本地SPAN和远程SPAN监控原理

以下内容摘自笔者即将在一出版社出版上市的新书<Cisco/H 3C 交换机配置与管理完全手册》一书。

大家可以针对我的这种写法提出自己的意见。

 

13.1.4 本地SPAN和远程SPAN监控原理

本地 SPAN 在同一个交换机上支持源端口（ source port ）、源 VLAN （ source VLAN ）和目标端口（ destination port ）。本地 SPAN 从位于同一交换机上的一个或者多个任一 VLAN 中的源端口，或者从一个或者多个 VLAN 中复制通信到目标端口，用于数据包分析。

例如，在图 13-5 中，在以太网端口 5 （ E5 ）上的通信被复制到以太网端口 10 （ E10 ）上。 E5 是作为源端口， E10 是作为目标端口的。安装了各类 Sniffer （嗅探）工具的 PC （担当网络分析仪角色）机直接连接到 E10 端口上，这样它可以接收在 E5 端口上所有的网络通信，而不用直接连接到 E5 端口。

图 13-5  SPAN 监控示例

RSPAN （远程 SPAN ）支持位于不同交换机上的源端口、源 VLAN 和目标端口，提供通过网络进行多个交换机的远程监控。

RSPAN 源中的通信通过反射器端口复制到 RSPAN VLAN ，然后通过承载 RSPAN VLAN 通信的中继端口转发到任何 RSPAN 目标会话来实现监控 RSPAN VLAN 通信，如图 13-6 所示。图 13-6 中左、右两端的两个 RSPAN VLAN 其实分别叫目标 RSPAN VLAN 和源 RSPAN VLAN 。这样就形成了 RSPAN 源会话和 RSPAN 目标会话中都各有源，有目标。

图 13-6  RSPAN 配置示例

SPAN 和 RSPAN 不会影响源端口的网络数据交换，只是源端口接收和发送的数据包副本发送到目标端口上。反射器端口和目标端口除了接收 SPAN 或者 RSPAN 会话所需的通信外，不会接收和转发其他通信。在 SPAN 目标端口上也可以流入网络安全设备发来的通信，这就是后面在介绍具体配置时所介绍的入口通信转发（ ingress traffic forwarding ）。例如，如果你在目标端口上连接一个 IDS 设备，则这个 IDS 设备可以发送 TCP 请求怀疑是黑客发起的 TCP 会话。但在 RSPAN 目标端口上不能使用入口通信转发。

在如图 13-7 所示图中， Switch D 是作为目标交换机（目标端口所在的交换机），而 Switch A 和 Switch B 交换机是作为源交换机（源端口或者源 VLAN 所在的交换机）的， Switch C 是作为连接源交换机与目标交换机作用的中间交换机。每个 RSPAN 会话是由用户指定的一个 RSPAN VLAN 来承载的，这个 RSPAN VLAN 是所有参与 RSPAN 监控交换机专用的。也就是 RSPAN 是通过专门的 VLAN 进行通信复制和转发的。不要在 RSPAN VLAN 中配置任何除用于承载 RSPAN VLAN 通信的反射器端口外的其他端口， RSPAN VLAN 也不会启用 MAC 地址学习功能。本地 SPAN 和 RSPAN 不会监控在源中继上 RSPAN VLAN 中的 RSPAN 通信。

 

图 13-7  RSPAN 监控示例

来自源端口或者源 VLAN 的 RSPAN 通信被交换到 RSPAN VLAN 中，然后再转发到位于 RSPAN VLAN 中的目标端口上。一个 RSPAN 会话中的源（包括端口或者 VLAN ）可以因不同源交换机而不同（也就是说有的源交换机可以仅是源端口，有的可以仅是源 VLAN ），但是在每个 RSPAN 源交换机中的所有源都必须相同，也就是每个 RSPAN 源交换机必须要么是源端口，要么是源 VLAN ，不能同时有。

本文出自 “王达博客” 博客，谢绝转载！