端口镜像的SPAN与RSPAN简介-ielab

it2022-05-05  102

加粗样式 SPAN技术主要是用来监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN。----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN),实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和 监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(远程SPAN)。

SPAN,全称为Switched Port Analyzer,直译为交换端口分析器。是一种交换机的端口镜像技术。作用主要是为了给某种网络分析器提供网络数据流,SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。 RSPAN(Remote SPAN),即远程SPAN,和SPAN类似,但可以跨越交换网络为多层交换机提供远程监控。

1.SPAN Session–SPAN会话 SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端

口的外出流量进行监控,也可以对VLAN内所有端口的进入流量进行监控,但不能同时对多个端口的外出

流量及VLAN的外出流量进行监控,可以对处于关闭状态的端口设置SPAN,但此时的SPAN会话是非活动,

但只要相关的接口被打开,SPAN就会变为活动的。

监控端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。

2.SPAN Traffic–SPAN的流量 使用本地SPAN可以监控所有的网络流量,包括multicast、bridge protocol data unit (BPDU),和CDP、 VTP、DTP、STP、PagP、LACP packets. RSPAN不能监控二层协议。

3.Traffic Types–流量类型 被监控的流量类型分为三种,Receive (Rx) SPAN 受控端口的接收流量,Transmit (Tx) SPAN 受控端口的发送流量,Both 一个受控端口的接收和发送流量。

SPAN端口类型 1.Source Port–SPAN源端口,也叫monitored port即被监控端口(受控端口)。 受控端口可以是实际的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所以物理端口,受控端口如果是以太信道则包括组成此以太信道的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filter vlan 参数进行调整,只对filter vlan 中指定的VLAN数据流量做监控。

2.Destination Port–SPAN目的端口,也就是monitoring port-即监控端口(连监控设备用的)。 监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN中使用,监控端口不参与其它的二层协议如: Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP), Spanning Tree Protocol (STP), Port Aggregation Protocol (PagP), Link Aggregation Control Protocol (LACP)等.

缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCO IDS的时会有这种需求,此时IDS不仅要接 收SPAN Session的数据流,IDS本身在网络中还会与其它设备有通讯流量,所以要打开监控端口的二层转发功能。监控端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。

1.Reflector Port–反射端口 反射端口只在RSPAN中使用,与RSPAN中的受控端口在同一台交换机上,是用来将本地的受控端口流量

转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口,

它不属于任何VLAN(It is invisible to all VLANs.)。 RSPAN中还要使用一个专用的VLAN来转发流量,反射端口会使用这个专用VLAN将数据流通过TRUNK端口 发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。

关于RSPAN VLAN的创建,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用

1002-1005,这是保留的(res erved for Token Ring and FDDI VLANs),如果是2-1001的标准VLAN, 则只要在VTP Server上创建即可,其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要 在所有交换机上创建此专用VLAN. 反射端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。 SPAN的3种模式:

1.SPAN:源端口和目标端口都处于同一交换机,并且源端口可以是一个或多个交换机端口。

2.基于VLAN的交换式端口分析器(VSPAN):SPAN的一种变体,源端口不是物理端口,而是VLAN。

3.远程交换式端口分析器(RSPAN):源端口和目标端口处于不同的交换机。

ERSPAN ---- Enhanced Remoted SPAN ---- 增强SPAN。

利用SPAN监控VLAN时,只能监控VLAN中所有活动端口接收的流量,如果监控端口也属于属于此VLAN,则此端口不在监控范围内。利用SPAN监控VLAN时,不监控VLAN间的路由数据,比如我开个SPAN监控一台三层交换机某个VLAN的inbound方向的数据流(也只能是这个方向),当一个数据流被从其他VLAN路由到此VLAN时,此数据流不在监控范围内。


最新回复(0)