android如何设置多个span_「网络工程师」如何防止流量攻击 监控交换流量先发制人...

2308cced95326ecde70f00f0d29c40ff.png

远程/交换接口检测RSPAN/SPAN:SPAN技术主要是用来监控交换机上的数据流,分为两种类型;本地SPAN(Local Switched Port Analyzer)和远程SPAN(Remote SPAN);这些SPAN技术可以把交换机上某些想要被监控端口(也叫受控端口)的数据流COPY(也说MIRROR)一份,发送给连接在监控端口上的数据流分析设备,比如IDS或是装了SNIFFER工具的主机;受控端口和监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(RSPAN)。

▶SPAN监控数据流类型分为三种:

inbound SPAN:受控端口的接收流量。

outbound SPAN:受控端口的发送流量。

Both SPAN:一个受控端口的接收和发送流量。

▶SPAN端口类型

*Source Port--SPAN源端口,也叫监控/受控端口(monitored port);受控端口可以是实际的物理端口、VLAN、以太信道EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所以物理端口,受控端口如果是以太信道则包括组成此以太信道的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filter vlan 参数进行调整,只对指定的VLAN数据流量做监控。

*Destination Port--SPAN目的端口,监控端口,连监控设备用的;监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN中使用,监控端口不参与其它的二层协议,如:CDP、VTP、DTP等。

▶Reflector Port--反射端口

*反射端口只在RSPAN中使用与RSPAN中的受控端口在同一台交换机上(监控端口不在这台交换机上),是用来将本地的受控端口数据流转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口。

*反射端口不能属于任何一个VLAN

*RSPAN中还要使用一个专用的VLAN来转发流量,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。

注:在使用RSPAN VLAN的时候,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用1002-1005,这是保留给令牌环和FDDI的,如果是2-1001的标准VLAN,则只要在VTP Server上创建即可(将交换机VTP模式设为Transparent后全部手工创建也可以),其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要在所有交换机上创建此专用VLAN;反射端口的带宽最好大于等于受控端口的带宽,否则可能会出现丢包的情况。

▶SPAN的4种模式:

*SPAN:源端口和目标端口都在同一交换机,源端口可以是一或多个交换机端口.

*基于VLAN的交换式端口分析器(VSPAN):SPAN的一种变体,源端口不是物理端口,而是VLAN.

*远程交换式端口分析器(RSPAN):源端口和目标端口处于不同的交换机.

*增强SPAN;ERSPAN ---- Enhanced Remoted SPAN

注:监控端口不参与很多通信!并会对其他一些通信产生影响!反射端口影响小些,但也会有问题。大部分错误都是由这个引起的。

利用SPAN监控VLAN时,只能监控VLAN中所有活动端口接收的流量,如果监控端口也属于属于此VLAN,则此端口不在监控范围内。

利用SPAN监控VLAN时,不监控VLAN间的路由数据,比如我开个SPAN监控一台三层交换机某个VLAN的inbound方向的数据流(也只能是这个方向),当一个数据流被从其他VLAN路由到此VLAN时,此数据流不在监控范围内。

配置了端口安全的端口(如最大地址学习数等)不能设置为监控端口。

本地SPAN必须在一台交换机上用,RSPAN必须不在一台交换机上用!


扫码关注公众号【网络工程师集中营】

回复关键词“太阁”

领取课程!

368bcd19f4060a73bb4c0ebb9ccc3f29.png
685136e9f86b6803a8f5b6ec58f0b5c6.png
表情包
插入表情
评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符
©️2020 CSDN 皮肤主题: 1024 设计师:白松林 返回首页