一、SPAN的简述
1、所谓SPAN,是The Switched Port Analyzer的缩写,通常被称为端口镜像或端口监听 。SPAN功能是基于交换机的,而交换机的原理不同于集线器:交换机在获得了源端口的MAC地址后,会将流经该MAC地址的所有数据直接发往目标端口 。如图1所示,假如想要捕捉通过一个集线器连接在一起的主机A到主机B之间的网络通信,只要在这个集线器上加一个嗅探器就可以监听该集线器上的所有端口,并可监听到主机A到主机B之间的一切通信 。
在交换机上(如图2),主机B的MAC地址是向后学习的,A、B间的单播通信只会被传递到主机B上,因此不会被监听设备捕捉到:
在该配置情况下,监听设备只能捕捉到发往所有端口的通信洪流(如广播和多播包) 。我们只能人为的将从主机A上发出的数据拷贝一份发送到监听口上 。
如图3所示,一个监听设备可以从交换机端口上接收所有从主机A上发出的数据包 。该交换机端口即被称为SPAN口 。在接下来的内容中,本文将以Cisco Catalyst 2900/3500系列交换机为例,介绍SPAN功能的实现方法 。
2、SPAN术语:
○ 入口数据流(Ingress traffic):进入交换机的数据流 。
○ 出口数据流(Egress traffic):送出交换机的数据流 。
○ 源(SPAN)口(Source (SPAN) Port):用于监听使用SPAN功能的端口 。
○ 目标(SPAN)口(Destination (SPAN) Port):被源端口所监听的端口,通常情况下连有一个网络分析器 。
○ 监听口(Monitor Port):在Catalyst 2900XL/3500XL/2950术语中,监听口也就是目标口 。
○ 本地SPAN(Local SPAN):即当监听口都位于同一交换机上且作为目标口出现时 。它与下面的远程SPAN相对 。
○ 远程SPAN或RSPAN(Remote SPAN or RSPAN):即指当某些源口作为目标口出现时,不处于同一交换机上 。这种高级功能需要一个专门的VLAN去传递被交换机间SPAN功能所监听的数据 。目前该功能只能在使用CatOS 5.3操作系统的Catalyst 6000 交换机上实现 。
○ PSPAN:表示基于端口的SPAN 。指在交换机目标口上由用户指定的一个或多个源口 。
○ VSPAN:表示基于VLAN的SPAN 。指在一个给定交换机上,用户可以用一条独立命令去选择监听所有属于一个特定VLAN的端口 。
○ 治理源(Administrative Source):被配置成监听状态的源口或VLAN列表 。
○ 操作源(Operational Source):处于实际监听状态的端口列表 。这不同于治理源 。例如:一个已经被关闭,但却处于治理源中的端口,已不处于实际监听状态 。
二、在Catalyst 2900XL/3500XL交换机上实现SPAN配置
1、功能的实现范围和限制:
端口监听功能在Catalyst 2900XL/3500XL系列交换机上没有大的扩展,而且相对轻易理解 。
必要的话,可以创建多个本地PSPAN会话 。例如,可以在所选定的目标SPAN口上配置PSPAN会话;或按你所希望的通过port monitor命令去监听仅在列表中出现的源口 。治理口在Catalyst 2900XL/3500XL术语中实际上就是目标SPAN口 。
○ 其主要限制在于,所有与一个已给定会话相关的端口(无论其是源口还是目标口)都必须属于同一个VLAN 。
○ 假如你在port monitor命令中不指定任何接口的话,所有其他属于同一个VLAN中的接口都将处于被治理状态 。
ATM口是个例外,一般情况下不能作为被治理口,除非做非凡处理 。在这里我们不做讨论 。
应用于具备治理功能的端口的限制条件主要有以下几点:
○ 监听口不能被置于一个快速以太网或是千兆以太网口组中 。
○ 监听口不能处于安全模式下 。
推荐阅读
- 快手有赞开店要钱吗
- 秸秆养肉牛的注意事项
- 宝来外循环按钮在哪里
- p30nfc怎么用
- 航天员吃饭怎么吃
- 缓刑是在哪里执行的
- 微信发的表格怎么在手机上填写
- Cisco交换机常见问题大整理
- 饲养雏鸡温度怎样控制
- 快手有赞订单怎么申请退款