思科（SPAN）交换机上的端口镜像指南

SPAN是某些Cisco Catalyst交换机上可用的交换端口分析器。您可以在以下位置使用SPAN：

• Catalyst Express 500/520系列
• Catalyst 1900系列
• Catalyst 2900XL系列
• Catalyst 2940系列
• 催化剂2948G-L2、2948G-GE-TX，2980G-A
• Catalyst 2950系列
• Catalyst 2955系列
• Catalyst 2960系列
• Catalyst 2970系列
• Catalyst 3500 XL系列
• Catalyst 3550系列
• Catalyst 3560 / 3560E / 3650X系列
• Catalyst 3750 / 3750E / 3750X系列
• Catalyst 3750 Metro系列
• Catalyst 4500/4000系列
• Catalyst 4900系列
• Catalyst 5500/5000系列
• Catalyst 6500/6000系列

注意：每种型号的设置过程都不同.

什么是SPAN?

SPAN功能使您可以将数据包嗅探器连接到交换机。如果没有SPAN，则嗅探器仅会接收广播消息，因为交换机会关闭两个通信设备之间的电路，从而锁定连接到不同端口的嗅探器。使用SPAN, 复制通过该端口的所有流量并将其发送到嗅探器端口. 此过程称为“镜像”。

SPAN系统是 能够监视单个端口或多个端口. 也可以识别到该端口的流量方向。 SPAN的一种变体，称为RSPAN（远程交换机端口分析器），使您可以监视交换机之间的流量。 RSPAN选项并非在所有Catalyst交换机上都可用-Express 500 / 520、5500 / 5000、3500 XL，2940、2948G-L3和2900XL交换机不具有RSPAN功能.

您可以将SPAN设置为监视VLAN端口，也可以指定SPAN监视所有VLAN流量。需要解释一些术语。条款 ”资源”和“目的地,联网中常用的“”在SPAN中的含义略有不同。在这里，“源”是任何端口，而不是流量的来源。 SPAN中的“目的地”一词是指数据包嗅探器连接到的端口；这并不意味着监控流量的目的地.

在交换机上设置SPAN

思科建议根据Catalyst交换机的版本使用SPAN设置端口镜像的不同方法。这些步骤只会将流量数据包的副本转移到您将设备连接到的端口上。端口镜像设置将不会存储或分析流量。您可以使用任何网络分析软件来处理发送到设备的数据包.

在IOS交换机上设置SPAN

对于这些交换机型号，您需要进入设备的操作系统并发出命令以指定SPAN端口和要监视的端口。此任务由两行命令实现。一个需要 指定来源, 这意味着将要复制其流量的端口，另一个 给出嗅探器连接到的端口号 –这是目标行.

监视会话源[接口|远程| vlan] [rx | tx |都]
监控会话目标界面

定义完镜像后，需要按CTRL-Z结束配置定义.

会话号仅使您能够创建同时运行的多个不同的监视器。如果在后续命令中使用相同的会话号，则将取消原始跟踪并将其替换为新规范. 端口范围由破折号（“-”）定义，端口序列由逗号（“，”）分隔.

命令行中源端口（要监视的端口）的最后一个元素是交换机是否应复制传输的数据包的规范 从那个港口, 要么 到那个港口, 要么 都.

在CatOS交换机上设置SPAN

较新的Catalyst系列随附了一个更新的操作系统，称为 卡托斯, 而不是较旧的IOS操作系统。在这些开关中用于设置SPAN镜像的命令有些不同。使用此操作系统，您只需使用一个命令（而不是两个）来创建镜像.

设置跨度[rx | tx | both
[inpkts]
[学习中]
[多播]
[过滤器]
[创建]

源端口由该命令中的第一个元素定义，即“ src_mod / src_ports”部分。命令上的第二个端口标识符将自动读取为目标端口，即数据包嗅探器所连接的端口。 “rx | tx |都元素告诉交换机复制传输的数据包 从港口, 要么 到港口, 要么 都.

还有一个set span命令可以关闭镜像：

设置跨度禁用[dest_mod / dest_port | all]

在Catalyst Express 500和Catalyst Express 520交换机上设置SPAN

如果您使用Catalyst Express 500或Catalyst Express 520交换机，则不要在操作系统上输入SPAN设置。为了与交换机通信并更改其设置，您需要安装 思科网络助理 （CNA）。该网络管理软件是免费的，可以在Windows环境中运行。请按照下列步骤操作以使SPAN在交换机上处于活动状态.

1. 通过CNA界面登录交换机.
2. 选择 智能端口 中的选项 CNA 菜单。这将显示代表交换机端口阵列的图形.
3. 单击您要将数据包嗅探器连接到的端口，然后选择 修改 选项。这将显示一个弹出窗口.
4. 选择 诊断程序 在里面 角色 列表并从端口中选择将对其流量进行监视的端口 资源 下拉列表。如果要专门监视VLAN，请从 入口VLAN 清单。如果您不只是为了监视VLAN的流量，请将该值保留为默认值。点击 好 保存设置.
5. 点击 好 接着 应用 在里面 智能端口 屏幕.
6. CNA方法的一个问题是该软件只能在Windows 7以下的Windows版本上运行.

监控网络流量

在交换机上定义SPAN端口只是捕获网络流量的一半。上面说明的过程将复制数据包并将其发送到交换机上的特定端口。接下来，您需要将计算机连接到该端口，并在其上放置一些流量分析软件，以便存储和分析这些数据包。.

您可以在本文中找到有关流量分析软件的更多信息 2023年9种最佳数据包嗅探器和网络分析仪. 您还应该注意，广泛的端口镜像会生成大量数据，这些数据将占用存储空间，因此请尽量选择要监视的端口，不要让数据包捕获过程运行太长时间.

思科流量监控系统

完整的数据包捕获和存储可能使您陷入数据机密性问题。尽管通过网络传输的大多数流量都将被加密，但是如果发往外部站点，则并非所有内部流量都将被加密。除非您的组织决定为电子邮件实施额外的安全性，否则默认情况下，不会加密您网络中的邮件流量.

作为一种替代的流量分析技术，您可以考虑使用NetFlow。这是在所有Cisco设备上启用的消息传递系统，它将仅将数据包的标头转发到中央监视器。您可以在本文中了解有关收集NetFlow数据的网络监视器的信息 10种最佳免费和高级NetFlow分析仪和收集器.

一旦掌握了有关Cisco交换机的所有流量监视功能的所有信息，您便可以更好地决定使用哪种数据包捕获方法.