简介交换式端口分析器(SPAN),分析经过某个本地端口或VLAN的流量信息.SPAN发送一份流量的拷贝给连接安全设备的交换机端口.但是,一旦启用了SPAN,VSPAN或RSPAN,目标端口的STP作就被禁止,可能会造成环路.另外,配置RSPAN之前要先定义一个RSPAN专用的VLAN(

Remote-probe VLAN).如果在VTP服务器上配置了RSPAN VLAN,那么VTP服务器自动将正确的信息传播给其他中间交换机;否则要确保每台中间交换机都配置的有RSPAN VLAN.
SPAN的模式:
1.SPAN:源端口和目标端口都处于同一交换机,并且源端口可以是一个或多个交换机端口.

2.基于VLAN的交换式端口分析器(VSPAN):SPAN的一种变体,源端口不是物理端口,而是VLAN.
3.远程交换式端口分析器(RSPAN):即远程端口镜像,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。

4. ERSPAN (Enhanced Remoted SPAN )增强SPAN,与SPAN类似,支持位于不同交换机上的源端口、源VLAN和目标端口,甚至于跨越第3层边界,提供了远程监控跨越交换或路由网络的多台 交换机的方法。每个ERSPAN通过GRE隧道承载SPAN流量。

结合下图来分析一下RSPAN的工作流程:

实现RSPAN功能的交换机分为三种:

源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。

中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。

目的交换机:远程镜像目的端口所在的交换机,将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。

各种交换机参与镜像的端口及其作用分析:

下面通过一个小的案例来深刻理解一下RSPAN的配置流程:

【实验拓扑】

【实验设备】

 H3C 2层交换机三台

 测试PC2台(一台位于源端口、一台在监控端口)

 防火墙一台(位于源端口,启用ftp功能,测试用)

【配置参考】

源交换机SW3

system-view

vlan 10

remote-probe vlan enable

quit

interface ethernet1/0/24

port link-type trunk

port trunk permit vlan 10

quit

mirroring-group 1 remote-source

mirroring-group 1 mirroring-port ethernet1/0/10 ethernet1/0/20 outbound

mirroring-group 1 reflector-port ethernet1/0/5

mirroring-group 1 remote-probe vlan 10

中间交换机SW2

system-view

vlan 10

quit

interface ethernet1/0/24

port trunk permit vlan 10

quit

interface ethernet1/0/23

port link-type trunk

port trunk permit vlan 10

监控交换机SW1

system-view

vlan 10

remote-probe vlan enable

quit

interface ethernet1/0/23

port link-type trunk

port trunk permit vlan 10

quit

mirroring-group 1 remote-destination

mirroring-group 1 monitor-port ethernet1/0/2

mirroring-group 1 remote-probe vlan 10

【验证分析】

①在监控交换机端的PC机上启用Vireshark抓包工具。

②在连接源交换机端的防火墙上接口上配上IP.

③在连接源交换机端的防火墙上启用ftp功能,并建一个ftp账号。

④在连接源交换机端的测试PC上ftp防火墙。

抓包结果如下图: