介绍交换端口分析器(SPAN)功能有时被称为端口镜像或端口监控,该功能可通过网络分析器(例如交换机探测设备或者其它远程监控(RMON)探测器)选择网络流量进行分析。以前,SPAN是Catalyst交换机族较为基本的功能,但最新推出的CatOS有许多增强功能,而且有许多功能是用户现有才开始使用的。本文并不是SPAN功能的又一种配置指南,而是立足于介绍已实施的SPAN的最新功能。本文将对SPAN的一般问题进行回答,例如:
SPAN是什么?我如何对它进行配置?
有什么不同的功能(尤其是同时进行多个SPAN话路)?需要何种级别的软件来执行这些功能?
SPAN是否会影响交换机的性能?
开始配置前规则有关详情,请参阅Cisco技术提示规则。
例如,如果您想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该集线器上安装一嗅探器,所有端口均可看见主机A和主机B之间的业务:
在交换机中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的端口,因此,嗅探器看不见:
在这个配置中,嗅探器将仅截获扩散至所有端口的业务,例如广播业务、具有CGMP或者IGMP侦听禁止的组播业务以及未知的单播业务。当交换机的CAM表中没有目的地的MAC时,将发生单播泛滥。它无法理解向何处发送业务,而将数据包大量发送至VLAN中的所有端口。
将主机A发送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现。
在上面的图表中,与嗅探器相连的端口配置为:对主机A发送的每一个数据包拷贝进行接收。该端口被称为SPAN端口。下文各节将说明如何对该功能进行精确的调节,使其作用不仅仅限于监控端口。
ATM端口是唯一无法受到监控的端口。然而您还是可以对ATM端口进行监控。以下限制适用于具有端口监控能力的各个端口:
有关功能冲突的补充信息,请参阅下文的链接:
在本例中,创建了两个并行的SPAN话路。
端口Fa0/3、Fa0/4以及Fa0/6均在VLAN2中进行配置;其它端口以及管理接口均在默认的VLAN1中进行配置。
Catalyst2900XL/3500XL上的配置样本
功能
Catalyst2950/3550
Catalyst3550
Catalyst4000(CiscoIOS)
Catalyst6000(CiscoIOS)
入口(inpkts)启用/禁止选项
目前不支持(1)
12.1(12)EA1
RSPAN
12.1(12c)EA1
12.1(13)E
(1)仅支持入侵监测系统(IDS)以对网络安全性侵害进行监控、抵挡及汇报。
下表列出了对SPAN/RSPAN话路数量的限制:
接收SPAN话路或者收发SPAN话路
2
发送SPAN话路
4
接收、发送或者收发RSPAN源话路
RSPAN目的地
64
总话路
6
66
(1)功能目前不提供,且这些功能的提供一般不公开,除非在发布之后。.
如果捆绑中的端口之一为SPAN目的地端口,将不会形成EthernetChannel。如果您想进行配置,交换机将告诉您以下内容:
ChannelportcannotbeaMonitorDestinationPortFailedtoconfigurespanfeatureEthernetChanne捆绑中的端口可以用作SPAN源端口。
对于Catalyst2900XL/3500XL族,只有交换机上的可用目的地端口数目会对SPAN话路数目有限制。
同样,这通常是因为交换机的操作方式问题。当一个数据包通过交换机时,将发生以下情况:
如果交换机接收到损坏的数据包,入口端口通常将其丢弃,所以您不会在出口端口见到该数据包。事实上交换机在捕获业务时并非完全透明。类似地,当您在上述情况下从您的嗅探器中看到了损坏的数据包,错误在第3步出口段中发生。
如果您认为损坏的数据包由某个设备发出,您可以将发送主机以及嗅探器设备连接在同一集线器上。集线器将不执行任何错误校验,因此,和交换机不同,集线器将不会丢失数据包,通过这个方式,您可以看到数据包。