本地SPAN和远程SPAN监控原理
以下内容摘自笔者即将上市的新书<Cisco/H3C交换机配置与管理完全手册》一书。
大家可以针对我的这种写法提出自己的意见。13.1.4 本地SPAN和远程SPAN概述
本地SPAN在同一个交换机上支持源端口(source port)、源VLAN(source VLAN)和目标端口(destination port)。本地SPAN从位于同一交换机上的一个或者多个任一VLAN中的源端口,或者从一个或者多个VLAN中复制通信到目标端口,用于数据包分析。
例如,在图13-5中,在以太网端口5(E5)上的通信被复制到以太网端口10(E10)上。E5是作为源端口,E10是作为目标端口的。安装了各类Sniffer(嗅探)工具的PC(担当网络分析仪角色)机直接连接到E10端口上,这样它可以接收在E5端口上所有的网络通信,而不用直接连接到E5端口。
图13-5 SPAN监控示例
RSPAN(远程SPAN)支持位于不同交换机上的源端口、源VLAN和目标端口,提供通过网络进行多个交换机的远程监控。
RSPAN源中的通信通过反射器端口复制到RSPAN VLAN,然后通过承载RSPAN VLAN通信的中继端口转发到任何RSPAN目标会话来实现监控RSPAN VLAN通信,如图13-6所示。图13-6中左、右两端的两个RSPAN VLAN其实分别叫目标RSPAN VLAN和源RSPAN VLAN。这样就形成了RSPAN源会话和RSPAN目标会话中都各有源,有目标。
图13-6 RSPAN配置示例
SPAN和RSPAN不会影响源端口的网络数据交换,只是源端口接收和发送的数据包副本发送到目标端口上。反射器端口和目标端口除了接收SPAN或者RSPAN会话所需的通信外,不会接收和转发其他通信。在SPAN目标端口上也可以流入网络安全设备发来的通信,这就是后面在介绍具体配置时所介绍的入口通信转发(ingress traffic forwarding)。例如,如果你在目标端口上连接一个IDS设备,则这个IDS设备可以发送TCP请求怀疑是黑客发起的TCP会话。但在RSPAN目标端口上不能使用入口通信转发。
在如图13-7所示图中,Switch D是作为目标交换机(目标端口所在的交换机),而Switch A和Switch B交换机是作为源交换机(源端口或者源VLAN所在的交换机)的,Switch C是作为连接源交换机与目标交换机作用的中间交换机。每个RSPAN会话是由用户指定的一个RSPAN VLAN来承载的,这个RSPAN VLAN是所有参与RSPAN监控交换机专用的。也就是RSPAN是通过专门的VLAN进行通信复制和转发的。不要在RSPAN VLAN中配置任何除用于承载RSPAN VLAN通信的反射器端口外的其他端口,RSPAN VLAN也不会启用MAC地址学习功能。本地SPAN和RSPAN不会监控在源中继上RSPAN VLAN中的RSPAN通信。
图13-7 RSPAN监控示例
来自源端口或者源VLAN的RSPAN通信被交换到RSPAN VLAN中,然后再转发到位于RSPAN VLAN中的目标端口上。一个RSPAN会话中的源(包括端口或者VLAN)可以因不同源交换机而不同(也就是说有的源交换机可以仅是源端口,有的可以仅是源VLAN),但是在每个RSPAN源交换机中的所有源都必须相同,也就是每个RSPAN源交换机必须要么是源端口,要么是源VLAN,不能同时有。