您所在位置：网站首页 > 办公文档 > 工作范文 > cisco交换机端口镜像配置命令

cisco交换机端口镜像配置命令.docx

11页

卖家[上传人]：1980****057

文档编号：273468965

上传时间：2022-04-06

文档格式：DOCX

文档大小：16.18KB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

9.9金贝

下载

/ 11 举报版权申诉马上下载

文本预览

下载提示

常见问题

cisco交换机端口镜像配置命令 CISCO交换机端口镜像配置来源：本站发布时间:2022-4-15 13:37:00 浏览量：249CISCO交换机端口镜像配置镜像口配置大多数交换机都支持镜像技术，这可以对交换机进行方便的故障诊断我们称之为“mirroring ”或“Spanning ”镜像是将交换机某个端口的流量拷贝到另一端口(镜像端口)，进行监测 Cisco3550可以配置2个镜像口案例：将端口2~5镜像到端口61、镜像口配置Switch>enable Switch#conf t Step3: 配置镜像源，可以是端口也可以是VlanSwitch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx上面命令最后一个参数:both 监听双向数据,默认为bothrx 接收tx 发送Step4: 配置镜像目的端口Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6Switch(config)#exitSwitch#wrStep7:查看配置结果Switch#show monitorSession 1---------Type : Local SessionSource Ports :RX Only : Gi0/2-5Destination Ports : Gi0/6Encapsulation : NativeIngress : DisabledBoth 监听双向数据RX Only 监听接收Tx Only 监听发送 2、删除镜像端口Switch#conf tSwitch(config)#no monitor session 1Switch(config)#end Switch#wr Switch#show monitorNo SPAN configuration is present in the system. 3.其他 (1)端口镜像的过滤，端口镜像是可以做Filter的。

monitor session session_number filter vlan vlan-id [, | -] **指定源端口进入的流量中，属于哪些VLAN的可以从目的端口发出去 (2)删除镜像 no monitor session {session_number | all | local | remote} **session_number指定会话号，all是所有镜像，local是本地镜像，remote是远程镜像 (3)镜像的目的端口不能正常收发数据，因此不能再作为普通端口使用，可以连接一些网络分析和安全设备，例如装有sniifer的计算机或者Cisco IDS设备在交换以太网的环境下，一般两台工作站之间的通讯是不会被第三者侦听到的在某些情况下，我们可能会需要进行这样的侦听，如：协议分析、流量分析、入侵检测为此我们可以设置Cisco交换机的SPAN (Switched Port Analyzer交换端口分析器)特性, 或早期的“端口镜像”、“监控端口”功能侦听的对象可以是一个或多个交换机端口，或者整个VLAN如果要侦听的端口(“源端口”)或VLAN和连接监控工作站的端口(“目标端口”)在同一台交换机上，我们只需配置SPAN; 如果不在同一台交换机上，需要配置RSPAN (Remote SPAN)。

不同的交换机对SPAN有不同的限制，如2900XL交换机中源端口和目标端口必须在同一VLAN、某些交换机不支持RSPAN等等，详见设备文档在配置SP AN的时候，我们需要提供的参数是源端口或VLAN号以及目标端口 4000/6000 CatOS 交换机:set span 6/17 6/19//SPAN:源端口为6/17 目标端口为6/19 2950/3550/4000IOS/6000IOS 交换机：monitor session 1 local //SPANmonitor session 1 source interface fastethernet 0/17 both //源端口，也可以是某个VLANmonitor session 1 destination interface fastethernet 0/19 //目标端口 2900/3500XL 交换机：Switch(config)#interface fastethernet 0/19 //目标端口Switch(config-if)#port monitor fastethernet 0/17 //源端口 1900 交换机: (或使用菜单 [M] Monitoring)monitor-port monitored 0/17 //源端口(0/17和0/18端口)monitor-port monitored 0/18monitor-port port 0/19 //目标端口monitor-port //开始监控在配置RSPAN的时候，我们首先要定义一个类型为RSPAN的VLAN。

在普通VLAN上如果源主机和目标主机都在同一台交换机上，则它们之间的单播通讯不需要通过TRUNK传递到别的交换机，而RSPAN VLAN需要在TRUNK上转发这样的通讯，以保证监控机能够侦听到在源交换机上，需设置使被侦听的端口或VLAN把流量转发到RSPAN VLAN上(如果是运行IOS的交换机，需要另外设置一个端口作为反射端口); 在目标交换机上，需设置把RSPAN VLAN中的信息转发到连接监控主机的目标端口 IOS交换机,如3550:3550(config)#vlan 900//建立RSPAN VLAN3550(config-vlan)#remote-span monitor session 1 remote//源交换机monitor session 1 source interface fastethernet 0/17 both//源端口monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20//目标RSPAN VLAN，反射端口 monitor session 2 remote//目标交换机monitor session 2 source remote vlan 900//RSPAN VLANmonitor session 2 destination interface fastethernet 0/19//目标端口 CatOS 交换机，如6500: set vlan 900 rspan//建立RSPAN VLAN set rspan source 4/1-2 900 //源交换机 set rspan destination 4/19 900//目标交换机最近一次配置完RSPAN之后，有用户反映：部分网段出现严重丢包现象。

仔细检查，发现部分交换机的上联端口负载很重再分析，原来在两台中心交换机上启用了一个RSPAN进程，RSPAN VLAN上的流量很大，达300M由于VTP 域中没有启用Pruning 功能，这个RSPAN VLAN的流量出现在所有的TRUNK上，造成了阻塞把RSPAN VLAN从这些TRUNK上修剪掉之后，网络恢复了正常 SPAN功能的出现，使保护交换机不被非法控制变得更为重要因为假如黑客控制了一台主机和部分交换机，他将能够使用SPAN/RSPAN和Sniffer窃听任何在网络上传递的信息先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找网络存在问题的原因 cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口Cisco的SPAN 分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像整个或数个VLAN到一个目的端口。

配置方法： 1. SPAN (1) 创建SPAN源端口 monitor session session_number source interface interface-id [, | -] [both | rx | tx] **session_number,SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2 **interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续的用“-”连接 [both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both (2)创建SPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] **一样的我就不说了 **session_number要和上面的一致。

**interface-id目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内 **[encapsulation {dot1q | isl}]，可选，指被从目的端口发出去时是否使用802.1q和isl封装，当使用802.1q时，对于本地VLAN不进行封装，其他VLAN封装，ISL则全部封装 2.VSPAN (1)创建VSPAN源VLAN monitor session session_number source vlan vlan-id [, | -] rx **一样的也不说了，基本和SPAN相同，只是接口号变成了VLAN号，而且只能镜像接收的流量 (2)创建VSPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] **和SPAN的一样 3.RSPAN RSPAN的配置较为复杂，其流程可以这样来看，交换机把要镜像的端口流量复制一份，然后发到本机的一个反射端口上（reflector-port ），在由反射端口将其通过网络转发到目的交换机中的VLAN上（一般情况下，这个VLAN是专为镜像而设的，不要作为客户端接入所用），再在目的交换机中配置VSPAN，将该VLAN的流量镜像到目的端口，要注意的是，一旦这种RSPAN被使用，该镜像专用VLAN的信息会被转发到所有的VLAN 主干上，造成网络带宽的浪费，因此要配置VLAN修剪(pruning)，另外RSPAN也可以镜像VLAN。

(1)在源交换机上创建RSPAN源端口 **同SPAN或VSPAN (2)在源交换机上创建VSPAN反射端口和目的VLAN monitor session session_number destination remote vlan vlan-id reflector-port interface **vlan-id 目的交换机上转为镜像而设的VLAN **reflector-port interface源交换机上的镜像端口 (3)在目的交换机上创建VSPAN源VLAN monitor session session_number source remote vlan vlan-id 。

点击阅读更多内容