cisco交换机端口镜像
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2) monitor seesion session-number destination interface interface-id [encapsulation {dot1q|isl}] [ingress vlan vlan-id]
//session-number:会话号 interface-id:目标端口 encapsulation:配置目标端口 可识别的干道协议,当源端口是干道端口时可用。 ingress:不仅监控制端口, 还把监控的数据包转到其他VLAN
VLAN中。
(5)RSPAN 源端口和目的端口必须位于不同的网络设备
(6)不要将rspan vlan作为 vspan的源
(7)不要将接入端口分配给rspan vlan
(8) RSPAN VALN 不学习MAC地址
(9)RSPAN 不支持BPDU监控
远程SPAN配置
•
(1)源交换机配置:
monitor session session-number source {interface inerface-id | vlan vlan-id} [,}[-] {rx|tx|both} //定义源接口源VLAN
有源端口,此处的IP地址一样。
增强远程SPAN配置
• erspan-id id-number //与erspan-id相关联 (2)目标交换机上的配置: monitor session session-number type erspan-destination //配置为目标会话类
型
destination interface interface-id //设置目标接口。即接有监控设备的接口 source //设置源 ip address ip-address //设置源IP地址,此处的源IP地址,是源交换机上所 配的目标IP地址。意思是把源交换机上复制到这个目标IP地址的所有数据包 作为源地址。再复制到目标接口上
erspan-id id-number //与erspan id相关联。与源交换机中的ID号相同。 • 注意IOS版本要求
6509上的wk.baidu.com程SPAN配置
•
用带捕获选项的VACL监控性能
1、VACL监控的概念:6500的交换机才有。即只监控匹配ACL的流量。
2、注意点:
(1)捕获端口不能使用ATM端口
远程SPAN注意的问题
•
(1)在所有源、目标及中间设备中配RSPAN VLAN。 对所配置的
RSPAN VLAN的编号没有任何限制。可手工配置高于1024 编号的VLAN作为
RSPAN VLAN
(2)中间设备也需支持RSPAN VLAN
(3)RSPAN VLAN只能承载RSPAN 流量
(4)除了承载RSPAN VLAN的端口外,不要把任何端口配置到RSPAN
(2)ERSPAN源会话复制源端口或源VLAN的流量,并通过可路由的GRE 封装分组将其转发到ERSPAN目标会话。
(3)源端口或源VLAN与目标IP地址,ERSPAN ID编号相关联;目标端 口与源IP地址,ERSPAN ID编号相关联。
增强远程SPAN配置
• (1)源交换机上的配置: monitor seesion session-number type erspan-source //配置为源会话 source interface [interface-id | vlan-id] //设置源端口或源VLAN destination //设置目标。即把源端口或VLAN的数据包复制到哪里 ip address ip-address //设置目标IP地址 origin ip address ip-address //设置源会话的原始IP地址,如有多个交换机
(2)本地span:源端口或源VLAN与复制镜像流量的目的端口在同一交换机 上叫本地span。可将单个或多个VLAN配为span源。源vlan中包括的所有端口 都是源端口。
(3)支持的流量类型:流入的流量;流出的流量;双向网络流量。默认监 控双向网络流量,包括多播BPDU。
•
(4)span可将交换端口和路由端口配为源端口。干道端口和非干道端口也
即每个拥有源端口或源VLAN的远程交换机上都有一个相同的 rspan vlan, 以承载本地被监控端口或VLAN的流量。这个 rspan vlan再通过干线把数据包 传到目的交换机。到达目的交换机后,再把这个rspan vlan中的所有数据包复 制到目的端口,以达到监控的目的。
(4)一个vlan为远程VLAN时,即为rspan vlan时,本地 span就不能监控 RSPAN VLAN 的流量了。如果想监控RSPAN VLAN的流量,就必须把 RSPAN 监控的目的端口设为本地监控的源端口。
monitor session session-number destination interface interface-id [encapsulation {dot1q|isl}][ingress vlan vlan-id] //把RSPAN VLAN的数据包和流 量复制到目的端口
注意:在配置这些命令前先在源、中间、目标交换机上配置远程VLAN span配置命令不能清除先前配置的SPAN参数,需要命令 no monitor session 可清除先前配置的 span 参数 确保中间交换机能够支持各个VLAN,干道承载RSPAN VLAN 在VTP服务器中配置RSPAN VLAN时,该VLAN将专用于RSPAN。如果 采用VTP透明模式,那么就要在域中所有设备中都一致的配置RSPAN。
ERSPAN介绍 增强
•
1、erspan 的概念:
•
增强rspan,与RSPAN类似,支持监控位于不同交换机上的源端口,源
VLAN和目标端口,还可跨三层边界。每个ERSPAN会话通过GRE隧道承载
SPAN流量。源和目标交换机必须硬件上支持GRE。
2、erspan特征及规则:
(1)每个erspan源会话只能选择端口或VLAN做为源,而不能同时选择两者
(2)在用VLAN的情况下,捕获端口需要位于生成树的转发状态。即端 口需要能转发数据包,不能是阻塞或学习等状态。
(3)捕获端口只捕获所配置ACL允许的数据包
(4)捕获端口只发送属于捕获端口VLAN的流量。想捕获多个VLAN的 流量,就需要把干道端口设为捕获端口,来捕获多个VLAN的流量。
• (1) monitor session session-number source {interface interface-id|vlan vlanid}[,][+]{rx|tx|both}
// session-number:会话号 interface-id:源端口 vlan-id:源VLAN rx,tx,both:入 流量,出流量,双向流量
RSPAN介绍
• (1) rspan支持不同交换机上的源端口、源VLAN和目标端口。可跨网络远程 监控多台交换机。 (2)每个SPAN会话都由一个RSPAN VLAN来传承流量。即每个RSPAN都有 一个 rspan vlan。 (3)每个RSPAN远程交换机的源端口、源VLAN所在交换机都有一个相 同的RSPAN vlan。 远程交换机先把源端口和源VLAN的数据包,即流量复制到本地配置的 RSPAN VLAN上。RSPAN VLAN再通过干线把流量数据包传到目的交换机上。 目的交换机再把RSPAN VLAN的数据包流量复制到目的端口。
monitor session session-number destination remote vlan vlan-id //把源端口或 源VLAN的数据包复制到本交换机的RSPAN VLAN上。
(2)目标交换机的配置: monitor session session-number source remote vlan vlan-id //把远程VLAN设 为源
SPAN的配置指导
编制部门 编者 编制时间 审核 版本 密级
网络管理部 caoyong 201008
1 A
本地monitor介绍
•
(1)span:span是交换机端口分析器。即把某个VLAN或一组端口的网络流
量复制镜像到某个端口中。这个端口再连接到网络分析服务器或运行网络分
析的设备,以对网络进行监控。
可成为混合源端口。目标端口可配置干道封装(dot1q或isl)以设定转发的数据
包,即监控哪些数据。如果目标端口不配置干道封装,则在把监控的数据复
制镜像到目标端口时就清除掉ISL或dot1q。目标端口必须专用于SPAN,不能
学习任何MAC地址。
本地SPAN注意的问题
•
(1)源端口不能同时配为目标端口
(2)源端口可以属不同VLAN
(3)端口通道接口(etherchannel)可配为源端口,但不能配为目标端口。
(4)一个目标端口只能做一个SPAN会话的目标端口
(5)IOS交换机中二层、三层接口都可做源和目标端口
(6)目标端口不参与生成树实例
(7)VSPAN只能监控VLAN中进出第二层端口的流量。
本地SPAN的配置
//session-number:会话号 interface-id:目标端口 encapsulation:配置目标端口 可识别的干道协议,当源端口是干道端口时可用。 ingress:不仅监控制端口, 还把监控的数据包转到其他VLAN
VLAN中。
(5)RSPAN 源端口和目的端口必须位于不同的网络设备
(6)不要将rspan vlan作为 vspan的源
(7)不要将接入端口分配给rspan vlan
(8) RSPAN VALN 不学习MAC地址
(9)RSPAN 不支持BPDU监控
远程SPAN配置
•
(1)源交换机配置:
monitor session session-number source {interface inerface-id | vlan vlan-id} [,}[-] {rx|tx|both} //定义源接口源VLAN
有源端口,此处的IP地址一样。
增强远程SPAN配置
• erspan-id id-number //与erspan-id相关联 (2)目标交换机上的配置: monitor session session-number type erspan-destination //配置为目标会话类
型
destination interface interface-id //设置目标接口。即接有监控设备的接口 source //设置源 ip address ip-address //设置源IP地址,此处的源IP地址,是源交换机上所 配的目标IP地址。意思是把源交换机上复制到这个目标IP地址的所有数据包 作为源地址。再复制到目标接口上
erspan-id id-number //与erspan id相关联。与源交换机中的ID号相同。 • 注意IOS版本要求
6509上的wk.baidu.com程SPAN配置
•
用带捕获选项的VACL监控性能
1、VACL监控的概念:6500的交换机才有。即只监控匹配ACL的流量。
2、注意点:
(1)捕获端口不能使用ATM端口
远程SPAN注意的问题
•
(1)在所有源、目标及中间设备中配RSPAN VLAN。 对所配置的
RSPAN VLAN的编号没有任何限制。可手工配置高于1024 编号的VLAN作为
RSPAN VLAN
(2)中间设备也需支持RSPAN VLAN
(3)RSPAN VLAN只能承载RSPAN 流量
(4)除了承载RSPAN VLAN的端口外,不要把任何端口配置到RSPAN
(2)ERSPAN源会话复制源端口或源VLAN的流量,并通过可路由的GRE 封装分组将其转发到ERSPAN目标会话。
(3)源端口或源VLAN与目标IP地址,ERSPAN ID编号相关联;目标端 口与源IP地址,ERSPAN ID编号相关联。
增强远程SPAN配置
• (1)源交换机上的配置: monitor seesion session-number type erspan-source //配置为源会话 source interface [interface-id | vlan-id] //设置源端口或源VLAN destination //设置目标。即把源端口或VLAN的数据包复制到哪里 ip address ip-address //设置目标IP地址 origin ip address ip-address //设置源会话的原始IP地址,如有多个交换机
(2)本地span:源端口或源VLAN与复制镜像流量的目的端口在同一交换机 上叫本地span。可将单个或多个VLAN配为span源。源vlan中包括的所有端口 都是源端口。
(3)支持的流量类型:流入的流量;流出的流量;双向网络流量。默认监 控双向网络流量,包括多播BPDU。
•
(4)span可将交换端口和路由端口配为源端口。干道端口和非干道端口也
即每个拥有源端口或源VLAN的远程交换机上都有一个相同的 rspan vlan, 以承载本地被监控端口或VLAN的流量。这个 rspan vlan再通过干线把数据包 传到目的交换机。到达目的交换机后,再把这个rspan vlan中的所有数据包复 制到目的端口,以达到监控的目的。
(4)一个vlan为远程VLAN时,即为rspan vlan时,本地 span就不能监控 RSPAN VLAN 的流量了。如果想监控RSPAN VLAN的流量,就必须把 RSPAN 监控的目的端口设为本地监控的源端口。
monitor session session-number destination interface interface-id [encapsulation {dot1q|isl}][ingress vlan vlan-id] //把RSPAN VLAN的数据包和流 量复制到目的端口
注意:在配置这些命令前先在源、中间、目标交换机上配置远程VLAN span配置命令不能清除先前配置的SPAN参数,需要命令 no monitor session 可清除先前配置的 span 参数 确保中间交换机能够支持各个VLAN,干道承载RSPAN VLAN 在VTP服务器中配置RSPAN VLAN时,该VLAN将专用于RSPAN。如果 采用VTP透明模式,那么就要在域中所有设备中都一致的配置RSPAN。
ERSPAN介绍 增强
•
1、erspan 的概念:
•
增强rspan,与RSPAN类似,支持监控位于不同交换机上的源端口,源
VLAN和目标端口,还可跨三层边界。每个ERSPAN会话通过GRE隧道承载
SPAN流量。源和目标交换机必须硬件上支持GRE。
2、erspan特征及规则:
(1)每个erspan源会话只能选择端口或VLAN做为源,而不能同时选择两者
(2)在用VLAN的情况下,捕获端口需要位于生成树的转发状态。即端 口需要能转发数据包,不能是阻塞或学习等状态。
(3)捕获端口只捕获所配置ACL允许的数据包
(4)捕获端口只发送属于捕获端口VLAN的流量。想捕获多个VLAN的 流量,就需要把干道端口设为捕获端口,来捕获多个VLAN的流量。
• (1) monitor session session-number source {interface interface-id|vlan vlanid}[,][+]{rx|tx|both}
// session-number:会话号 interface-id:源端口 vlan-id:源VLAN rx,tx,both:入 流量,出流量,双向流量
RSPAN介绍
• (1) rspan支持不同交换机上的源端口、源VLAN和目标端口。可跨网络远程 监控多台交换机。 (2)每个SPAN会话都由一个RSPAN VLAN来传承流量。即每个RSPAN都有 一个 rspan vlan。 (3)每个RSPAN远程交换机的源端口、源VLAN所在交换机都有一个相 同的RSPAN vlan。 远程交换机先把源端口和源VLAN的数据包,即流量复制到本地配置的 RSPAN VLAN上。RSPAN VLAN再通过干线把流量数据包传到目的交换机上。 目的交换机再把RSPAN VLAN的数据包流量复制到目的端口。
monitor session session-number destination remote vlan vlan-id //把源端口或 源VLAN的数据包复制到本交换机的RSPAN VLAN上。
(2)目标交换机的配置: monitor session session-number source remote vlan vlan-id //把远程VLAN设 为源
SPAN的配置指导
编制部门 编者 编制时间 审核 版本 密级
网络管理部 caoyong 201008
1 A
本地monitor介绍
•
(1)span:span是交换机端口分析器。即把某个VLAN或一组端口的网络流
量复制镜像到某个端口中。这个端口再连接到网络分析服务器或运行网络分
析的设备,以对网络进行监控。
可成为混合源端口。目标端口可配置干道封装(dot1q或isl)以设定转发的数据
包,即监控哪些数据。如果目标端口不配置干道封装,则在把监控的数据复
制镜像到目标端口时就清除掉ISL或dot1q。目标端口必须专用于SPAN,不能
学习任何MAC地址。
本地SPAN注意的问题
•
(1)源端口不能同时配为目标端口
(2)源端口可以属不同VLAN
(3)端口通道接口(etherchannel)可配为源端口,但不能配为目标端口。
(4)一个目标端口只能做一个SPAN会话的目标端口
(5)IOS交换机中二层、三层接口都可做源和目标端口
(6)目标端口不参与生成树实例
(7)VSPAN只能监控VLAN中进出第二层端口的流量。
本地SPAN的配置