找回密码
 注册
首页 ≡≡桌面技术≡≡ 硬件相关 如何做交换机端口镜像配置
返回列表 发新帖

如何做交换机端口镜像配置

灰儿 2006-8-7 22:03:12
先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发 <BR><BR>出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。 <BR>cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。Cisco的SPAN <BR><BR>分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像 <BR><BR>整个或数个VLAN到一个目的端口。 <BR><BR>配置方法: <BR>1. SPAN <BR>(1) 创建SPAN源端口 <BR>monitor session <i>session_number</i> source interface interface-id [, | -] [both | rx | tx] <BR>**<i>session_number</i>,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。 <BR>**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开, <BR><BR>连续的用“-”连接。 <BR>**[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。 <BR><BR>(2)创建SPAN目的端口 <BR>monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL <BR><BR>[ingress]} | ingress vlan vlan id] <BR>**一样的我就不说了。 <BR>**session_number要和上面的一致。 <BR>**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。 <BR>**[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封 <BR><BR>装,其他VLAN封装,ISL则全部封装。 <BR><BR>2.VSPAN <BR>(1)创建VSPAN源VLAN <BR>monitor session session_number source vlan vlan-id [, | -] rx <BR>**一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。 <BR>(2)创建VSPAN目的端口 <BR>monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] <BR>**和SPAN的一样。 <BR><BR><BR>3.RSPAN <BR>RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port ) <BR><BR>?谟煞瓷涠丝诮?渫ü??缱?⒌侥康慕换换?械腣LAN上(一般情况下,这个VLAN是专为镜像而设的,不要作为客户端接入所用),再在目 <BR><BR>的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN被使用,该镜像专用VLAN的信息会被转发到所有的VLAN <BR><BR>主干上,造成网络带宽的浪费,因此要配置VLAN修剪(pruning),另外RSPAN也可以镜像VLAN。 <BR>(1)在源交换机上创建RSPAN源端口 <BR>**同SPAN或VSPAN <BR>(2)在源交换机上创建VSPAN反射端口和目的VLAN <BR>monitor session session_number destination remote vlan vlan-id reflector-port interface <BR>**vlan-id 目的交换机上转为镜像而设的VLAN <BR>**reflector-port interface源交换机上的镜像端口 <BR>(3)在目的交换机上创建VSPAN源VLAN <BR>monitor session session_number source remote vlan vlan-id <BR>**vlan-id就是上面的镜像专用VLAN <BR>(4)在目的交换机上创建VSPAN目的端口 <BR>monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] <BR>**同SPAN <BR><BR><BR>4.其他 <BR>(1)端口镜像的过滤,端口镜像是可以做Filter的。 <BR>monitor session session_number filter vlan vlan-id [, | -] <BR>**指定源端口进入的流量中,属于哪些VLAN的可以从目的端口发出去。 <BR>(2)删除镜像 <BR>no monitor session {session_number | all | local | remote} <BR>**session_number指定会话号,all是所有镜像,local是本地镜像,remote是远程镜像。 <BR>(3)镜像的目的端口不能正常收发数据,因此不能再作为普通端口使用,可以连接一些网络分析和安全设备,例如装有sniifer的计算机或者Cisco IDS设备。
回复

使用道具 举报

B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册
学习中心
站长自定义文字内容,利用碎片时间,随时随地获取优质内容。
Q设计语言 了解更多
Q Design 提供商家设计所需的指导与资源,帮商家快速完成产品设计、降低生产成本。
学习中心
站长自定义文字内容,利用碎片时间,随时随地获取优质内容。
Q设计语言 了解更多
Q Design 提供商家设计所需的指导与资源,帮商家快速完成产品设计、降低生产成本。
关注管理员之家(admin365.cn),利用碎片时间,随时随地获取优质内容!
关于我们联系我们商务合作寻求报道投稿须知
意见反馈:lxtdj@163.com
稿件投诉:lxtdj@163.com
7×24小时:18805246622
商务合作:18805246622
内容合作QQ:82931570
客服QQ:82931570

关注我们

关注泗洪热线官方微博
微博账号lxtdj@163.com

关注泗洪热线微信公众号
关注泗洪热线,关注泗洪生活
商务合作、媒体邀约
QQ: 82931570
Copyright © 2021 大湖网络 Powered by 管理员之家 - 苏ICP备2023053177号-2
微信扫一扫