Layer2-9 SPAN

session 1 SPAN
    SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。

session 2 本地span
拓扑如下：

      现在需要监控PC1的流量，可以在与PC1同一台交换机上接入一台PC2使用抓包软件，或者直接接入一套流量分析仪器，来进行抓取PC1的流量，使用span技术在同一台SW中将PC1连接的端口的流量复制一份到PC2连接的端口上，然后在PC2连接SW的端口上抓取复制的PC1的流量（做了span后PC2的端口将不能转发数据只能查看PC1的流量）
做法：将SW1的2号端口的流量复制到SW1的3号端口，然后使用PC2抓取3号口的流量，配置：
SW1(config)#monitor session 1 source interface f0/2 both   创建一个monitor监控会话，监控的源端口为f0/2，监控该端口的流量为both双向（可以选择单向流量）
SW1(config)#monitor session 1 source interface f0/3 both   创建一个monitor监控会话，将监控的源端口（f0/2）的流量复制目到端口为f0/3
然后在PC2上使用抓包工具就可以抓到[C1的流量了
span除了可以抓接口流量，也可以直接抓vlan的流量
SW1(config)#monitor session 1 source vlan 71 both

session 3 远程SPAN技术
      当PC1与PC2分别在SW1和SW2上并且两台交换机之间是trunk链路的话是不能使用本地span来抓取流量，因为会时trunk口失效（做目的端口），所以需要使用远程span技术来实现流量的抓取，原理是在SW1、SW2上分别创建一个单独的vlan（比如vlan99），先将PC1的流量引入vlan99，然后通过trunk将vlan99的流量传输到SW2，然后在将vlan99的流量复制到SW2的f0/1口，使用PC2抓取SW2的f0/1口流量来实现。

SW1与SW2之间有trunk，使用PC2抓取PC1的流量，配置如下：
SW1上：
SW1(config)#vlan 99
SW1(config-if)#exit
SW1(config)#interface vlan 99
SW1(config-if)#remote-span
SW1(config-if)#exit
SW1(config)#interface f0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 99
SW1(config-if)#exit
SW1(config)#monitor session 1 source interface f0/1
SW1(config)#monitor session 1 destination remote vlan 99   将f0/1流量引入vlan99
SW2上：
SW2(config)#vlan 99
SW2(config-if)#exit
SW2(config)#interface vlan 99
SW2(config-if)#exit
SW2(config)#monitor session 1 source remote vlan 99
SW2(config)#monitor session 1 destination interface f0/1     把vlan99流量复制到f0/1接口
这样就实现了在SW2上抓取SW1上PC的流量

补充：
（在3550上不支持直接将流量扔到vlan99中，而是要流量扔到指定的一个物理接口上，再由该物理接口将流量反射进vlan99中，所以在3550上使用远程span会额外的浪费一个物理接口，配置也改变为：
SW1(config)#monitor session 1 destination remote vlan 99  reflector-port f0/2    
将f0/1流量引入f0/2再由f0/2反射进vlan99，f0/1、f0/2都不能转发数据，因为硬件问题导致的，3560以后的就没有这个问题了）