<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />
以下内容摘自笔者即将在一出版社出版上市的新书<Cisco/H3C交换机配置与管理完全手册》一书。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
<?xml:namespace prefix = u1 />大家可以针对我的这种写法提出自己的意见。13.1.4 本地SPAN和远程SPAN监控原理
本地SPAN在同一个交换机上支持源端口(source port)、源VLAN(source VLAN)和目标端口(destination port)。本地SPAN从位于同一交换机上的一个或者多个任一VLAN中的源端口,或者从一个或者多个VLAN中复制通信到目标端口,用于数据包分析。
例如,在图13-5中,在以太网端口5(E5)上的通信被复制到以太网端口10(E10)上。E5是作为源端口,E10是作为目标端口的。安装了各类Sniffer(嗅探)工具的PC(担当网络分析仪角色)机直接连接到E10端口上,这样它可以接收在E5端口上所有的网络通信,而不用直接连接到E5端口。
![](https://i-blog.csdnimg.cn/blog_migrate/9614325e0f32d65967a50ab0c7ca63ce.png)
图
13-5 SPAN
监控示例
RSPAN源中的通信通过反射器端口复制到RSPAN VLAN,然后通过承载RSPAN VLAN通信的中继端口转发到任何RSPAN目标会话来实现监控RSPAN VLAN通信,如图13-6所示。图13-6中左、右两端的两个RSPAN VLAN其实分别叫目标RSPAN VLAN和源RSPAN VLAN。这样就形成了RSPAN源会话和RSPAN目标会话中都各有源,有目标。
![](https://i-blog.csdnimg.cn/blog_migrate/0d9799fc829d6fbedafae0daa82c67e5.png)
图
13-6 RSPAN
配置示例
SPAN和RSPAN不会影响源端口的网络数据交换,只是源端口接收和发送的数据包副本发送到目标端口上。反射器端口和目标端口除了接收SPAN或者RSPAN会话所需的通信外,不会接收和转发其他通信。在SPAN目标端口上也可以流入网络安全设备发来的通信,这就是后面在介绍具体配置时所介绍的入口通信转发(ingress traffic forwarding)。例如,如果你在目标端口上连接一个IDS设备,则这个IDS设备可以发送TCP请求怀疑是***发起的TCP会话。但在RSPAN目标端口上不能使用入口通信转发。
在如图13-7所示图中,Switch D是作为目标交换机(目标端口所在的交换机),而Switch A和Switch B交换机是作为源交换机(源端口或者源VLAN所在的交换机)的,Switch C是作为连接源交换机与目标交换机作用的中间交换机。每个RSPAN会话是由用户指定的一个RSPAN VLAN来承载的,这个RSPAN VLAN是所有参与RSPAN监控交换机专用的。也就是RSPAN是通过专门的VLAN进行通信复制和转发的。不要在RSPAN VLAN中配置任何除用于承载RSPAN VLAN通信的反射器端口外的其他端口,RSPAN VLAN也不会启用MAC地址学习功能。本地SPAN和RSPAN不会监控在源中继上RSPAN VLAN中的RSPAN通信。
图
13-7 RSPAN
监控示例