SPAN
-
定义:SPAN 即交换机接口分析,是指将一个源接口或者 vlan上出方向或者入方向的报文镜像到指定目的接口上。
-
作用:SPAN 主要用来对流量进行监控和分析,通过 SPAN 可以获取来自一个或者多个源接口的报文,并以此来进行分析。
-
SPAN 的源接口和目的接口一般都是一台交换机上的接口。
-
限制:
- 源接口可以是物理接口或者 vlan,但是不可以是两者的混合。
- 接口无法同时被配置成单个镜像组的源接口和目的接口。
-
SPAN 拓扑:
RSPAN
-
定义:ERSPAN 即远程交换机接口分析,与 SPAN 的区别主要在于其镜像组(指源接口和目的接口的组合)并不是在同一台设备上的。博主之前在华三工作时,华三将其定义为二层远程端口镜像,当然实际都是一个东西。(PS:其实很多协议各个厂家的叫法不一样但是实际功能都一样,haha)
-
在 RSPAN 中,网络工程师需要给从源接口到目的接口的这一路径配置一个特定的 vlan(RSPAN VLAN)。镜像的报文会在这个 vlan 中进行广播,所以哪怕不是目的端口,只要加入到 RSPAN VLAN 中,那么也会收到镜像报文。
-
此外,不是说 RSPAN 或者是 ERSPAN 就只能在不同的设备上配置功能,博主本人之前在测试交换机的 RSPAN 或者是 ERSPAN 功能一般就是在单台设备上配置,当然这肯定无法展示 RSPAN 或者 ERSPAN 的全部特性的,仅仅作为测试展示使用。
-
拓扑图:
ERSPAN
-
定义:ERSPAN 即封装远程交换机接口分析,与 RSPAN 的区别在于,ERSPAN 会对镜像流量进行三层封装,并为所有捕获的流量创建 GRE(通用路由封装)隧道。(PS:华三的文档表示 ERSPAN 有两个实现方式分别是隧道方式和封装参数方式,两者区别主要是前者需要建立 tunnel 隧道,而后者仅仅只需要在源设备上配置封装参数之后由单播路由协议来保证镜像流量的转发。这里我看 CCIE 学习手册上只有 tunnel 方式,可能 Cisco 只用前者吧)
-
拓扑图:
总结
- SPAN、RSPAN、ERSPAN 支持三种类型的流量:发送、接收和收发。SPAN 默认同时作用于进入和离开源接口或者 vlan的流量,可以配置成只针对单个方向进行镜像。
- 对于接收方 SPAN 来说,目标是将所有流量全部转发到目的端口,所以交换机会对每个需要通过 SPAN 连接传输的数据帧进行复制并发送,在此之前不会对数据帧做出任何修改,包括但不限于:ACL 过滤、QoS 限制、限速策略等。
- 对于发送方 SPAN 来说,所有相关的过滤包括修改行为,如 ACL、QoS 等都发生在流量镜像前,因此是先修改流量再镜像并发送。
- 目的端口不支持任何二层协议,包括但不限于:STP、VTP、DTP 等。
- 从另一个 VLAN 到源 VLAN 的流量无法被 SPAN 监控,因为 SPAN 仅仅针对源接口或者 VLAN 进入或者离开交换机的流量才会被镜像。而此时的情况是源 VLAN 的流量在源 VLAN 来看是同一台交换机上转发过来的,并没有进入或者离开交换机,因此不会镜像。