用sniffer等监控软件监控网络中的流量,需要在交换设备上设置镜像接口,下边以cisco catalyst 35500交换机为例设置镜像接口和被监控的接口:

Catalyst 3550交换机上最多只能设置两个SPAN Session,缺省SPAN没有使用,如果做了设置,缺省情况下,第一个被设为受控端口的接口进出流量都会受到监控,以后再追加的受控端口只会对接收的流量进行监控,监控端口的默认封装类型为Native,也就是没有打VLAN的标记。

1、Configuring SPAN--配置本地SPAN 

Switch(config)# no monitor session 1 //先清除可能已经存在SPAN设置 
Switch(config)# monitor session 1 source interface fastethernet0/10 
//设定SPAN的受控端口 
Switch(config)# monitor session 1 destination interface fastethernet0/20
 //设定SPAN的监控端口

Switch#sh mon 
Session 1 
 --------- 
Type : Local Session 
Source Ports : 
Both : Fa0/10 //注意此处是Both 
Destination Ports : Fa0/20 
Encapsulation : Native 
Ingress: Disabled 
 

Switch(config)# monitor session 1 source interface fastethernet0/11 - 13
 //添加SPAN的受控端口 
Switch#sh mon 
Session 1 
--------- 
Type : Local Session 
Source Ports : 
RX Only : Fa0/11-13 //注意此处是RX Only 
Both : Fa0/10 //注意此处还是Both 
Destination Ports : Fa0/20 
Encapsulation : Native 
Ingress: Disabled 
 

Switch(config)# monitor session 1 destination interface fastethernet0/20 ingress vlan 5
 //设定SPAN的监控端口并启用二层转发 

Switch#sh mon 

Session 1 
--------- 
Type : Local Session 
Source Ports : 
RX Only : Fa0/11-13 
Both : Fa0/10 
Destination Ports : Fa0/20 
Encapsulation : Native 
Ingress: Enabled, default VLAN = 5 //允许正常的流量进入 
Ingress encapsulation: Native


2、VLAN-Based SPAN--基于VLAN的SPAN 
Switch(config)# no monitor session 2 
Switch(config)# monitor session 2 source vlan 101 - 102 rx 
Switch(config)# monitor session 2 destination interface fastethernet0/30 
Switch#sh mon ses 2 
Session 2 
 --------- 
Type : Local Session 
Source VLANs : 
RX Only : 101-102 //注意此处是RX Only 
Destination Ports : Fa0/30 
Encapsulation : Native 
Ingress: Disabled 
Switch(config)# monitor session 2 source vlan 201 - 202 rx 
Switch#sh mo se 2 
Session 2 
--------- 
Type : Local Session 
Source VLANs : 
RX Only : 101-102,201-202 //注意此处多了201-202 
Destination Ports : Fa0/30 
Encapsulation : Native 
Ingress: Disabled

 
3、Specifying VLANs to Filter 
Switch(config)# no monitor session 2 
Switch(config)# monitor session 2 source interface fastethernet0/48 rx 
Switch(config)# monitor session 2 filter vlan 100 - 102 //指定受控的VLAN范围 
Switch(config)# monitor session 2 destination interface fastethernet0/30 
Switch#sh mon ses 2 
Session 2 
 --------- 
Type : Local Session 
Source Ports : 
Both : Fa0/48 
Destination Ports : Fa0/30 
Encapsulation : Native 
Ingress: Disabled 
Filter VLANs : 100-102 //只监控VLAN100-102中的流量

4、Configuring RSPAN--配置远程RSPAN
 
 RSPAN的Session分成RSPAN Source Session和RSPAN Destination Session两部分,所以相应的配置也要分别在Session的源和目的交换机上做。
 
4.1、首先要配置专用的RSPAN VLAN 
Switch(config)# vlan 800 
Switch(config-vlan)# remote-span 
Switch(config-vlan)# end 
sw1#sh vl id 800
 
VLAN Name Status Ports
 
---- -------------------------------- --------- ------------------------------- 
800 VLAN0800 active Fa0/47, Fa0/48 
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 
800 enet 100800 1500 - - - - - 0 0 
Remote SPAN VLAN 
---------------- 
Enabled //注意看此处的提示 
Primary Secondary Type Ports 
------- --------- ----------------- ------------------------------------------ 
4.2、配置RSPAN Source Session 
Switch(config)# no monitor session 1 
Switch(config)# monitor session 1 source interface fastethernet0/10 - 13 
Switch(config)# monitor session 1 source interface fastethernet0/15 rx 
Switch(config)# monitor session 1 destination remote vlan 800 reflector-port fastethernet0/20 
sw1#sh mo se 1
 
Session 1 
--------- 
Type : Remote Source Session 
Source Ports : 
RX Only : Fa0/11-13,Fa0/15 
Both : Fa0/10 
Reflector Port : Fa0/20 
Dest RSPAN VLAN : 800
 
4.3、配置RSPAN Destination Session
 
Switch(config)# monitor session 1 source remote vlan 800 
Switch(config)# monitor session 1 destination interface fastethernet0/30 
Switch(config)# end 
sw2#sh mo se 1 
 Session 1
 
--------- 
Source RSPAN VLAN : 800 
Destination Ports : Fa0/30 
Encapsulation : Native 
Ingress: Disabled