图6-1中的3台计算机在同一网段,互相能够“ping”通,其中PC2安装数据包捕获软件,如Wireshark。在配置SPAN功能前,PC2上运行Wireshark监听本地网卡接口,但无法捕获到PC1与PC3之间的数据包。这是因为交换机转发数据包时是不会将转发的数据包进行广播的。因此,PC1与PC3的数据通信只存在于f0/1和f0/3之间,f0/2是收不到的。
图6-1 基于端口的SPAN配置拓扑图
在交换机上进行如下配置,实现f0/2端口监听f0/1端口。
上面的配置指令创建了一个监听会话(monitor session),编号为1,同一台交换机最多支持4个会话,设置了监听的数据流从交换机端口f0/1流出(source),目的地是端口f0/2(destination)。
完成上述配置后,在PC1上使用“ping”命令测试其与PC3的连通性,同时在PC2上运行Wireshark监听本地网卡接口,此时可以收到PC1与PC3之间的ARP和ICMP数据包,如图6-2所示。
图6-2 PC2监听到PC1与PC3之间的数据包
图6-2中,前两条报文是PC1使用ARP协议查找PC3(1.1.123.3)的MAC地址的请求与响应报文。得到PC3的MAC地址后,PC1发送了ICMP请求报文,即图中第3条报文。PC3接收到ICMP请求报文后同样使用ARP协议获取了对方的MAC地址,之后就是ICMP报文的请求与应答。
SPAN功能的配置比较简单,但仍需要注意以下两点。
1.可以同时监听多个端口上转发的数据(www.xing528.com)
在配置被监听端口时,可以使用“,”或“-”设置多个端口,并且在每个端口上都可以设置接收或发送两个方向的数据监听。rx代表交换机接收的数据,tx代表交换机发出的数据,both代表两个方向的数据都监听,是默认设置。通过在指令中使用“?”可以查看。由于某些原因(如端口安全),从源端口输入的报文可能会被交换机丢弃,但这不影响 SPAN 功能,该报文仍然会被转发到目的端口。
交换机可以对监听会话中接收的数据(rx方向)应用访问控制列表(ACL)进行数据流限制,只监听匹配的ACL数据流。
2.监听端口是否需要转发数据
上述指令在交换机上配置完成后,PC2虽然可以监听到数据包,但是PC2无法和任何主机通信了,f0/2不再转发除了此监听会话外的所有数据,如果需要PC2仍然保持通信状态,需要添加“switch”指令,如下所示。
无论监听端口与被监听端口是否在一个VLAN中,端口模式是否一致,SPAN功能都是有效的。读者可以尝试将f0/2端口划分到与f0/1和f0/3不同的VLAN中观察数据包捕获的情况。也可以尝试将f0/2改为Trunk模式观察数据包捕获的情况。
在特权模式下可以查看SPAN会话,在全局配置模式下可以使用“no”命令清除SPAN会话,如下所示。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
