SPAN是本地端口镜像用于在单台设备进行一对一端口镜像或多对一端口镜像,将一个或多个端口的流量复制到另外一个端口上,并且还可以在此基础上添加ACL匹配数据流达到更精细化的基于流的端口镜像,此外还可以通过交换机的WEB页面配置SPAN。
RSPAN是远程端口镜像目前有两种使用场景, 第一种是用于单台设备进行一对多端口镜像或者多对多端口镜像,第二种用于在二层的环境下跨越多台设备进行端口镜像。
数据中心交换机
数据中心交换机既可以通过端口镜像功能进行报文捕获,还可以使用PCAP功能进行报文捕获。PCAP(Packet Capture)是一种网络设备支持的抓包功能,类似于个人电脑上的抓包软件。可以将进入交换机或者从交换机发的报文抓取下来保存在文件中或直接显示出来。PCAP可以通过两种方式进行抓包,控制面抓包和转发面抓包。
控制面抓包可以抓取控制面或者某个物理接口下匹配7元组信息(源MAC、目的MAC、二层协议类型、源IP、目的IP、三层协议类型、TCP/UDP端口信息)的报文。
转发面抓包可以抓取匹配ACL规则的报文。
抓取携带VLAN TAG的报文
在排查一些交换机问题时,需要抓取带VLAN TAG的报文。大部分Linux终端或苹果Mac终端无需做任何设置默认可以抓取到携带VLAN TAG的报文。Windows终端的大部分网卡驱动默认会在接收数据包的时候过滤VLAN TAG,使得用Wireshark等软件抓到的数据包中不含VLAN TAG。可以通过修改Windows终端的注册表让驱动保留VLAN TAG,就能抓到带VLAN TAG的报文了。