交換式端口分析SPAN

簡介：交換式端口分析器(SPAN),分析通過某個本地端口或VLAN的流量信息.SPAN發送一份流量的拷貝給鏈接安全設備的交換機端口.可是,一旦啓用了SPAN,VSPAN或RSPAN,目標端口的STP做就被禁止,可能會形成環路.另外,配置RSPAN以前要先定義一個RSPAN專用的VLAN(

Remote-probe VLAN).若是在VTP服務器上配置了RSPAN VLAN,那麼VTP服務器自動將正確的信息傳播給其餘中間交換機;不然要確保每臺中間交換機都配置的有RSPAN VLAN.
SPAN的模式:
1.SPAN:源端口和目標端口都處於同一交換機,而且源端口能夠是一個或多個交換機端口.

2.基於VLAN的交換式端口分析器(VSPAN):SPAN的一種變體,源端口不是物理端口,而是VLAN.
3.遠程交換式端口分析器(RSPAN):即遠程端口鏡像，突破了被鏡像端口和鏡像端口必須在同一臺交換機上的限制，使被鏡像端口和鏡像端口能夠跨越網絡中的多個設備，從而方便網管人員對遠程交換機設備進行管理。

4. ERSPAN (Enhanced Remoted SPAN )加強SPAN,與SPAN相似，支持位於不一樣交換機上的源端口、源VLAN和目標端口，甚至於跨越第3層邊界，提供了遠程監控跨越交換或路由網絡的多臺 交換機的方法。每一個ERSPAN經過GRE隧道承載SPAN流量。

結合下圖來分析一下RSPAN的工做流程：

實現RSPAN功能的交換機分爲三種：

●源交換機：被監測的端口所在的交換機，負責將須要鏡像的流量在Remote-probe VLAN上作二層轉發，轉發給中間交換機或目的交換機。

●中間交換機：網絡中處於源交換機和目的交換機之間的交換機，經過Remote-probe VLAN把鏡像流量傳輸給下一個中間交換機或目的交換機。若是源交換機與目的交換機直接相連，則不存在中間交換機。

●目的交換機：遠程鏡像目的端口所在的交換機，將從Remote-probe VLAN接收到的鏡像流量經過鏡像目的端口轉發給監控設備。

各類交換機參與鏡像的端口及其做用分析：

下面經過一個小的案例來深入理解一下RSPAN的配置流程：

【實驗拓撲】

【實驗設備】

 H3C 2層交換機三臺

 測試PC2臺（一臺位於源端口、一臺在監控端口）

 防火牆一臺（位於源端口，啓用ftp功能，測試用）

【配置參考】

源交換機SW3

system-view

vlan 10

remote-probe vlan enable

quit

interface ethernet1/0/24

port link-type trunk

port trunk permit vlan 10

quit

mirroring-group 1 remote-source

mirroring-group 1 mirroring-port ethernet1/0/10 ethernet1/0/20 outbound

mirroring-group 1 reflector-port ethernet1/0/5

mirroring-group 1 remote-probe vlan 10

中間交換機SW2

system-view

vlan 10

quit

interface ethernet1/0/24

port trunk permit vlan 10

quit

interface ethernet1/0/23

port link-type trunk

port trunk permit vlan 10

監控交換機SW1

system-view

vlan 10

remote-probe vlan enable

quit

interface ethernet1/0/23

port link-type trunk

port trunk permit vlan 10

quit

mirroring-group 1 remote-destination

mirroring-group 1 monitor-port ethernet1/0/2

mirroring-group 1 remote-probe vlan 10

【驗證分析】

①在監控交換機端的PC機上啓用Vireshark抓包工具。

②在鏈接源交換機端的防火牆上接口上配上IP.

③在鏈接源交換機端的防火牆上啓用ftp功能，並建一個ftp帳號。

④在鏈接源交換機端的測試PC上ftp防火牆。

抓包結果以下圖：