4. 创建 RMON 统计组表项
可以针对物理端口设置统计表项。当设置了一个端口的统计表项后,交换机将从这时开
始各种数据的统计。
在特权 Exec 模式下,可以通过以下步骤来创建一个 RMON 统计组表项。
① 进入全局配置模式。
Switch # configure terminal
② 指定创建统计组表项的接口,并进入接口配置模式。
Switch(config) # interface interface-id
③ 创建 RMON统计组表项。 index指定这个统计表项的索引,值的范围是 1~65 535。 owner
ownername(可选)标志这个表项的拥有者。
Switch(config-if) # rmon collection stats index [owner ownername]
④ 返回特权 Exec 模式。
Switch(config-if) # end
⑤ 校验配置。
Switch # show running-config
⑥ 显示交换机统计表的收集量。
Switch # show rmon statistics
⑦ 保存配置。
Switch # copy running-config startup-config
禁用以太网组统计量的收集,使用“ no rmon collection stats index”接口配置命令。
5. 显示 RMON 的状态
使用下述命令,可以显示 RMON 的状态。
显示全部的 RMON 统计:
show rmon
显示 RMON 警告表:
show rmon alarms
显示 RMON 事件表:
show rmon events
显示 RMON 历史表:
show rmon history
显示 RMON 统计表:
show rmon statistics
7.3.4 配置 SPAN 和 RSPAN
使用 SPAN( Switched Port Analyzer)或者 RSPAN( Remote SPAN)可以有效地分析通过
端口或 VLAN 的网络流量。借助 SPAN 或 RSPAN,可以将一个交换机的端口映像至另一个交
换机端口,即发送流量的备份到该交换机或者其他交换机的另一个端口,这样只需将分析或侦
听设备连接至监控端口,即可实现对被监听端口的分析和侦听。由于 SPAN 采用复制(或镜像)
源端口或源 VLAN 上的接收或发送(或两者都有的)流量到目的端口,因此 SPAN 不影响源
端口或 VLAN 的网络交换。事实上,除了 SPAN 或 RSPAN 会话所需的流量之外,目的端口不
会接收或转发流量。
1. SPAN 和 RSPAN 简介
对单个或多个交换机端口进行监控和故障查寻,不需要中断现有业务流量,有助于故障
隔离。交换式端口分析器( SPAN)分析经过某个本地端口或 VLAN 的流量信息。然后, SPAN
发送一份流量的副本给连接安全设备的交换机端口。
一旦启用了 SPAN、 VSPAN 或 RSPAN,目标端口的 STP 就被禁止,可能会造成环路。另外,配置 RSPAN 之前要先定义一个 RSPAN 专用的 VLAN。如果在 VTP 服务器上配置了 RSPAN VLAN, 那么 VTP 服务器自动将正确的信息传播给其他中间交换机。否则,要确保每台中间交换机都配置有 RSPAN VLAN。
SPAN 术语
入口业务:进入交换机的业务。
出口业务:离开交换机的业务。
源( SPAN)端口:用 SPAN 功能受监控的端口。
目的地( SPAN)端口:监控源端口的端口,通常连有一个网络分析器。
监控端口:监控端口也是目的地 SPAN 端口。
管理源:已配置受监控的源端口或者 VLAN 的列表。
操作源:受到有效监控的端口列表。这可能与管理源有所不同。例如,在关闭模式下
的端口可能在管理源中出现,但它不受有效监控。
SPAN 模式
SPAN 拥有以下 3 种模式。
本地 SPAN:也称 PSPAN,指基于端口的 SPAN。源端口和目的端口都处于同一交换
机(如图 7-23 所示),并且源端口可以是一个或多个交换机端口。
远程 SPAN 或者 RSPAN:目的端口的源端口没有位于同一交换机上(如图 7-24 所示)。这是一项高级功能,要求有专门的 VLAN 来传送该业务,并由交换机之间的 SPAN进行监控,因此,要求中间交换机必须支持 RSPAN VLAN 技术。由此可见,并非所有交换机均支持 RSPAN。所以应检查各自的版本说明或者配置指南,核实要进行配置的交换机是否可以使用该功能。
VSPAN:指基于 VLAN 的 SPAN。 SPAN 的一种变体,源端口不是物理端口,而是
VLAN。在给定的交换机中,用户可以使用单个命令来选择对属于专门 VLAN 的所
有端口进行监控。
2. SPAN 和 RSPAN 默认配置
表 7-4 显示了 SPAN 和 RSPAN 的默认配置。
3. SPAN 会话中的流量监视限制
源既可以是端口也可以是 VLAN,但不能将源端口和源 VLAN 混合放入一会话中。也就是说, VLAN 或端口应当分别位于不同的会话。同一会话中,要么是 VLAN,要么是端口,而不能既有端口又有 VLAN。
可以配置在每个交换机堆栈上的两个源会话(本地 SPAN 和 RSPAN 源会话)。在同一台交换机上,可以同时运行一个本地 SPAN 和一个 RSPAN。源和 RSPAN 目的会话的总数不能超过 66 个。
在一个 SPAN 会话中,可以有多个目的端口,但最多不能超过 64 个目的端口。
借助分开或重叠配置的 SPAN 源端口和 VLAN,可以配置两个分开的 SPAN 或 RSPAN源会话。
SPAN 会话不会干涉交换机的正常工作。 但是, 源端口与目的端口的速率应当尽量匹配,甚至目的端口的速率应当高于源端口。如果使用 100 Mbps 端口监视 1000 Mbps 端口,那么将导致端口宕掉或者丢失数据。
当 RSPAN 被启用时,一个被监视的包将发送两次,一次作为正常传输,一次作为监视包。因此,当监视大量的端口或 VLAN 时,将会大幅增加网络流量。
可以将禁用的端口配置为源或目的端口,但 SPAN 不会自动开始,直至目的端口和至少一个源端口或源 VLAN 被启用。
不能在一个会话中同时存在 SPAN 和 RSPAN。 RSPAN 源会话不能有本地目的端口,RSPAN 目的会话也不能有一个本地源端口。在同一交换机上,一个 RSPAN 目的会话和一个 RSPAN 源会话用于同一 RSPAN VLAN 时,将不能运行。
交换端口和路由端口都能够被配置为 SPAN 源端口和目的端口。
4. 配置本地 SPAN
当监视源端口和目的端口都在同一台交换机上时,应当配置本地 SPAN。
配置 SPAN 的配置策略
当配置 SPAN 时遵循下面的策略。
对于源端口而言,既可以是一个端口或 VLAN,也可以是几个端口或 VLAN。但是
在一个会话中,不能既有 VLAN 又有端口。
目的端口不能成为一个源端口,一个源端口也不能成为目的端口。
不能在同一个目的端口上有两个 SPAN 会话。
当配置一个交换机端口作为一个 SPAN 目的端口时,该交换机端口便不再是一个常规
的交换机端口。只有监控的通信可以抵达 SPAN 目的端口。
将 10 Gbps 以太网模块端口配置为 SPAN 或 RSPAN 目的端口时,其连接速率可能会降低。
键入 SPAN 配置命令不能移除以前配置的 SPAN 参数。必须键入“ no monitor session
{session_number | all | local | remote}”全局配置命令,才能删除已配置的 SPAN 参数。
对本地 SPAN 而言,如果“encapsulation replicate”关键字被指定,向外发送的数据
包通过 SPAN 目的端口时,将携带初始封装报头——未标记的 ISL 或 IEEE802.1q。如
果该关键字没有被指定,数据包就会以本地模式发送。对于 RSPAN 目的端口,向外
发送的数据是没有被标记的。
可以限制 SPAN 通信到指定的 VLAN,使用“ filter vlan”关键字。如果一个汇聚端
口被监控,只有具有关键字的在指定的 VLAN 上的通信才可以被监控。默认情况下,
所有在中继端口上的 VLAN 都被监控。
创建本地 SPAN 会话
创建一个 SPAN 会话,并且指定源端口或 VLAN,以及目的端口。下述操作从特权 Exec
模式下开始。
① 进入全局配置模式。
Switch # configure terminal
② 在对话中移除所有存在的 SPAN 配置。
Switch (config) # no monitor session {session_number |all |local |remote}
③ 指定 SPAN 会话和源端口(被监视端口)。 session_number 可取值范围为 1~66,
interface-id 端口号的有效取值范围为 1~48。 vlan-id 可取值范围为 1~4094。 Both 表示同时监
视进/出双向流量, Rx 表示仅监控入口流量; Tx 表示仅监控出口流量。
Switch (config) # monitor session session_number source {interface interface-id
|vlan vlan-id} [, |-] [both |rx |tx]
④ 指定 SPAN 会话和目的端口(监视端口)。
Switch (config) # monitor session session_number destination {interface
interface-id [,|-] [encapsulation replicate]}
⑤ 返回特权 Exec 模式。
Switch (config-if) # end
⑥ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑦ 保存当前配置。
Switch # copy running-config startup-config
要删除一个 SPAN 会话,使用“ no monitor session session_number”全局配置指令。移除
来自一个 SPAN 会话的源或者目的端口或者 VLAN,使用“ no monitor session session_number
source {interface interface-id |vlan vlan-id}”全局配置命令,或者“ no monitor session
session_number destination interface interface-id”全局配置指令。对于目的接口封装选项和没
有形式的命令都被忽略。
创建本地 SPAN 会话并配置流量
在特权 Exec 模式下开始,创建一个 SPAN 会话,指定源端口或目的端口,并且在目的端
口为一个网络安全设备启用流量控制。
① 进入全局配置模式。
Switch # configure terminal
② 为会话移除所有已存在的 SPAN 配置。
Switch (config) # no monitor session {session_number |all | local | remote}
③ 指定 SPAN 会话和源端口(被监视端口)。
Switch (config) # monitor session session_number source {interface interface-id
| vlan vlan-id} [,|-] [both | rx |tx]
④ 指定 SPAN 会话、目的端口、封装包和 VLAN 封装。
Switch (config) # monitor session session_number destination {interface
interface-id [,| -] [encapsulation replicate] [ingress {dot1q vlan vlan-id | isl
|untagged vlan vlan-id |vlan vlan-id}]}
⑤ 返回特权 Exec 模式。
Switch (config) # end
⑥ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑦ 保存配置。
Switch # copy running-config startup-config
要删除一个 SPAN 会话,使用“ no monitor session session_number”全局配置指令。要移
除一个源或者目的端口或者来自 SPAN 会话的 VLAN,使用“ no monitor session session_number
source {interface interface-id |vlan vlan-id }”全局配置指令,或者“ no monitor session
session_number destination interface interface-id ”全局配置指令。对于目的接口,封装选项和
没有形式的命令都被忽略。
指定过滤 VLAN
在特权 Exec 模式下,限制到指定 VLAN 的 SPAN 源流量。
① 进入全局配置模式。
Switch # configure terminal
② 为会话移除已存在的所有的 SPAN 配置。
Switch (config) # no monitor session {session_number |all |local | remote}
③ 指定源端口的特性和 SPAN 会话。
Switch (config) # monitor session session_number source interface interface-id
④ 限制到指定 VLAN 的 SPAN 源流量。
Switch (config) # monitor session session_number filter vlan vlan-id [,|-]
⑤ 指定 SPAN 会话和目的端口(监视端口)。
Switch (config) # monitor session session_number destination {interface
interface-id [,|-] [encapsulation replicate]}
⑥ 返回特权 Exec 模式。
Switch (config) # end
⑦ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑧ 保存配置。
Switch (config) # copy running-config startup-config
检测中继端口上的 VLAN,使用“no monitor session session_number filter”全局配置命令。
暂无评论内容