號，而且只能鏡像接收的流量。
(2)創建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一樣。


3.RSPAN
RSPAN的配置較爲複雜，其流程可以這樣來看，交換機把要鏡像的端口流量複製一份，然後發到本機的一個反射端口上（reflector-port ） ，在由反射端口將其通過網絡轉發到目的交換機中的VLAN上
（一般情況下，這個VLAN是專爲鏡像而設的，不要作爲客戶端接入所用），再在目的交換機中配置VSPAN，將該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN被使用，該鏡像專用VLAN的信息會被轉發到所有的VLAN 主幹上，造成網絡帶寬的浪費，因此要配置VLAN修剪(pruning)，另外RSPAN也可以鏡像VLAN。
(1)在源交換機上創建RSPAN源端口
**同SPAN或VSPAN
(2)在源交換機上創建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交換機上轉爲鏡像而設的VLAN
**reflector-port interface源交換機上的鏡像端口
(3)在目的交換機上創建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的鏡像專用VLAN
(4)在目的交換機上創建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN



開啓思科交換機telnet服務的配置命令：
enable secret cisco  #配置進入特權模式的密碼（密文密碼，也可以設置明文密碼）
line vty 0 4         
  password cisco
int vlan1
ip add 172.16.5.1 255.255.0.0  #在vlan1上配置ip地址並進行網管
no shut


Cisco交換機配置，寫了很久的了，

2950交換機的基本配置，目前我們常用的是配置VLAN，另外就是便於管理，配置IP地址及允許Telnet登錄。象生成樹及VTP的培置，一般的小企業或系統都不用配置,未做講解。

1  基本概念

1.1交換機的分類

Cisco的交換機按照交換機操作系統來分主要分爲兩種：

基於Catalyst OS，常見的如4000、5000、6000系列的，比較高端，一般用不到，局方的核心交換機可能用到。

基於IOS的，如2950，3560等，配置命令與路由器類似，我們用的一般是思科的接入（Access）交換機，屬於比較低端的。

 
1.2配置模式

交換機配置的幾種模式要清楚，不同的配置模式可用的命令不同。

根據提示符可以做判斷，常見的模式如下。

switch: ；ROM狀態， 路由器是rommon>

switch > ；用戶模式  用戶模式下能夠執行的命令有限，從控制檯登錄可直接進入用戶模式

switch # ；特權模式  執行各種Show命令在特權模式下進行

switch (config)# ；全局配置模式  進行交換機的配置

switch (config-if)# ；接口模式    進行該接口的相關配置

 
2 常見配置

2.1模式的切換

switch>enable ；進入特權模式   如果設置了密碼則需輸入密碼才能登錄，未設密碼則直接可以輸入

switch#config terminal ；進入全局配置模式

switch (config)interface ***;  進入接口模式

在各個模式下輸入exit命令，返回上一級模式。

 
2.2口令設置

出於安全的考慮，需要設置相關的口令，主要是控制檯的登錄口令，Telnet口令等，用show run命令可以查看配置是否成功，相關的命令如下：

switch(config)#hostname  ；設置交換機的主機名

switch(config)#enable secret xxx ；設置特權加密口令，show run只能看到密文

switch(config)#enable password xxa ；設置特權非密口令，show run可以看到密碼

switch#exit ；返回命令

Telnet的口令設置見《2.5 管理地址及Telnet配置》。

 
2.3 配置查看

switch#write （或copy run start）；保存配置信息，如果不保存，重啓後配置丟失

switch#reload 重啓交換機

switch#show run ；查看當前配置信息

switch#show start 查看保存的配置

switch#show vlan ；查看vlan配置信息

switch#show interface ；查看所有端口信息

switch#show int f0/0 ；查看指定端口信息

 
2.4 VLAN配置

思科交換機默認只有一個VLAN，即Vlan1，Vlan1同時也充當管理的功能。在較大的網絡中配置VLAN需要做好VTP域的規劃，還要考慮做VLAN間的路由等，相應的來說比較複雜，我們要做的只是在單臺交換機上劃分VLAN，相應來說比較簡單。目前，一般企業所有的服務器都放在防火牆的Inside 口，甚至不用劃分VLAN。

VLAN配置主要有兩個步驟，第一步是創建VLAN，第二步就是將端口劃分到相應的VLAN（默認都在VLAN1）。

基本命令如下

switch#vlan database ；進入VLAN設置

switch(vlan)#vlan 2 ；建VLAN 2

switch(vlan)#no vlan 2 ；刪vlan 2

switch(config)#int f0/1 ；進入端口1

switch(config-if)#switchport access vlan 2 ；當前端口加入vlan 2

 

再舉例如下：

創建VLAN：

 　　switch#config t

　　switch(config)#hostname GD2950 將交換機改名爲GD2950，提示符將變化

　　GD2950 (config)#exit

　　GD2950#vlan database

　　　　GD2950(vlan)#vlan 2 name DMZ    /*創建名爲DMZ的VLAN2

　　　　VLAN 2 added:

　　　　Name: DMZ

　　　　GD2950(vlan)#vlan 3 name Temp   /*創建名爲Temp的VLAN3

　　　　VLAN 3 added:

　　　　Name: Temp

　　　　GD2950(vlan)#end

　　　　GD2950#

端口配置VLAN：

 　　交換機端口有Trunk模式用不上，默認是Access模式

GD2950#config t

　　GD2950(config)#int f0/2　　

　　GD2950(config-if)#switchport access vlan 2     /*設置端口屬於VLAN2

　　GD2950(config-if)#int f0/3

　　GD2950(config-if)#switchport access vlan 3  /*設置端口屬於VLAN3

　　GD2950(config-if)#int f0/4

　　GD2950(config-if)#switchport access vlan 4     /*設置端口屬於VLAN4

　　GD2950(config-if)#exit

　　GD2950(config)#exit

　　GD2950#

2.5 管理地址及Telnet配置

思科的交換機和路由器默認不能Telnet，需要進行必需的配置。對於交換機要進行Telnet，必需先配一個IP地址（即通常的管理地址），需要注意的是IP地址不是針對某個端口，而是針對VLAN1（一個網段）而言，這點同路由器有區別。

配置管理地址：

switch(config)#interface vlan 1 ；進入vlan 1

switch(config-if)#ip address 192.168.1.20 255.255.255.0  ；設置IP地址爲192.168.1.20，                                        掩碼爲24位

switch(config)#ip default-gateway 192.168.1.1 ；設置默認網關爲192.168.1.1，網關一般可以不用設置

設置完成後，可以用其他機來Ping所配置的IP，看是否能夠Ping通。

Telnet設置：

switch(config)#line vty 0 4 ；進入虛擬終端

switch(config-line)#login ；允許登錄

switch(config-line)#password xx ；設置登錄口令xx，需要注意的是一定要設置密碼，也不能將密碼設置爲空，否則無法登錄。因爲Telnet時必需輸入一個非空的密碼。

所有的配置完成後，記得用write或copy run start保存。

這時可以用telnet來查看是否可以登錄。要將明文方式的口令加密顯示，可執行下面命令：

switch# service password-encryption