cisco交換技術(shù)

ylzrx 2011-09-09

展開全文

2011-01-27 18:00

vspan的建立
span可以基于vlan使用,，一個(gè)源vlan是一個(gè)為了網(wǎng)絡(luò)流量分析的被監(jiān)控的vlan.vspan使用一個(gè)或多個(gè)vlan作為span的源。源vlan中的所有端口成為源端口,。對(duì)于vspan,，只能監(jiān)控進(jìn)入的流量(rx流量)。2950系列交換機(jī)不能執(zhí)行,。
1）進(jìn)入全局配置模式   configure terminal
2）清除先前配置的內(nèi)容
    no monitor session [會(huì)話號(hào)|all|local|remote]
    會(huì)話號(hào)：可以單獨(dú)清除某個(gè)指定的會(huì)話,，取值為1-66
    all:所有的會(huì)話
    local:清除本地span
    remote:遠(yuǎn)程的span
3）指定監(jiān)控的源端口
    monitor session 會(huì)話號(hào) source vlan vlan號(hào) rx
     會(huì)話號(hào)：取值為1-66
     vlan號(hào)：取值為1-4094
     rx:接收
4）指定監(jiān)控的目標(biāo)端口
    monitor session 會(huì)話號(hào) destination {inteface 接口號(hào)} [encapsulation replicate]
接口號(hào)：必須是物理接口，不能是vlan或以太通道
    encapsulation replicate:目標(biāo)端口的封裝類型將取代源端口的封裝類型,，如果不設(shè)置將按照默認(rèn)值將數(shù)據(jù)轉(zhuǎn)發(fā)到native vlan（本地vlan,，未標(biāo)記的）
5）驗(yàn)證結(jié)果
    show monitor [session 會(huì)話號(hào)]
建立本地會(huì)話的目標(biāo)端口的到達(dá)流量
配置過程：
1）進(jìn)入全局配置模式   configure terminal
2）清除先前配置的內(nèi)容
     no monitor session [會(huì)話號(hào)|all|local|remote]
3）指定監(jiān)控的源端口
     monitor session 會(huì)話號(hào) source interface 接口
4）指定監(jiān)控的目標(biāo)端口
    monitor session 會(huì)話號(hào) destination {inteface 接口號(hào)} [encapsulation replicate] ingress [dot1q vlan vlan號(hào)|isl |untagged vlan vlan號(hào)]
    接口號(hào)：必須是物理接口，不能是vlan或以太通道
    encapsulation replicate:目標(biāo)端口的封裝類型將取代源端口的封裝類型,，如果不設(shè)置將按照默認(rèn)值將數(shù)據(jù)轉(zhuǎn)發(fā)到native vlan（本地vlan,，未標(biāo)記的）
5）驗(yàn)證結(jié)果
建立本地會(huì)話的過濾vlan
配置過程：
1）進(jìn)入全局模式   configure terminal
2）清除先前的會(huì)話
     no monitor session 會(huì)話號(hào)
1）指定源會(huì)話
     monitor session 會(huì)話號(hào) source interface 接口號(hào)
     接口號(hào)：必須是trunk端口
2）指定過濾的vlan
     monitor session 會(huì)話號(hào) filter vlan vlan號(hào) [, | -]
3）指定目標(biāo)端口
     monitor session 會(huì)話號(hào)destination interface 端口號(hào)
案例：
switch(config)# no monitor session 2
switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
switch(config)# monitor session 2 filter vlan 1 - 5 , 9
switch(config)# monitor session 2 destination interface gigabitethernet0/1
switch(config)# end
將span源流量限制在vlan 1-5和9
=============================================================
rspan（remote switched port anylzer network）
rspan是設(shè)計(jì)用來支持跨越不同交換機(jī)的源端口、源vlan和目的端口的span實(shí)現(xiàn),。rspan允許跨越網(wǎng)絡(luò)的多臺(tái)交換機(jī)的遠(yuǎn)程監(jiān)控,。如圖所示：在一些大型的測(cè)試中，往往接入層交換機(jī)（交換機(jī)a和b）與核心交換機(jī)（交換機(jī)d）在物理距離上很遠(yuǎn),，所以此時(shí)就需要一種remotespan 的技術(shù)來進(jìn)行監(jiān)控,。

rspan工作原理
創(chuàng)建一個(gè)rspan會(huì)話的第一步是創(chuàng)建一個(gè)為所有參與交換機(jī)中特定會(huì)話指定的rspan vlan。rspan使用反射端口將位于遠(yuǎn)程交換機(jī)的源端口流量復(fù)制到本地交換機(jī)的目的端口上,。除了rspan會(huì)話所需要的流量外,，rspan反射端口的工作與rspan目的端口類似,。反射端口只轉(zhuǎn)發(fā)由源端口接收或發(fā)送的分組。他們不接收或轉(zhuǎn)發(fā)其他的網(wǎng)絡(luò)流量,。
從源端口或源vlan來得rspan流量被交換到rsanp vlan,，然后被轉(zhuǎn)發(fā)到也在rspan vlan中的目的端口。在rspan會(huì)話中源（端口或vlan）在不同的源交換機(jī)上能不同,。但是,，如果因特網(wǎng)路由器，比如cisco7600系列路由器,，被用作rspan會(huì)話的源,，那么它們必須和rspan源有相同的vlan.

rspan反射端口
反射端口僅用于所監(jiān)控的數(shù)據(jù)拷貝到remote vlan，反射端口僅轉(zhuǎn)發(fā)有關(guān)聯(lián)的rspan 源端口的數(shù)據(jù),，在配置成反射端口后,，它將失去任何連通性，直到rspan的源監(jiān)控會(huì)話被關(guān)閉為止,。
反射端口的屬性如下
1．不能配置成etherchannel組,，不能為trunk，也不能配置任何協(xié)議過濾
2．配置成反射端口后,，他不能成為span的源或者目的端口
3．一個(gè)端口被用作反射端口后,，不能配置為一個(gè)span的源/目的端口。同時(shí)一個(gè)反射端口只能在同一時(shí)間支持一個(gè)監(jiān)控會(huì)話,。
4．反射端口會(huì)將所有的監(jiān)控?cái)?shù)據(jù)會(huì)泛洪到所有能夠承載rspan vlan 的trunk接口上
5． stp在反射端口上會(huì)被禁用
6．當(dāng)反射端口沒有足夠的流量來轉(zhuǎn)發(fā)監(jiān)控端口的流量時(shí),，它使用自己接口的最大速率進(jìn)行轉(zhuǎn)發(fā)
7．反射端口對(duì)于所有vlan是不可見的
8．反射端口是一個(gè)被設(shè)置為回環(huán)的端口
rspan與其他特性的相互影響
1 stp：反射端口在rspan會(huì)話活動(dòng)時(shí)不能參與stp，stp可以在中繼端口上激活以承載rspan vlan
2 vtp：vtp不能用在交換機(jī)之間對(duì)rspan vlan 進(jìn)行裁剪
3 vlan 和中繼：可以在任何時(shí)候修改反射端口的 vlan 成員或中繼設(shè)置,，直到 rspan 會(huì)話被禁用后才能生效
4 etherchannel：如果屬于一個(gè)ethercannel組的物理端口是反射端口,，并且該組是一個(gè)源，那么端口將從etherchanel組合被監(jiān)控端口列表中刪除
配置過程
1 在vtp服務(wù)器交換機(jī)中配置remote vlan,，該vlan將專用于rspan,。如果采用透明模式，必須在域中所有設(shè)備中都一致地配置span
2 在源交換機(jī)和目標(biāo)交換機(jī)中配置span會(huì)話,，并且確保中間交換機(jī)能夠跨越各個(gè)vlan干道承載rspan vlan
建立rspan vlan
rspan vlan應(yīng)在配置pspan源或目的會(huì)話之前創(chuàng)建并通過交換網(wǎng)絡(luò)傳播,。如果在網(wǎng)絡(luò)中啟用了vtp，則可以在一臺(tái)單一的vtp服務(wù)器交換機(jī)上創(chuàng)建rspan vlan,，并將它傳播給vtp域中的其他vtp交換機(jī),。如果還啟用了vtp修剪特性，則由vlan中繼剪除rspan流量并防止任何vlan-id低于1005的不想擴(kuò)散的rspan流量穿過網(wǎng)絡(luò),。在rspan vlan上禁止mac地址的學(xué)習(xí),。
配置：
1) 進(jìn)入全局模式 configure terminal
2) 指定vlan
    vlan vlan號(hào)
    vlan號(hào)：取值為2-1001和1006-4094，2-1001的可以通過vtp傳播,，擴(kuò)展的vlan必須每臺(tái)交換機(jī)建立
3) 指定該vlan為rspan vlan
    remote-span
案例：
switch(config)# vlan 901
switch(config-vlan)# remote span
switch(config-vlan)# end
switch#show vlan remote-span
remote span vlans
------------------------------------------------------------------------
10
建立rspan源會(huì)話
配置過程：
1）進(jìn)入全局模式 configure terminal
2）清除先前配置的會(huì)話
    no monitor session {會(huì)話號(hào) | all | local | remote}
3）建立源會(huì)話
    monitor session 會(huì)話號(hào) source {interface 接口號(hào) | vlan vlan號(hào)} [, | -] [both | rx | tx]
4）指定遠(yuǎn)程vlan和反射端口
    monitor session 會(huì)話號(hào) destination remote vlan 遠(yuǎn)程vlan號(hào) reflector-port 端口
5）驗(yàn)證結(jié)果
    show running-config
    show monitor [session 會(huì)話號(hào)]
案例：
switch(config)# no monitor session 1
switch(config)# monitor session 1 source interface gigabitethernet0/1 tx
switch(config)# monitor session 1 source interface gigabitethernet0/2 rx
switch(config)# monitor session 1 source interface port-channel 2
switch(config)# monitor session 1 destination remote vlan 901
switch(config)# end
--------------------------------------------------------------------------
案例：
switch(config)#no monitor session all
switch(config)#monitor session 1 source interface f0/2
switch(config)#monitor session 1 destination remote vlan 10 reflector-port f0/5
switch#show monitor session 1
session 1
---------
type                : remote source session
source ports      :
    both            : fa0/2
reflector port    : fa0/5
dest rspan vlan   : 10
建立rspan目標(biāo)會(huì)話
1) 進(jìn)入全局模式 configure terminal
2) 建立遠(yuǎn)程vlan
     vlan vlan號(hào)
3) 制定為遠(yuǎn)程vlan
     remote-span
4) 清除先前配置的會(huì)話
     no monitor session {會(huì)話號(hào) | all | local | remote}
5) 建立源會(huì)話
     monitor session 會(huì)話號(hào) source remote vlan 遠(yuǎn)程vlan號(hào)
6) 指定目標(biāo)端口
     monitor session 會(huì)話號(hào) destination interface 端口號(hào)
7) 驗(yàn)證結(jié)果
     show running-config
     show monitor [session 會(huì)話號(hào)]

案例：
switch(config)# monitor session 1 source remote vlan 901
switch(config)# monitor session 1 destination interface gigabitethernet0/1
switch(config)# end
--------------------------------------------------------------------------
案例：
switch(config)#no monitor session all
switch(config)#monitor session 1 source remote vlan 10
switch(config)#monitor session 1 destination interface f0/10
switch#show monitor session 1
session 1
---------
type              : remote destination session
source rspan vlan : 10
destination ports : fa0/10
    encapsulation : native
          ingress: disabled
建立rspan過濾
中繼vlan過濾允許分析中繼源端口上一組經(jīng)挑選的vlan中的網(wǎng)絡(luò)流量,。中繼vlan過濾可以與屬于任何所選vlan的其他源端口結(jié)合,。只能與中繼源端口一起使用中繼vlan過濾。如果中繼vlan過濾結(jié)合了其他源端口,，而這些端口所屬的vlan沒有包含在被選中的過濾vlan列表中,，那么span只包括操作源中屬于一個(gè)或多個(gè)被選中的vlan的端口
配置過程：
1）進(jìn)入全局模式   configure terminal
2）清除先前的會(huì)話
    no monitor session 會(huì)話號(hào)
3）指定源會(huì)話
    monitor session 會(huì)話號(hào) source interface 接口號(hào)
    接口號(hào)：必須是trunk端口
4）指定過濾的vlan
    monitor session 會(huì)話號(hào) filter vlan vlan號(hào) [, | -]
5）指定遠(yuǎn)程vlan
    monitor session 會(huì)話號(hào)destination remote vlan vlan號(hào)
案例：
switch(config)# no monitor session 2
switch(config)# monitor session 2 source interface gigabitethernet0/2 rx
switch(config)# monitor session 2 filter vlan 1 - 5 , 9
switch(config)# monitor session 2 destination remote vlan 902
switch(config)# end
-------------------------------------------------------------------------
案例：
ccie-lab(v148)
題目要求：
make sure a network analyzer connected to sw2-fa0/16 can collect all bi-directional traffic on sw1-fa0/1.
配置：sw1和sw2之間要做到監(jiān)控，這里就需要應(yīng)用rspan
sw1
configure terminal
vlan 901
   remote-span
no minitor session all
monitor session 1 source interface f0/1
monitor session 1 destination remote vlan 901 reflected-port f0/22
interface f0/23
   switchport trunk allowed vlan add 901
interface f0/24
   switchport trunk allowed vlan add 901
sw2
configure terminal
no monitor session all
monitor session 1 source remote vlan 901
monitor session 1 destination interface f0/16
interface range f0/23 –24
switchport trunk allowed vlan add 901
案例：
ccie-lab(v210)
題目要求：
traffic monitoring：rspan
   remote-vlan:500
   source interface:sw2 f0/18
   destination interface:sw4 f0/19
配置：
sw1 (因?yàn)閟w1是服務(wù)器模式)
configure terminal
vlan 500
   remote-span
sw2
configure terminal
no monitor session all
monitor session 1 source interfac f0/18
monitor session 1 destination remote vlan 500 reflected-port f0/22
interface range f0/23 –24
   switchport trunk allowed vlan add 500
sw4
configure terminal
no monitor session all
monitor session 1 source remote vlan 500
monitor session 1 destination interface f0/19
interface range f0/23 –24
   switchport trunk allowed vlan add 500

類別：cisco交換技術(shù) | 評(píng)論(0) | 瀏覽(232)

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,，所有內(nèi)容均由用戶發(fā)布,，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式,、誘導(dǎo)購買等信息,，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請(qǐng)點(diǎn)擊一鍵舉報(bào),。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： ylzrx > 《網(wǎng)絡(luò)》

舉報(bào)/認(rèn)領(lǐng)