【原理】

SPAN技术主要是用来监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN),实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪

SPAN,全称为Switched Port Analyzer,直译为交换端口分析器。是一种交换机的端口镜像技术。作用主要是为了给某种网络分析器提供网络数据流,SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。

RSPANRemote SPAN),即远程SPAN,和SPAN类似,但可以跨越交换网络为多层交换机提供远程监控。

【实验拓扑】

远程端口镜像(span)和本地端口镜像(rspan)_第1张图片

【实验环境】

交换机  华为 S2000 *3

防火墙  H3C F100-C *2

虚拟机  rhel-server-5.4-i386-dvd.iso *1

【实验配置】

[sw3]dis cu

#

sysname sw3

#

mirroring-group 1 remote-source

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 10

remote-probe vlan enable

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5                  

duplex full                              

speed 100                                

mirroring-group 1 reflector-port        

#                                        

interface Ethernet1/0/6                  

#                                        

interface Ethernet1/0/7                  

#                                        

interface Ethernet1/0/8                  

#                                        

interface Ethernet1/0/9                  

#                                        

interface Ethernet1/0/10                  

mirroring-group 1 mirroring-port inbound

#                                        

interface Ethernet1/0/11                  

#                                        

interface Ethernet1/0/12                  

#                                        

interface Ethernet1/0/13                  

#                                        

interface Ethernet1/0/14                  

#                                        

interface Ethernet1/0/15                  

#                                        

interface Ethernet1/0/16                  

#                                        

interface Ethernet1/0/17                  

#                                        

interface Ethernet1/0/18                  

#                                        

interface Ethernet1/0/19                  

#                                        

interface Ethernet1/0/20                  

mirroring-group 1 mirroring-port outbound

#                                        

interface Ethernet1/0/21                  

#                                        

interface Ethernet1/0/22                  

#                                        

interface Ethernet1/0/23                  

port link-type trunk                    

port trunk permit vlan 1 10              

#                                        

interface Ethernet1/0/24                  

#                                        

interface NULL0                          

#                                        

mirroring-group 1 remote-probe vlan 10  

#                                        

user-interface aux 0                      

user-interface vty 0 4                    

#                                        

return                                    

[sw2]dis cu

#

sysname sw2

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 10

remote-probe vlan enable

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6                  

#                                        

interface Ethernet1/0/7                  

#                                        

interface Ethernet1/0/8                  

#                                        

interface Ethernet1/0/9                  

#                                        

interface Ethernet1/0/10                  

#                                        

interface Ethernet1/0/11                  

#                                        

interface Ethernet1/0/12                  

#                                        

interface Ethernet1/0/13                  

#                                        

interface Ethernet1/0/14                  

#                                        

interface Ethernet1/0/15                  

#                                        

interface Ethernet1/0/16                  

#                                        

interface Ethernet1/0/17                  

#                                        

interface Ethernet1/0/18                  

#                                        

interface Ethernet1/0/19                  

#                                        

interface Ethernet1/0/20                  

#                                        

interface Ethernet1/0/21                  

#                                        

interface Ethernet1/0/22                  

#                                        

interface Ethernet1/0/23                  

port link-type trunk                    

port trunk permit vlan 1 10              

#                                        

interface Ethernet1/0/24                  

port link-type trunk                    

port trunk permit vlan 1 10              

#                                        

interface NULL0                          

#                                        

user-interface aux 0                      

user-interface vty 0 4                    

#                                        

return                                    

[sw1]dis cu

#

sysname sw1

#

mirroring-group 1 remote-destination

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 10

remote-probe vlan enable

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5                  

#                                        

interface Ethernet1/0/6                  

#                                        

interface Ethernet1/0/7                  

#                                        

interface Ethernet1/0/8                  

#                                        

interface Ethernet1/0/9                  

#                                        

interface Ethernet1/0/10                  

#                                        

interface Ethernet1/0/11                  

#                                        

interface Ethernet1/0/12                  

#                                        

interface Ethernet1/0/13                  

#                                        

interface Ethernet1/0/14                  

#                                        

interface Ethernet1/0/15                  

#                                        

interface Ethernet1/0/16                  

#                                        

interface Ethernet1/0/17                  

#                                        

interface Ethernet1/0/18                  

#                                        

interface Ethernet1/0/19                  

#                                        

interface Ethernet1/0/20                  

#                                        

interface Ethernet1/0/21                  

#                                        

interface Ethernet1/0/22                  

#                                        

interface Ethernet1/0/23                  

port link-type trunk                    

port trunk permit vlan 1 10              

#                                        

interface Ethernet1/0/24                  

port access vlan 10                      

mirroring-group 1 monitor-port          

#                                        

interface NULL0                          

#                                        

mirroring-group 1 remote-probe vlan 10  

#                                        

user-interface aux 0                      

user-interface vty 0 4                    

#                                        

return                                    

dis cu

#

sysname pc1

#

firewall packet-filter enable

firewall packet-filter default permit

#

insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

#

interface Aux0

async mode flow

#

interface Ethernet0/0                    

ip address 192.168.2.4 255.255.255.0    

#                                        

interface Ethernet0/1                    

#                                        

interface Ethernet0/2                    

#                                        

interface Ethernet0/3                    

#                                        

interface Ethernet0/4                    

#                                        

interface Encrypt1/0                      

#                                        

interface NULL0                          

#                                        

firewall zone local                      

set priority 100                        

#                                        

firewall zone trust                      

add interface Ethernet0/0                

set priority 85                          

#                                        

firewall zone untrust                    

set priority 5                          

#                                        

firewall zone DMZ                        

set priority 50                          

#                                        

firewall interzone local trust            

#                                        

firewall interzone local untrust          

#                                        

firewall interzone local DMZ              

#                                        

firewall interzone trust untrust          

#                                        

firewall interzone trust DMZ              

#                                        

firewall interzone DMZ untrust            

#                                        

FTP server enable                        

#                                        

user-interface con 0                      

user-interface aux 0                      

user-interface vty 0 4                    

authentication-mode scheme              

#                                        

return                        

dis cu

#

sysname pc2

#

firewall packet-filter enable

firewall packet-filter default permit

#

insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

local-user user1

password simple 123

service-type ftp

#

interface Aux0                            

async mode flow                          

#                                        

interface Ethernet0/0                    

ip address 192.168.2.5 255.255.255.0    

#                                        

interface Ethernet0/1                    

#                                        

interface Ethernet0/2                    

#                                        

interface Ethernet0/3                    

#                                        

interface Ethernet0/4                    

#                                        

interface Encrypt1/0                      

#                                        

interface NULL0                          

#                                        

firewall zone local                      

set priority 100                        

#                                        

firewall zone trust                      

add interface Ethernet0/0                

set priority 85                          

#                                        

firewall zone untrust                    

set priority 5                          

#                                        

firewall zone DMZ                        

set priority 50                          

#                                        

firewall interzone local trust            

#                                        

firewall interzone local untrust          

#                                        

firewall interzone local DMZ              

#                                        

firewall interzone trust untrust          

#                                        

firewall interzone trust DMZ              

#                                        

firewall interzone DMZ untrust            

#                                        

FTP server enable                        

#                                        

user-interface con 0                      

user-interface aux 0                      

user-interface vty 0 4                    

authentication-mode scheme              

#                                        

return                            

【实验测试】

安装抓包工具

远程端口镜像(span)和本地端口镜像(rspan)_第2张图片

登录ftp远程端口镜像(span)和本地端口镜像(rspan)_第3张图片远程端口镜像(span)和本地端口镜像(rspan)_第4张图片

本地

【实验拓扑】

远程端口镜像(span)和本地端口镜像(rspan)_第5张图片

【实验环境】

交换机  华为 S2000

防火墙  H3C F100-C

虚拟机  rhel-server-5.4-i386-dvd.iso

【实验配置】

dis cu

#

sysname Quidway

#

mirroring-group 1 local

#

radius scheme system

#

domain system

#

vlan 1

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#                                        

interface Ethernet1/0/7                  

#                                        

interface Ethernet1/0/8                  

#                                        

interface Ethernet1/0/9                  

#                                        

interface Ethernet1/0/10                  

mirroring-group 1 mirroring-port both    

#                                        

interface Ethernet1/0/11                  

#                                        

interface Ethernet1/0/12                  

#                                        

interface Ethernet1/0/13                  

#                                        

interface Ethernet1/0/14                  

#                                        

interface Ethernet1/0/15                  

#                                        

interface Ethernet1/0/16                  

#                                        

interface Ethernet1/0/17                  

#                                        

interface Ethernet1/0/18                  

#                                        

interface Ethernet1/0/19                  

#                                        

interface Ethernet1/0/20                  

mirroring-group 1 mirroring-port both    

#                                        

interface Ethernet1/0/21                  

#                                        

interface Ethernet1/0/22                  

#                                        

interface Ethernet1/0/23                  

#                                        

interface Ethernet1/0/24                  

mirroring-group 1 monitor-port          

#                                        

interface NULL0                          

#                                        

user-interface aux 0                      

user-interface vty 0 4                    

#                                        

return    

dis cu

#

sysname pc1

#

firewall packet-filter enable

firewall packet-filter default permit

#

insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

#

interface Aux0

async mode flow

#

interface Ethernet0/0                    

ip address 192.168.2.4 255.255.255.0    

#                                        

interface Ethernet0/1                    

#                                        

interface Ethernet0/2                    

#                                        

interface Ethernet0/3                    

#                                        

interface Ethernet0/4                    

#                                        

interface Encrypt1/0                      

#                                        

interface NULL0                          

#                                        

firewall zone local                      

set priority 100                        

#                                        

firewall zone trust                      

add interface Ethernet0/0                

set priority 85                          

#                                        

firewall zone untrust                    

set priority 5                          

#                                        

firewall zone DMZ                        

set priority 50                          

#                                        

firewall interzone local trust            

#                                        

firewall interzone local untrust          

#                                        

firewall interzone local DMZ              

#                                        

firewall interzone trust untrust          

#                                        

firewall interzone trust DMZ              

#                                        

firewall interzone DMZ untrust            

#                                        

FTP server enable                        

#                                        

user-interface con 0                      

user-interface aux 0                      

user-interface vty 0 4                    

authentication-mode scheme              

#                                        

return                        

dis cu

#

sysname pc2

#

firewall packet-filter enable

firewall packet-filter default permit

#

insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

local-user user1

password simple 123

service-type ftp

#

interface Aux0                            

async mode flow                          

#                                        

interface Ethernet0/0                    

ip address 192.168.2.5 255.255.255.0    

#                                        

interface Ethernet0/1                    

#                                        

interface Ethernet0/2                    

#                                        

interface Ethernet0/3                    

#                                        

interface Ethernet0/4                    

#                                        

interface Encrypt1/0                      

#                                        

interface NULL0                          

#                                        

firewall zone local                      

set priority 100                        

#                                        

firewall zone trust                      

add interface Ethernet0/0                

set priority 85                          

#                                        

firewall zone untrust                    

set priority 5                          

#                                        

firewall zone DMZ                        

set priority 50                          

#                                        

firewall interzone local trust            

#                                        

firewall interzone local untrust          

#                                        

firewall interzone local DMZ              

#                                        

firewall interzone trust untrust          

#                                        

firewall interzone trust DMZ              

#                                        

firewall interzone DMZ untrust            

#                                        

FTP server enable                        

#                                        

user-interface con 0                      

user-interface aux 0                      

user-interface vty 0 4                    

authentication-mode scheme              

#                                        

return  

【实验测试】

安装抓包工具

远程端口镜像(span)和本地端口镜像(rspan)_第6张图片

登录ftp

远程端口镜像(span)和本地端口镜像(rspan)_第7张图片

远程端口镜像(span)和本地端口镜像(rspan)_第8张图片