1 SPAN、RSPAN及ERSPAN
Cisco Catalyst交换机支持一种转发方式,将一个源接口或源VLAN的所有流量转发至另一个接口。此特性在Cisco文档中称为SPAN(即交换机接口分析),有时也因其配置命令而称为会话监控,该特性对许多应用都有用。SPAN特性可以用来监控流量是否合规、进行数据收集或支持特定的应用。例如,工程师可以将语音VLAN的所有流量转发给一个交换机接口,以方便记录VoIP网络中的通话记录。此特性的另一个常用方式是用在支持入侵检测/防御系统(IDS/IPS)的安全方案中。
SPAN会话可以源于一个或几个接口,也可以源自一个VLAN。这为收集或监控来自一个特定源设备或一整个VLAN的流量提供了极大的灵活性。
在SPAN的操作中,SPAN会话的目的接口可以在本地交换机上。目的接口也可以是网络中其他交换机的接口,这种模式称为远程SPAN或RSPAN。在RSPAN中,工程师必须在从源接口或源VLAN,去往RSPAN目的接口的整个交换路径上,配置一个特定的VLAN;也要求路径中的所有Trunk中都包含这个RSPAN VLAN。图1-7为SPAN案例的拓扑,图1-8为RSPAN案例的拓扑,图1-9为封装远程SPAN(ERSPAN)的拓扑。
本节的信息特别对应于Cisco 3560交换平台:Cisco 3750及许多其他平台使用相同或相似的规则及配置命令。
1.1 SPAN、RSPAN及ERSPAN的核心概念
将SPAN、RSPAN及ERSPAN分解为基本的元素有助于理解,同时也可以帮助读者理解如何配置这些特性。
在SPAN中,工程师可以创建SPAN源,由交换机上至少一个接口或至少一个VLAN组成。在同一台交换机上,工程师可以配置SPAN目的接口。之后交换机会收集SPAN源数据,然后发给SPAN目的。
在RSPAN中,工程师可以创建相同的源类型——至少一个接口或至少一个VLAN。会话的目的为RSPAN VLAN,而不是交换机上的某个接口。在包含RSPAN目的接口的交换机上,RSPAN VLAN数据会被转发给RSPAN接口。
在ERSPAN中,工程师实际上可以封装远程SPAN信息。如名称所示,封装远程SPAN(ERSPAN)会为所有捕获的流量创建GRE(通用路由封装)隧道,并允许其通过第3层字段进行扩展。这是由IOS-XE带来的增强操作特性,可以在如ASR 1000一类的平台中使用,不过Catalyst 6500、7600和Nexus平台也支持ERSPAN。各种监控源包括快速以太网接口、吉比特以太网接口和Port-Channel接口。
无论工程师使用了哪种类型的SPAN,SPAN的源接口都可以是任意类型的接 口——路由接口、物理的交换机接口、Access接口、Trunk接口、EtherChannel接口(无论是物理接口,还是Port-Channel接口)等。在SPAN的源VLAN中,这个VLAN中的所有活动接口都会被监控。无论工程师是向这个VLAN中添加新接口,还是从这个VLAN中移除接口,SPAN源VLAN都会动态更新新接口,或者移除某个接口。还有,SPAN目的接口不能是SPAN源VLAN中的接口。
1.2 限制和条件
SPAN、RSPAN和ERSPAN对于目的接口有诸多限制,其中主要的限制条件包括以下这些。
在工程师配置目的接口时,这个接口以前的配置会被覆盖。如果工程师删除了SPAN配置,这个接口会恢复到以前的配置。
在工程师配置目的接口时,如果这个接口捆绑在某个EtherChannel中,它会自动从EtherChannel中移除;如果这是一个路由接口,SPAN目的接口的配置会覆盖路由接口的配置。
目的接口不支持接口安全特性、802.1x认证或私有VLAN。总的来说,SPAN/RSPAN和802.1x并不兼容。
目的接口不支持任何二层协议,其中包括CDP、生成树、VTP、DTP等。
RSPAN中的目的VLAN也有限制,更多内容可以参考本章“推荐读物”部分给出的参考信息。
SPAN、RSPAN和ERSPAN要想正常工作,还必须满足一系列条件。对于SPAN来说,重要条件包括以下这些。
源可以是一个或多个接口,或者可以是一个VLAN;但不能是两者的混合。
一台交换机上可以配置最多64个SPAN目的接口。
交换接口或路由接口可以配置为SPAN源接口或SPAN目的接口。
小心别让SPAN目的接口超载。一个速率为100Mbit/s的源接口可以轻松地让速率为10Mbit/s的目的接口超载;如果源是一个VLAN的话,它也很轻松地可以让速率为100Mbit/s的目的接口超载。
工程师无法在单个SPAN会话中,向一个目的接口传输来自于以下源接口的混合流量:SPAN源接口、RSPAN源接口、ERSPAN源接口或VLAN。这一限制也导致工程师无法实现以下需求:希望将流量镜像到交换机的本地接口(SPAN模式),同时将流量镜像到另一台交换机的远端接口(RSPAN或ERSPAN模式)。
SPAN目的接口不能再用作源接口,源接口也不能再用作目的接口。
只有一个SPAN/RSPAN/ERSPAN会话的流量能够发送到单个目的接口。
SPAN目的接口不再作为普通的交换接口进行通信。因此它只会传输与SPAN相关的流量。
可以将Trunk接口配置为SPAN或RSPAN会话的源接口。在这种情况中,Trunk上的所有VLAN默认都会被监控;这时工程师可以使用filter vlan命令来指明应该受到监控的VLAN。
从另一个VLAN路由到源VLAN的流量无法被SPAN监控。这很容易理解:只有通过源接口或源VLAN进入或离开交换机的流量才会被转发到SPAN会话中。换句话说,如果流量来自本交换机中的另一个源(比如是从另一个VLAN路由过来的),流量是不会被转发到SPAN的。
SPAN、RSPAN和ERSPAN支持三种类型的流量:发送、接收和收发。默认情况下,SPAN同时作用于进入和离开源接口或源VLAN的流量。但工程师也可以通过配置,使SPAN只监控发送出去的流量,或者只监控接收到的流量。对于这些流量类型,需要满足的条件如下所示。
对于RX(接收)SPAN来说,目标是将所有接收到的流量传输到SPAN目的。因此,交换机会对每个需要通过SPAN连接传输的数据帧进行复制并发送,在此之前并不会对数据帧做出任何修改(比如VACL或ACL过滤、QoS修改,甚至入向或出向限速策略)。
对于TX(发送)SPAN来说,所有相关的过滤或修改行为——比如通过ACL、VACL、QoS或限速策略——都发生在交换机将流量转发到SPAN/RSPAN目的之前。因此,并不是所有发送的流量都必然会被转发到SPAN目的。而且,传输到SPAN目的的数据帧也并不一定与原数据帧完全相同,这要看转发到SPAN目的之前交换机对数据帧应用的策略。
某些类型的二层数据帧是个例外。SPAN/RSPAN通常会忽略CDP、生成树BPDU、VTP、DTP和PAgP帧。但如果工程师配置了encapsulation replicate命令,就可以把这些类型的数据帧随同普通SPAN流量一起转发。
1.3 基本SPAN配置
例1-3中的配置是要将接口Fa0/12发送和接收的流量镜像到接口Fa0/24,也就是接口Fa0/12发出和收到的所有流量都要被发送到Fa0/24。这就是基本流量镜像应用的常见配置。
例1-3 基本PSAN配置案例
MDF-ROC1# configure terminal MDF-ROC1(config)# monitor session 1 source interface fa0/12 MDF-ROC1(config)# monitor session 1 destination interface fa0/24
1.4 复杂SPAN配置
在例1-4中,工程师配置交换机将以下流量发送到Fa0/24,并保留这些源的封装格式:
接口Fa0/18接收的流量;
接口Fa0/9发送的流量;
接口Fa0/19(这是一个Trunk接口)发送和接收的流量。
对于Fa0/19 Trunk接口接收到的流量,还要过滤掉(移除)属于VLAN 1、2、3和229的流量。
例1-4 复杂SPAN配置案例
MDF-ROC3# config term
MDF-ROC3(config)# monitor session 11 source interface fa0/18 rx
MDF-ROC3(config)# monitor session 11 source interface fa0/9 tx
MDF-ROC3(config)# monitor session 11 source interface fa0/19
MDF-ROC3(config)# monitor session 11 filter vlan 1 - 3 , 229
MDF-ROC3(config)# monitor session 11 destination interface fa0/24 encapsulation
replicate
1.5 RSPAN配置
在例1-5中,工程师配置两台交换机IDF-SYR1和IDF-SYR2,让它们将以下流量发送到RSPAN VLAN 199,接收这些流量的是交换机MDF-SYR9上的接口Fa0/24:
对于IDF-SYR1来说,VLAN 66~68接收的所有流量;
对于IDF-SYR2来说,VLAN 9接收的所有流量;
对于IDF-SYR2来说,VLAN 11发送和接收的所有流量。
注意这三台交换机分别使用了不同的会话ID,这在RSPAN中是允许的。会话编号的唯一限制是号码必须在1~66范围内。
例1-5 RSPAN配置案例
IDF-SYR1# config term
IDF-SYR1(config)# vlan 199
IDF-SYR1(config-vlan)# remote span
IDF-SYR1(config-vlan)# exit
IDF-SYR1(config)# monitor session 3 source vlan 66 – 68 rx
IDF-SYR1(config)# monitor session 3 destination remote vlan 199
!Now moving to IDF-SYR2:
IDF-SYR2# config term
IDF-SYR2(config)# vlan 199
IDF-SYR2(config-vlan)# remote span
IDF-SYR2(config-vlan)# exit
IDF-SYR2(config)# monitor session 23 source vlan 9 rx
IDF-SYR2(config)# monitor session 23 source vlan 11
IDF-SYR2(config)# monitor session 23 destination remote vlan 199
!Now moving to MDF-SYR9
MDF-SYR9# config term
MDF-SYR9(config)# vlan 199
MDF-SYR9(config-vlan)# remote span
MDF-SYR9(config-vlan)# exit
MDF-SYR9(config)# monitor session 63 source remote vlan 199
MDF-SYR9(config)# monitor session 63 destination interface fa0/24
MDF-SYR9(config)# end
1.6 ERSPAN配置
在例1-6中,工程师要配置ASR 1002来捕获所有接收的流量,并将其发送到Catalyst 6509的接口GE2/2/1。ASR 1002会将捕获的流量封装在GRE中,然后路由到Catalyst 6509。连接在6500交换机GE2/2/1接口上的嗅探工作站将会看到完整的以太网数据帧(L2到L7)信息。
例1-6 ERSPAN配置案例
ASR1002(config)# monitor session 1 type erspan-source
ASR1002(config-mon-erspan-src)# source interface gig0/1/0 rx
ASR1002(config-mon-erspan-src)# no shutdown
ASR1002(config-mon-erspan-src)# destination
ASR1002(config-mon-erspan-src-dst)# erspan-id 101
ASR1002(config-mon-erspan-src-dst)# ip address 10.1.1.1
ASR1002(config-mon-erspan-src-dst)# origin ip address 172.16.1.1
!Now for the configuration of the Catalyst 6500
SW6509(config)# monitor session 2 type erspan-destination
SW6509(config-mon-erspan-dst)# destination interface gigabitEthernet2/2/1
SW6509(config-mon-erspan-dst)# no shutdown
SW6509(config-mon-erspan-dst)# source
SW6509(config-mon-erspan-dst-src)# erspan-id 101
SW6509(config-mon-erspan-dst-src)# ip address 10.1.1.1
工程师可以使用命令show monitor session来检查SPAN、RSPAN或ERSPAN的工作,详见例1-7。
例1-7 ERSPAN检查案例
ASR1002# show monitor session 1
Session 1
---------
Type : ERSPAN Source Session
Status : Admin Enabled
Source Ports :
RX Only : Gi0/1/0
Destination IP Address : 10.1.1.1
MTU : 1464
Destination ERSPAN ID : 101
Origin IP Address : 172.16.1.1
从排错的角度看来,如果目的接口是关闭的,SPAN实例将无法启动。在工程师将目的接口打开后,SPAN会话会随之启动。
文章目录
评论抢沙发