SPAN总结

SPAN

1、为什么需要端口镜像 ?
   在进行网络故障排查、网络数据流量分析的过程中，有时需要对网络节点或骨干交换机的某些端口进行数据流量监控分析，而在交换机中设置镜像(SPAN)端口，可以对某些可疑端口进行监控，同时又不影响被监控端口的数据交换。
通常为了部署 IDS 产品需要监听网络流量，但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听，类似于旁路模式部署。

2、SPAN应用场景：

    1) IPS/IDS的passive模式（旁路部署），需要引入流量

    2）抓包/网管/故障排除

    3）IDS NM-CIDS背板获取数据分析

3、SPAN的分类

SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个 VLAN向一个监控端口镜像数据。SPAN 任务不会影响交换机的正常工作。当一个SPAN任务被建立后，根据交换机所处的不同的状态或操作，任务会处于激活或非激活状态，同时系统会将其记入日志。 通过“show monitor session”命令可显示SPAN的当前状态。

 

4、类似于SPAN的镜像方法：

HUB

Network Trap（网络设备，专门获取流量）

SPAN RSPAN

IP Traffic Export（router上的SPAN）

Router backplane（router上的分析模块）

5、SPAN数据流主要分为三类：
(1)输入数据流(Ingress SPAN)：指被源端口接收进来，其数据副本发送至监控端口的数据流；
(2)输出数据流(Egress SPAN)：指从源端口发送出去，其数据副本发送至监控端口的数据流；
(3)双向数据流(Both SPAN)：即为以上两种的综合。

6、SPAN的抓包方式：接口，VLAN 2种

   SPAN的抓包方向：tx（出），rx（入，基于vlan内抓取数据只支持rx方式，vlan数据抓一次即可），both（vlan下是抓2遍数据）

7、SPAN任务时应遵循的原则：
(1)对数据进行监控分析的设备应搭接在监控端口上；
(2)冗余链路端口只能作为SPAN任务的源端口；
(3)SPAN任务中所有的源端口的被监控方向必须一致；
(4)在设置端口为源端口时，如果没有指定数据流的监控方向，默认为双向；
(5)当SPAN任务含有多个源端口时，这些端口可以来自不同的VLAN；
(6)取消某一个SPAN任务的命令是：no monitor session任务号；
(7)取消所有SPAN任务的命令是：no monitor ；
(8)SPAN任务的目的端口不能参与到生成树的距离计算中，但由于源端口的BPDU包可以被镜像，所以SPAN目的端口可以监控到来自源端口的BPDU数据包。

 

8、配置：

    1）基于端口SPAN

    Monitor session 1 source interface f0/1 both

    Monitor session 1 destination interface f0/2  

//将端口f0/1的数据副本发送到f0/3端口

2）VSPAN—基于vlan的SPAN

Monitor session 1 source vlan 1,2,4-6 rx

Monitor session 1 destination interface f0/3 ingress vlan 2

//抓取vlan2,3,4,5,6的数据，当IPS检测到攻击流量时 将会reset vlan2的TCP链接

    3）将流量引导vlan上

    Monitor session 1 source vlan 2,3 rx

    Monitor seesion 1 destination interface encapsulation dot1q ingress vlan 2

//当IPS检测到攻击时，去reste任何vlan的TCP连接

    4）监控trunk端口上vlan

    No monitor session all

    Monitor session 1 source interface f0/2 – 3 rx //f0/2是trunk封装端口

    Monitor session 1 filter vlan 2 ,3   //过滤vlan2，3的流量

    Monitor session 1 destination interface f0/10

    5）RSPAN   toplogy：ASA-SW1—SW2-4200 IPS

SW1：

vlan100

    #remote-span

    Monitor session 1 source interface f0/1 both

    Monitor session 1 destination remote vlan 100

SW2：f0/1口封装trunk

    Monitor session source remote vlan 100

    Monitor session destination interface f0/2

查看monitor启用状态：show interface f0/2 ，看到line protocol 是down状态，但后缀是monitoring，则已启用

    混合SPAN则基于RSPAN删除remote-vlan那句配置

 

若想释放该SPAN任务，输入如下命令： no monitor session 1

或是全局下 no monitor session all 去掉全局所有session

以下语句显示如何检验SPAN任务的配置结果： show monitor session 1

在配置镜像端口(SPAN)过程中，还应考虑到数据流量过大时，设备的处理速度及端口数据缓存的大小，要尽量减少被监控数据包的丢失。

 CatOS的配置 ：set span 2/2 2/3 both inpkts enable create