交換機端口分析器(SPAN)工作原理

交換機端口分析器(SwitchedPortAnalyzer)的作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流。

它既可以實現(xiàn)一個VLAN中若干個源端口向一個監(jiān)控端口鏡像數(shù)據(jù)，也可以從若干個VLAN向一個臨控端口鏡像數(shù)據(jù)。源端口的5號端口上流轉(zhuǎn)的所有數(shù)據(jù)流均被鏡像至10號監(jiān)控端口，而數(shù)據(jù)分析設(shè)備通過監(jiān)控端口接收了所有來自5號端口的數(shù)據(jù)流。

值得注意的是，源端口和鏡像端口必須位于同一臺交換機上(但也有例外，如Catalyst6000系列交換機);而且SPAN并不會影響源端口的數(shù)據(jù)交換，它只是將源端口發(fā)送或接收的數(shù)據(jù)包副本發(fā)送到監(jiān)控端口。

在SPAN任務(wù)過程中，用戶可以通過參數(shù)控制，來指明需要監(jiān)控的數(shù)據(jù)流種類;還可以將一個或多個端、口、一個或多個VLAN作為源端口，并將從這些端口中發(fā)送或接收的單向或雙向數(shù)據(jù)流傳送至監(jiān)控端口。

在Catalyst4006交換機中，最多可以配置6個單向的SPAN任務(wù)：2個輸入數(shù)據(jù)流監(jiān)控、4個輸出數(shù)據(jù)流監(jiān)控。一個雙向SPAN任務(wù)實際上包含一個單向輸入和一個單向輸出。而且不僅僅二層交換端口可作為源端口，Catalyst4006上的三層路由端口也可設(shè)置為源端口。

SPAN任務(wù)不會影響交換機的正常工作。當(dāng)一個SPAN任務(wù)被建立后，根據(jù)交換機所處的不同的狀態(tài)或操作，任務(wù)會處于激活或非激活狀態(tài)，同時系統(tǒng)會將其記入日志。通過“showmonitorsession”命令可顯示SPAN的當(dāng)前狀態(tài)。

如果遇到系統(tǒng)重新啟動的情況，在目的端口初始化結(jié)束之前，SPAN任務(wù)將處于非激活狀態(tài)。目的端口(監(jiān)控端口)可以是交換機上的任意一個交換或路由端口。當(dāng)一個目的端口處于激活狀態(tài)時，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會被丟棄。

一個目的端口只能處于一個SPAN任務(wù)中。當(dāng)一個端口被配制成目的端口后就不能再成為源端口，同時冗余鏈路端口也不能成為SPAN的目的端口。特別需要指出的是，如果一個Trunk端口被配置成為交換機端口分析器的目的端口，則其Trunk功能也將自動停止。

源端口又可以稱作被監(jiān)控端口。在一個SPAN任務(wù)中，可以有一個或多個源端口，而且可以根據(jù)用戶需要設(shè)置為輸入方向、輸出方向或雙向，但無論哪種情況，在一個SPAN任務(wù)中，所有源端口的被監(jiān)控方向都必須是一致的。

在Catalyst4006交換機上的VLAN也可以整體設(shè)置為源端口，這意味著被指定VLAN中的所有端口均為當(dāng)前SPAN任務(wù)中的源端口。

Trunk端口可以單獨設(shè)為源端口，也可以與非Trunk端口一起被設(shè)置為源端口，但要注意的是，在監(jiān)控端口不會識別來自Trunk端口針對不同VLAN的數(shù)據(jù)封裝格式，換句話說，在監(jiān)控端口收到的數(shù)據(jù)包將無法辨明是來自哪個VLAN。

SPAN數(shù)據(jù)流的分類及配置

基于VLAN的交換機端口分析器是以一個或幾個VLAN作為監(jiān)控對象，其中的所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數(shù)據(jù)流、輸出數(shù)據(jù)流和雙向數(shù)據(jù)流監(jiān)控三種類型。如下說述：

(1)輸入數(shù)據(jù)流(IngressSPAN)：指被源端口接收進來，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;

(2)輸出數(shù)據(jù)流(EgressSPAN)：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;

(3)雙向數(shù)據(jù)流(BothSPAN)：即為以上兩種的綜合。

在配置基于VLAN的SPAN任務(wù)過程中，應(yīng)注意幾點：

(1)Trunk端口可以包含在源端口中;

(2)針對雙向SPAN任務(wù)，如果在源VLAN中的兩個源端口之間有數(shù)據(jù)交換，則每一個數(shù)據(jù)包將有兩個副本被轉(zhuǎn)發(fā)至鏡像端口;

(3)對有多個源VLAN的SPAN任務(wù)來說，如果某個源VLAN被刪除掉，則該VLAN也將從源VLAN列表中刪除;

(4)處于非激活狀態(tài)的VLAN無法參與SPAN任務(wù);

(5)對于一個設(shè)置為輸入數(shù)據(jù)流監(jiān)控的源VLAN來說，來自其他VLAN的路由信息數(shù)據(jù)包不會被鏡像;此外，從設(shè)置為輸出數(shù)據(jù)流監(jiān)控的VLAN向其他VLAN發(fā)送出的路由信息數(shù)據(jù)包也同樣不會被鏡像。換句話說，基于VLAN的SPAN任務(wù)只對進出二層交換端口的數(shù)據(jù)包進行鏡像，而不鏡像VLAN之間的路由信息。所有網(wǎng)間傳輸?shù)姆锹酚蓴?shù)據(jù)包，包括組播包和BPDU(橋接協(xié)議數(shù)據(jù)單元)包，都可以使用SPAN任務(wù)進行鏡像。

交換機端口分析器在一些任務(wù)的配置下，會出現(xiàn)同一個SPAN源端口數(shù)據(jù)包的多個副本被發(fā)送到SPAN監(jiān)控端口的情況。正像前面提到的那樣，在一個雙向SPAN任務(wù)中，假設(shè)a1和a2為源端口，d1為目的端口，如果a1與a2之間有數(shù)據(jù)包傳輸，則在a1傳向a2的數(shù)據(jù)包將會被傳送到d1兩次，反之亦然。