Cisco Catalyst交换机端口镜像(SPAN)技术

先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口。

Cisco的SPAN。

分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像整个或数个VLAN到一个目的端口。

配置方法：1. SPAN(1) 创建SPAN源端口monitor session session_number source interface interface-id [, | -] [both | rx | tx]**session_number,SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2。

**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续的用“-”连接。

**[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both。

(2)创建SPAN目的端口monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id]**一样的我就不说了。

**session_number要和上面的一致。

**interface-id目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。

cisco交换机端口镜像的配置镜像大多数交换机都支持镜像技术，这可以对交换机进行方便的故障诊断。

我们称之为“mirroring”或“Spanning”。

镜像是将交换机某个端口的流量拷贝到另一端口(镜像端口)，进行监测。

OptiView?集成式分析仪（OPV-INA）连接到一个端口。

并设置为接收方式，镜像主机A所在端口的流量。

OPV-INA 可以捕捉到从主机A到主机B之间的流量，OPV 所连接的端口就是镜像端口，A和B之间的通讯不会受到镜像端口的影响。

类似于端口间的镜像，镜像操作也可以在VLAN 之间进行。

最典型的镜像配置是通过Console 口或Telnet 方式。

端口镜像是一个非常有用的功能，镜像端口可以用来连接测试设备，如OPV-INA 、OPV-WGA 进行协议分析。

当需要对故障进行诊断时，还能用远程遥控的方式进行监测或故障诊断。

而不需要到现场做物理连接上的改动。

尽管镜像的功能很强，但是使用时要小心，因为有可能导致产生交换环路、意外的流量或造成某些主机不可达，出现意外的恶性结果。

镜像功能的局限性一方面，当诊断工具连接到镜像口时。

最好只接收数据不向网络发送数据，这是受一些厂商的产品功能控制的。

不同的产品特性可能也不一样。

对于交换机。

镜像端口可以指定为”接收”模式。

或”接收/发送”模式。

如果只是”接收”模式。

那么OPV-INA 就不能主动搜索网络。

如果不能充分利用它的搜索功能。

在测试时就阻碍了它的效能。

如果OPV-INA 不能应答网络的请求。

OPV-INA 远程用户就不能有效地控制它的工作。

用户可以发出信号到OPV-INA 。

但是OPV-INA 做出回应。

另一方面。

镜像端口的速率是个问题。

它的端口速率必须要高于所测试的端口流量。

例如。

如果主机A连接到100M 的端口。

OPV 连接到10M 的端口。

那么超出的流量就会丢弃值得注意的是，如果要镜像的端口是100M 全双工端口，那么总的流量可能会达到200M 。

交换机端口镜像方法Cisco CATALYST交换机端口监听配置Cisco CATALYST交换机分为两种，在CATALYST家族中称侦听端口为分析端口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI)以下命令配置端口监听：port monitor例如，F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/3port monitor VLAN12、Catalyst 4000，5000 and 6000系列交换机端口监听配置 (基于IOS)以下命令配置端口监听：set span例如，模块1中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，set span 1/1，1/3-5 1/23COM交换机端口监听配置在3COM交换机中，端口监听被称为“Roving Analysis”。

网络流量被监听的端口称作“监听口”（Monitor Port），连接监听设备的端口称作“分析口”（Analyzer Port）。

以下命令配置端口监听：●指定分析口feature rovingAnalysis add，或缩写 f r a，例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1?& nbsp;Select analysis port: 2●指定监听口并启动端口监听feature rovingAnalysis start，或缩写 f r sta，例如：Select menu option: feature rovingAn alysis startSelect slot to monitor ?(1-12): 1Select port to monitor&nb sp;?(1-8): 3●停止端口监听feature rovingAnalysis stop，或缩写 f r sto，Intel交换机端口监听配置Intel 称端口监听为“Mirror Ports”。

CISCO交换机端口镜像配置[]CISCO交换机端口镜像配置先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口。

Cisco的SPAN 分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像整个或数个VLAN 到一个目的端口。

配置方法：1. SPAN(1) 创建SPAN源端口monitor session session_number source interface interface-id [, | -] [both | rx | tx] monitor session 1 source interface Gi1/0/3 - 23 monitor session 2 source interface Gi1/0/24**session_number,SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2。

**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，比如我的3750G 设置：先查询镜像端口：>show interfaceGigabitEthernet1/0/1 is down, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f681 (bia001b.53d1.f681)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not setKeepalive set (10 sec)Auto-duplex, Auto-speed, media type is 10/100/1000BaseTXinput flow-control is off, output flow-control is unsupportedARP type: ARPA, ARP Timeout 04:00:00Last input never, output 01:24:41, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected45270775 packets output, 3124068592 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out GigabitEthernet1/0/2 is up, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f682 (bia001b.53d1.f682)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 25/255, rxload 1/255 Encapsulation ARPA, loopback not setKeepalive set (10 sec)Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTXinput flow-control is off, output flow-control is unsupportedARP type: ARPA, ARP Timeout 04:00:00Last input never, output 00:27:32, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 101566000 bits/sec, 13900 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected56333567 packets output, 4143302191 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out我们用端口镜像1来镜像3-23号端口，镜像端口来镜像24号端口：monitor session 1 source interface Gi1/0/3 - 23monitor session 1 destination interface Gi1/0/1monitor session 2 source interface Gi1/0/24monitor session 2 destination interface Gi1/0/2连续的用“-”连接。

CISCO_Rspan和Span思科的端口镜像技术就是SPAN和RSPANSPAN是单一交换机上的端口镜像，RSPAN是远程查看的端口镜像SPAN命令举例：源端口（默认both）sw4(config)#monitor session 1 source interface f0/12 ?, Specify another range of interfaces- Specify a range of interfacesboth Monitor received and transmitted trafficrx Monitor received traffic onlytx Monitor transmitted traffic only目的端口（默认只接收镜像流量，属于自身的一切流量被截断）sw4(config)#monitor session 1 destination interface fastEthernet 0/11 ?, Specify another range of interfaces- Specify a range of interfacesencapsulation Set encapsulation for destination interface （抓Trunk链路的包时使用，可以抓到带标签的包）ingress Enable ingress traffic forwarding（如果需要正常接收自身流量，可用ingress vlan [VLANID]）RSPAN命令举例：先创建一个RSPAN VLAN，且保证经过的所有交换机上都必须要有相同的RSPAN VLAN，另外如果开启了VTP修剪可能会导致一些问题，因为这个VLAN不能包含接口。

VLAN号2~1001随便，但不能用扩展VLAN的号码sw4(config)#VLAN 1000sw4(config-vlan)#remote-span验证sw4#show vlan id 1000Remote SPAN VLAN----------------Enabled源交换机上设置monitor session 1 source interface Fa0/12 rxsession后面跟的是进程号，这个号必须保证源目设置一致，source后面可以跟interface，可以跟vlan（高端一点的交换机才支持，2950不支持）rx这里要特别注意，2950、2955交换机如果这里选的是both或者不填默认both，路过的交换机必须比2950、2955更高端！如果是单向（rx 或者tx）则不需要这个要求。

Cisco端口镜象详解(span,vspan,rspan )一、SPAN简介SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN.----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。

利用SPAN技术我们可以把交换机上某些想要被监控端口〔以下简称受控端口〕的数据流COPY 或MIRROR一份，发送给连接在监控端口上的流量分析仪，比方CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和监控端口可以在同一台交换机上〔本地SPAN〕，也可以在不同的交换机上〔远程SPAN〕。

二、名词解释SPAN Session--SPAN会话SPAN会话是指一组受控端口与一个监控端口之间的数据流。

可以同时对多个端口的进入流量或是一个端口的外出流量进展监控，也可以对VLAN所有端口的进入流量进展监控，但不能同时对多个端口的外出流量及VLAN的外出流量进展监控，可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，但只要相关的接口被翻开，SPAN就会变为活动的。

监控端口最好是>=受控端口的带宽，否那么可能会出现丢包的情况。

SPAN Traffic--SPAN的流量使用本地SPAN可以监控所有的网络流量，包括multicast、bridge protocol data unit (BPDU)，和CDP、VTP、DTP、STP、PagP、LACP packets. RSPAN不能监控二层协议。

Traffic Types--流量类型被监控的流量类型分为三种，Receive (Rx) SPAN 受控端口的接收流量，Transmit (Tx) SPAN 受控端口的发送流量，Both 一个受控端口的接收和发送流量。

Source Port--SPAN会话的源端口〔也就是monitored port-即受控端口〕受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel，物理端口可以在不同的VLAN中，受控端口如果是VLAN那么包括此VLAN中的所以物理端口，受控端口如果是以太通道那么包括组成此以太通道组的所有物理端口，如果受控端口是一个TRUNK干道端口，那么此TRUNK端口上承载的所有VLAN 流量都会受到监控，也可以使用filter vlan 参数进展调整，只对filter vlan 中指定的VLAN数据流量做监控。

如何在Cisco Catalyst系列交换机上配置镜像（SPAN）端口1.Cisco Catalyst系列交换机，IOS软件在进行网络故障排查、网络数据流量分析的过程中，有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析，而在交换机中设置镜像(SPAN)端口，可以对某些可疑端口进行监控，同时又不影响被监控端口的数据交换。

SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。

它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个VLAN向一个监控端口镜像数据。

SPAN 任务不会影响交换机的正常工作。

当一个SPAN 任务被建立后，根据交换机所处的不同的状态或操纵，任务会处于激活或非激活状态，同时系统会将其记进日志。

通过“show mONitor session”命令可显示SPAN确当前状态。

SPAN数据流主要分为三类：(1)输进数据流(Ingress SPAN)：指被源端口接收进来，其数据副本发送至监控端口的数据流；(2)输出数据流(Egress SPAN)：指从源端口发送出往，其数据副本发送至监控端口的数据流；(3)双向数据流(Both SPAN)：即为以上两种的综合。

在配置SPAN任务时应遵循以下原则：(1)对数据进行监控分析的设备应搭接在监控端口上；(2)冗余链路端口只能作为SPAN任务的源端口；(3)SPAN任务中所有的源端口的被监控方向必须一致；(4)在设置端口为源端口时，假如没有指定数据流的监控方向，默以为双向；(5)当SPAN任务含有多个源端口时，这些端口可以来自不同的VLAN；(6)取消某一个SPAN任务的命令是：no monitor session任务号；(7)取消所有SPAN任务的命令是：no monitor；(8)SPAN任务的目的端口不能参与到天生树的间隔计算中，但由于源端口的BPDU包可以被镜像，所以SPAN目的端口可以监控到来自源端口的BPDU数据包。