Cisco之SPAN

Cisco之SPAN

    SPANSPAN（Switched PortAnalyzer，交换机端口分析器）特性有助于性能管理和排错。SPAN能够将某个VLAN或一组端口的网络流量复制到某个端口上，这个端口通常连接到网络分析仪，例如switchProb设备，它是一种运行数据包捕获应用或RMON(RemoteMonitoring，远程监控)探测器的工作站。SPAN不会对源端口或VLAN的网络流量交换产生影响。

  一个源端口是SPAN程序从中复制流量的一个第2层或第3层端口，从一个SPAN源端口转发到一个SPAN目的端口的数据可以包括端口发送的所有帧和/或端口接收的所有帧。

  一个SPAN目的端口是SPAN程序将流量复制到一个第2层或第3层的接口，当一个端口被配置为一个SPAN的目的端口时，他将不转发除SPAN流量外的任何流量，并且只由SPAN程序使用，本地SPAN包括在相同的交换机上配置源端口、源VLAN和目标端口。本地SPAN包括单个或多个VLAN配置为SPAN会话源，又称为VSPAN。源VLAN中的所有端口将成为VSPAN的源端口。本地SPAN将任何VLAN中的单个或多个端口（或从单个或多个VLAN）中的网络流量复制到用于分析的目标端口。

   如图，将端口5的数据流镜像到端口10。端口10上的一个网络分析仪无需物理连接到端口5就能收到来自端口5的所有网络流量。

  SPAN会话支持对如下3种类型的网络流量进行监控：流入的网络流量、流出的网络流量、双向网络流量。通过将需要分析的源端口和VLAN所接受的网络流量复制到目标端口，流入SPAN能够监控流入的网络流量。通过将需要分析的源端口和VLAN所发送的网络流量复制到目标端口，流出SPAN能够监控流出的网络流量。当使用both(双向)关键字的时候，SPAN能够监控双向的网络流量。

  默认情况下，本地SPAN监控所有的网络流量，其中包括多播和BPDU（BridgeProtocol Data Unit）SPAN支持将交换端口和路由端口配置为SPAN源端口。SPAN能够在单个SPAN会话中监控单个或多个源端口。任何VLAN中都可以配置为源端口。Trunk端口能够与非Trunk端口混合形成有效的源端口，虽然如此，目标端口的trunk（dot1q或ISL）配置能够确定目标端口所转发的数据包封装。如果目标端口没有配置trunk封装，那么在对流入的帧进行传输之前，帧将清除其中ISL或dot1q。

  在使用本地SPAN的时候，需要遵守下列规则和限制：

. 基于CiscoIOS软件的交换机，第2层交换端口（采用Switchport命令配置的LAN端口）和第3层交换端口（未采用switchport命令配置的LAN端口）都能配置未源端口或目标端口。

. 如果只有1个SPAN会话，那么端口能够担当目标端口

.如果某个端口是某个SPAN会话的源端口，那么它就不能配置成目标端口

. 端口通道接口（Etherchannel）能够配置为源端口

. 端口通道接口不能够配置为目标端口

. SPAN支持源端口属于不同VLAN的配置

. 本地SPAN将使用先前在CiscoCatOS中所启用的配置。为了避免任何未得到确认的情况，在CiscoCatOS中启用SPAN之前，我们都应当检查先前的配置。

. 默认情况下，SPAN袁的流量方向是双向的

.目标端口从来不参与生成树实例。本地SPAN包括被监控流量的BPDU，所以目标端口所看见的任何BPDU都来自于源端口。基于上述原因，SPAN目标端口不应当连接到其他交换机，其原因在于这可能导致网络环路。

.无论数据包是否因为外出端口上STP阻塞状态而真实地离开交换机，目标端口都将获得通过交换机进行交换的所有数据包的副本。

  在使用VSPAN的时候，还需要遵守下列规则和限制：

.如果VSPAN会话配置流入和流出等两种选项，那么只有数据包在相同的VLAN中进行交换的时候，VSPAN会话将转发来自源端口的重复数据包。数据包的1个副本来自于流入端口的输入流量，而数据包的另外1个副本来自于流出端口的输出流量。

. VSPAN只能监控VLAN中进出第2层端口的流量：

.因为流量从来不表现为进入VLAN中的2层端口的输入流量，如果SPAN会话将VLAN配置为流入源，那么进入被监控VLAN的路由流量将不被捕获。

.因为流量从来不表现为进入VLAN中的2层端口的输入流量，如果SPAN会话将VLAN配置为外出源，对于被路由到被监控VLAN之外的流量将不被捕获。

  SPAN监控和其他特性的影响：

1． SPAN与vlan和CDP的影响

1) 可以进行 VLAN 成员的改变，但他们不能作用到 SPAN目的端口上，对于源端口，VLAN或者中继设置立即生效，SPAN会话因此自动调整。

 2) SPAN的目的端口不参与CDPhello_me51cto技术博客

2．SPAN与EtherChannel成员或中继端口的相互影响 .如果一个被监控的EtherChannel组中添加一个端口，就把它加到SPAN源端口列表中，如果从一个被监控的EtherChannel 中删除一个端口，它会自动从源端口列表中删除。 .一个EtherChannel组可以配置为一个源端口，但不能配置为目的端口 .可以在任何时候为源目的端口修改 VLAN成员或者只中继，但是一个目的端口的VLAN成员或中继设置改变直到禁用SPAN会话才会生效.如果将一个属于EtherChannel组的物理端口配置成一个SPAN源或目的端口，那么该端口将离开那个组。当端口从SPAN端口离开，它又重新加入到Channel组。

3．SPAN和Qos分类和多播流量 .对于进入或流入流量监控，送往SPAN目的端口的分组可能与SPAN源端口实际收到的会有不同，分组在进入QoS分类与监管之后转发。发送分组的DSCP值可能与接受分组不同。. 可以监控多播流量，对于流入和流出，只将一个单一的未编辑的分组送往SPAN目的端口 . 配置了端口安全的端口不能作为SPAN目的端口hello_me51cto技术博客 配置过程：默认的配置特性 默认配置 SPAN未启动源端口流量的监控端口的发送和接收封装类型（目标端口）本地VLAN(未标记)进入转发（目标端口） 非法 Vlan过滤 Trunk端口作为源端口，所有vlan都会被监控 建立SPAN会话

1）进入全局配置模式 configure terminal

2） 清除先前配置的内容 no monitor session[会话号|all|local|remote]

. 会话号：可以单独清除某个指定的会话，取值为1-66

. all:所有的会话

. local:清除本地SPAN

. remote:远程的SPAN

3） 指定监控的源端口 monitor session 会话号 source {interface接口号|vlan vlan号} [both|rx|tx]

. 会话号：取值为1-66

. vlan号：取值为1-4094

. rx:接收

. tx:发送

4）指定监控的目标端口 monitor session 会话号 destination{inteface 接口号} [encapsulation replicate] [ingressforwarding]

. 接口号：必须是物理接口，不能是VLAN或以太通道

. encapsulationreplicate:目标端口的封装类型将取代源端口的封装类型，如果不设置将按照默认值将数据转发到nativevlan（本地VLAN，未标记的）

5） 验证结果 show monitor [session 会话号]

Session 1

---------

Type : Local

Session Source Ports :

Both : Fa0/23

Destination Ports : Fa0/2

Encapsulation : Native

Ingress: Disabled