Cisco交换机本地SPAN和远程SPAN的配置

在网络通信领域，SPAN 的完整解释是 “Switched Port Analyzer”，也被称为端口镜像或端口监视。

SPAN 是一种网络管理工具，用于监视交换机上的数据流量以进行故障排除、性能分析、安全审计等目的。通过 SPAN，网络管理员可以将一个或多个端口的数据流量复制到特定的监视端口，以便进一步分析或记录网络活动。

什么时候需要用到SPAN

SPAN 可以用于以下情况：

• 故障排除： 当网络出现问题时，管理员可以使用 SPAN 来捕获故障信息，以便分析问题的根本原因。
• 性能分析： SPAN 可以用于监视网络流量，以了解网络的使用情况、瓶颈和性能问题。
• 安全审计： 通过监视网络流量，可以检测异常活动、安全威胁和未经授权的访问。

SPAN配置注意事项

• SPAN会话是指一组受控端口与一个监控端口之间的数据流；
• 可以同时对多个端口的进入流量或是一个端口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出流量及VLAN的外出流量进行监控；
• 可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，但只要相关的接口被打开，SPAN就会变为活动的；
• 监控端口最好是>=受控端口的带宽，否则可能会出现丢包的情况。
• SPAN Traffic–SPAN的流量使用本地SPAN可以监控所有的网络流量，包括multicast、bridge protocol data unit (BPDU)，和CDP、VTP、DTP、STP、PagP、LACP packets；
• RSPAN不能监控二层协议。

SPAN的配置

SPAN 可以配置为本地 SPAN 或远程 SPAN（RSPAN）。本地 SPAN 用于将流量镜像到同一交换机上的监视端口，而 RSPAN 用于将流量镜像到不同交换机上的监视端口，允许跨交换机监视流量。

本地SPAN的配置

配置交换机本地SPAN案例

案例1：单一物理端口配置SPAN

配置FA0/1端口为镜像源端口，配置FA0/2端口为镜像目的端口。

Switch(config)# monitor session 1 source interface fastethernet0/1

//设定SPAN的受控端口

Switch(config)# monitor session 1 destination interface fastethernet0/2

//设定SPAN的监控端口

默认是监控源端口的IN和OUT方向流量，如果只要IN或者OUT方向可以增加参数：

both  Monitor received and transmitted traffic
  rx    Monitor received traffic only
  tx    Monitor transmitted traffic only

案例2：多物理端口配置SPAN

当要同时监控多个端口时，SPAN配置参考如下：

Switch(config)#monitor session 1 source interface fastethernet0/1 - 3

案例3：配置监控端口匹配特定流量

当我们需要过滤流量，只要匹配特定流量时，可以进行流量排除：

Switch(config)# monitor session 1 destination interface fastethernet0/2 ingress vlan 5

Switch(config)#monitor session 1 destination interface fastEthernet 0/1 ingress ?
  dot1q     ingress forwarding using dot1q encapsulation
  untagged  ingress forwarding using untagged encapsulation
  vlan      Set default VLAN for untagged ingress traffic

案例4：将VLAN数据作为源数据监控配置

配置VLAN作为受控端口，配置基于VLAN的SPAN。

Switch(config)# monitor session 1 source vlan 100 - 101 rx

//因VLAN数据流量可能很大，增加rx进行过滤

Switch(config)# monitor session 1 destination interface fastethernet 0/3

案例5：过滤来源VLAN配置SPAN

当要分析级联主干端口多VLAN的数据时，可以通过镜像来源级联端口的VLAN ID进行指定受控端口的VLAN范围，达到只监控受控VLAN流量的目的。

Switch(config)# monitor session 2 source interface fastethernet0/48 rx

Switch(config)# monitor session 2 filter vlan 100 - 101 //指定受控的VLAN范围

Switch(config)# monitor session 2 destination interface fastethernet0/3

配置远程RSPAN

RSPAN的Session分成RSPAN Source Session和RSPAN Destination Session两部分，所以相应的配置也要分别在Session的源和目的交换机上做。

配置专用的RSPAN VLAN

配置VLAN 999为remote-sapn 的VLAN，用于跨交换机传输mirror 流量。

Switch(config)# vlan 999

Switch(config-vlan)# remote-span

Switch(config-vlan)# end

配置RSPAN Source

配置FA0/48端口为传输remote-span流量的监控端口。

Switch(config)# monitor session 1 source interface fastethernet0/1 - 3
Switch(config)# monitor session 1 destination remote vlan 999 reflector-port fastethernet0/48

配置RSPAN Destination

在远端交换机上，配置SPAN，monitor source 为remote VLAN，monitor destination 为交换机本地物理端口FA0/3。

Switch(config)# monitor session 1 source remote vlan 999

Switch(config)# monitor session 1 destination interface fastethernet0/3

SPAN 是一种有用的网络管理工具，可用于监视和分析网络流量，以帮助维护和提高网络性能，但请注意，具体的命令和操作可能因您使用的思科交换机型号和软件版本而有所不同，请使用时要特别注意。