思科交换机端口镜像配置

mportant">端口镜像概述：

　　端口镜像：简单的说就是把交换机其它端口的信息包复制到另一个端口.在这个端口上接一个电脑,用 Sniffer之类的软件件就可以分析来自镜像端口的信息包.

　　在进行网络故障排查、网络数据流量分析的过程中，有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析，而在交换机中设置镜像（SPAN）端口，可以对某些可疑端口进行监控，同时又不影响被监控端口的数据交换。

　　SPAN（Switched Port Analyzer）的作用主要是为了给某种网络分析器提供网络数据流。它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个VLAN向一个监控端口镜像数据。SPAN 任务不会影响交换机的正常工作。当一个SPAN任务被建立阿后，根据交换机所处的不同的状态或操作，任务会处于激活或非激活状态，同时系统会将其记入日志。通过“show monitor session”命令可显示SPAN的当前状态。

　　SPAN数据流主要分为三类：

输入数据流（Ingress SPAN）：指被源端口接收进来，其数据副本发送至监控端口的数据流；
输出数据流（Egress SPAN）：指从源端口发送出去，其数据副本发送至监控端口的数据流；
双向数据流（Both SPAN）：即为以上两种的综合。

　　在配置SPAN任务时应遵循以下原则：

对数据进行监控分析的设备应搭接在监控端口上；
冗余链路端口只能作为SPAN任务的源端口；
SPAN任务中所有的源端口的被监控方向必须一致；
在设置端口为源端口时，如果没有指定数据流的监控方向，默认为双向；
当SPAN任务含有多个源端口时，这些端口可以来自不同的VLAN；
取消某一个SPAN任务的命令是：no monitor session任务号；
取消所有SPAN任务的命令是：no monitor；
SPAN任务的目的端口不能参与到生成树的距离计算中，但由于源端口的BPDU包可以被镜像，所以SPAN目的端口可以监控到来自源端口的BPDU数据包。

实验：

案例一：SPAN：将端口Gi1/0/8和Gi2/0/8镜像到端口Gi1/0/22

Switch#conf terminal 
Switch(config)#monitor session 1 source interface Gi1/0/8,Gi2/0/8 both    
  #配置镜像源接口，左后一个参数：        
  #both:监听双向数据，默认是both；         
  #rx:监听接收；         
  #tx:监听发送； 
Switch(config)#monitor session 1 destination interface Gi1/0/22 
#查看配置结果 Switch#show monitor session all Session 1 
--------- 
Type                     : Local Session 
Source Ports             :      
    Both                 : Gi1/0/8,Gi2/0/8 
Destination Ports        : Gi1/0/22     
    Encapsulation        : Native           
          Ingress        : Disabled 
          
#删除配置 
Switch#no monitor session 1

　　注意：端口镜像的过滤，端口镜像是可以做Filter的；

#指定源端口进入的流量中，属于哪些VLAN的可以从目的端口发出去 
Switch#conf terminal 
Switch(config)#monitor session 1 filter vlan 82 ?   
,  Specify another range of VLANs   
-  Specify a range of VLANs   
<cr> 
Switch#conf terminal

案例二：VSPAN：将端口VLAN 82镜像到端口Gi1/0/22

Switch#conf terminal 
Switch(config)#monitor session 1 source vlan 82 both 
Switch(config)#monitor session 1 destination interface Gi1/0/22 
#查看配置结果 
Switch#show monitor session all 
Session 1 
--------- 
Type                     : Local Session 
Source VLANs             : 
    Both                 : 82 
Destination Ports        : Gi1/0/22     
    Encapsulation        : Native           
          Ingress        : Disabled

案例三：RSPAN

　　RSPAN的配置较为复杂，其流程可以看成是交换机把镜像的端口流量复制一份，然后发到本机的一个反射端口上（reflector-port），由反射端口将其通过网络转发到目的交换机中的VLAN上。（一般情况下，这个VLAN是专门为镜像而设的，不要作为客户端接入所用）；再在目的交换机中配置VSPAN，将改VLAN的流量镜像到目的端口。要注意，镜像专用VLAN的信息会被转发到所有的VLAN主干上，造成网络带宽的浪费，因此要配置VLAN修剪（pruning），另外RSPAN也可以镜像VLAN。

　　1、在源交换机上创建RSPAN源端口

　　2、在源交换机上创建VSPAN反射端口和目的VLAN

Switch(config)#monitor session 1 destination remote vlan 82 reflector-port interface     
#vlan-id：目的交换机上专为镜像而创建的VLAN     
#reflector-port interface：源交换机上的镜像端口

　　3、在目的交换机上创建VSPAN源VLAN

Switch(config)#monitor session 2 source remote vlan 82     
#vlan-id：专为镜像而创建的VLAN

　　4、在目的交换机上创建VSPAN目的端口

Switch(config)#monitor session 2 destination interface Gi1/0/22 ?   
,              Specify another range of interfaces   
-              Specify a range of interfaces   encapsulation  Set encapsulation for destination interface   
ingress        Enable ingress traffic forwarding   
<cr>

#源交换机 
Switch#conf terminal 
Switch(config)#vlan 100 Switch(config-vlan)#remote-span 
Switch(config)#monitor session 1 source interface Fa0/12 rx    
#session后面跟的是进程号，这个号必须保证源目设置一致，source后面可以跟interface，可以跟vlan（高端一点的交换机才支持，2950不支持） 
Switch(config)#monitor session 1 destination remote vlan 1000 reflector-port Fa0/10 
#reflector-port 纠结了一阵子，看闫辉的视频是不需要reflector-port的，但查了下真机，2950和3550都必须要设置，这个端口用来把流量反射到RSPAN VLAN里，但奇怪的是，这个端口不属于RSPAN VLAN，另外这个端口建议使用闲置的端口来做，最好是没插线，当我看到交换机上没插线的F0/10居然灯亮了，感觉超诡异的。 
#目的交换机 
Switch(config)#monitor session 1 source remote vlan 100 
Switch(config)#monitor session 1 destination interface Fa0/12

参考文档：https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swspan.html

在交换以太网的环境下，一般两台工作站之间的通讯是不会被第三者侦听到的。在某些情况下，我们可能会需要进行这样的侦听，如：协议分析、流量分析、入侵检测。为此我们可以设置Cisco交换机的SPAN (Switched Port Analyzer交换端口分析器)特性, 或早期的“端口镜像”、“监控端口”功能。侦听的对象可以是一个或多个交换机端口，或者整个VLAN。如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端口”)在同一台交换机上，我们只需配置SPAN; 如果不在同一台交换机上，需要配置RSPAN (Remote SPAN)。

把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因

幻灯片2.JPG