我是网管论坛's Archiver

dongjun8899 发表于 2007-10-9 13:14

交换机SPAN技术简介+Cisco配置示例 (二)

缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCO IDS的时会有这种需求,此时IDS不仅要接收SPAN Session的数据流,IDS本身在网络中还会与其它设备有通讯流量,所以要打开监控端口的二层转发功能。  [b]Reflector Port——反射端口[/b]6V"D-m{0H
  反射端口只在RSPAN中使用,与RSPAN中的受控端口在同一台交换机上,是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口,它不属于任何VLAN(It is invisible to all VLANs.)。
B;E4]1f a   RSPAN中还要使用一个专用的VLAN来转发流量,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。
%V;i2ad'Um u3w   关于RSPAN VLAN的创建,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN 1,也不能用1002-1005,这是保留的(reserved for Token Ring and FDDI VLANs),如果是2-1001的标准VLAN,则只要在VTP Server上创建即可,其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要在所有交换机上创建此专用VLAN.x]|\)[n%H9b/@8l
  反射端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。
N3YQ|5BY*`*N   [b]VLAN-Based SPAN——基于VLAN的SPAN[/b]?,|-i'j1DEW
  基于VLAN的SPAN只能监控VLAN中所有活动端口接收的流量(only received (Rx) traffic),如果监控端口属于此VLAN,则此端口不在监控范围内,VSPAN只监控进入交换机的流量,不对VLAN接口上的路由数据做监控。
"t)F\ l,]t4Ve2}F   (VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic from another VLAN to the monitored VLAN, that traffic is not monitored and is not received on the SPAN destination port. )
)f V$k;i5Xm+_ n8V   [b]三、SPAN和RSPAN与其它特性的互操作性[/b]
-\ \4k r$N;Sx nFM4d   Routing——SPAN不监控VLAN间的路由数据;(不好理解)P:hd aNpIN
  Routing—Ingress SPAN does not monitor routed traffic. VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic from another VLAN to the monitored VLAN, that traffic is not monitored and not received on the SPAN destination port.
r}Z Z:fb K6y   STP——监控端口和反射端口不会参与STP,但SPAN对受控端口的STP没有影响;
2GI"I4RQ3xSM!q   CDP——监控端口不参与CDP;
2n4? q`-^;~J`   VTP——RSPAN VLAN可以被修剪pruning;
2_{9^ `OR;H.O9bo   VLAN and trunking——可以修改受控端口、监控端口和反射端口的VLAN和TRUNK设置,受控端口的改变会立即生效,而监控端口和反射端口则要在从SPAN中去除后才会生效;q(GPGm``
  EtherChannel——整个以太通道组可以做为受控端口使用,如果一个属于某个以太通道组的物理端口被配成了受控端口、监控端口或反射端口,则此端口会自动从以太通道组去除,当SPAN删除后,它又会自动加入原以太通道组;
tBS1rJZ'}   QoS——由于受QoS的策略影响,监控端口上收到的数据流会与受控端口实际的数据流不同,比如DSCP值被修改等;
/_E8if9\w]0G? o   Multicast——SPAN可以监控组播的数据流;
7V(g&p?#^ n;H   Port security——安全端口不能做为监控端口使用;5gH i_lZxgyu7I
  802.1x——受控端口、监控端口和反射端口上可以设置802.1x,但有些限制。

wubingxin 发表于 2008-8-20 09:01

xuexile  henhaodezhixi

页: [1]

Powered by Discuz! Archiver 7.0.0  © 2001-2009 Comsenz Inc.