span和rspan.docxVIP

配置SPAN和RSPAN使用SPAN（Switched Port Analyzer）或者RSPAN（Remote SPAN）可以有效地分析通过端口或VLAN的网络流量。借助SPAN或RSPAN，可以将一个交换机的端口映像至另一个交换机端口，即发送流量的备份到该交换机或者其他交换机的另一个端口，这样，只需将分析或侦听设备连接至监控端口，即可实现对被监听端口的分析和侦听。由于SPAN采用复制（或镜像）源端口或源VLAN上的接收或发送（或两者都有的）流量到目的端口，因此，SPAN不影响源端口或VLAN的网络交换。事实上，除了SPAN或RSPAN会话所需的流量之外，目的端口不会接收或转发流量。6.9.1? SPAN和RSPAN简介对单个或多个交换机端口进行监控和故障查寻，不需要中断现有业务流量，有助于故障隔离。交换式端口分析器（SPAN）分析经过某个本地端口或VLAN的流量信息。SPAN发送一份流量的拷贝给连接安全设备的交换机端口。【注意】 一旦启用了SPAN、VSPAN或RSPAN，目标端口的STP就被禁止，可能会造成环路。另外，配置RSPAN之前要先定义一个RSPAN专用的VLAN。如果在VTP服务器上配置了RSPAN VLAN，那么，VTP服务器自动将正确的信息传播给其他中间交换机。否则，要确保每台中间交换机都配置的有RSPAN VLAN。1．SPAN术语入口业务。进入交换机的业务。出口业务。离开交换机的业务。源（SPAN）端口。用SPAN功能受监控的端口。目的地（SPAN）端口。监控源端口的端口，通常连有一个网络分析器。监控端口。在Catalyst 900xl/3500xl/2950术语中，监控端口也是目的地SPAN端口。管理源。已配置受监控的源端口或者VLAN的列表。操作源。受到有效监控的端口列表。这可能和管理源有所不同。例如，在关闭模式下的端口可能在管理源中出现，但它不受到有效监控。2．SPAN模式SPAN拥有以下3种模式：?本地SPAN。也称PSPAN，指基于端口的SPAN。源端口和目标端口都处于同一交换机（如图6-22所示），并且源端口可以是一个或多个交换机端口。?远程SPAN或者RSPAN。目的地端口的源端口没有位于同一交换机上（如图6-23所示）。这是一项高级功能，要求有专门的VLAN来传送该业务，并由交换机之间的SPAN进行监控，因此，要求中间交换机必须支持RSPAN VLAN技术。由此可见，并非所有交换机均支持RSPAN，所以，应检查各自的版本说明或者配置指南，核实要进行配置的交换机是否可以使用该功能。?VSPAN。指基于VLAN的SPAN。SPAN的一种变体，源端口不是物理端口，而是VLAN。在给定的交换机中，用户可以使用单个命令来选择对属于专门VLAN的所有端口进行监控。图6-22? SPAN示意图 ?图6-23? RSPAN示意图SPAN和RSPAN默认配置SPAN和RSPAN的默认配置见表6-11。表6-11? SPAN和RSPAN默认配置特 性默 认 设 置SPAN状态（SPAN和RSPAN）禁用源端口流量监控接收并发送封装类型（目的端口）本地形式（不带标记的数据包）转发（目的端口）禁用VLAN过滤在作为源端口的中继接口上，允许所有的VLANRSPAN VLAN都被检测SPAN会话中的流量监视限制源既可以是端口也可以是VLAN，但是，不能将源端口和源VLAN混合放入一会话中。也就是说，VLAN或端口应当分别位于不同的会话。同一会话中，要么是VLAN，要么是端口，而不能既有端口又有VLAN。?可以配置在每个交换机堆栈上的两个源会话（本地SPAN和RSPAN源会话）。在同一台交换机上，可以同时运行一个本地SPAN和一个RSPAN。源会话和RSPAN目的会话的总数不能超过66个。?在一个SPAN会话中，可以有多个目的端口，但是，最多不能超过64个目的端口。?借助分开或重叠配置的SPAN源端口和VLAN，可以配置两个分开的SPAN或RSPAN源会话。?SPAN会话不会干涉交换机的正常工作。但是，源端口与目的端口的速率应当尽量匹配，甚至目的端口的速率应当高于源端口。如果使用100 Mbps端口监视1000 Mbps端口，那么，将导致端口down掉或者丢失数据。?当RSPAN被启用时，被一个被监视的包将发送两次，一次作为正常传输，一次作为监视包。因此，当监视大量的端口或VLAN时，将会大幅增加网络流量。?可以将禁用的端口配置为源端口或目的端口，但是，SPAN不会自动开始，直至目的端口和至少一个源端口或源VLAN被启用。?不能在一个会话中同时存在SPAN和RSPAN。RSPAN源会话不能有本地目的端口，RSPAN目的会话也不能有一个本地源端口。在同一交换机上，一个RSPAN目的会话和一个RSPAN源会话用于同一RS