该图是Catalyst 6000交换机插槽6线路卡的一部分。端口6/1以及6/2属于VLAN 1,端口6/3属于VLAN 2,而端口6/4以及6/5属于VLAN 3。将一嗅探器连接至端口6/2,在各个不同的情况下将其作为监控端口使用。
PSPAN、VSPAN:监控某些端口或者整个VLAN
采用 set span 命令的最简单形式来监控单个端口。句法是: set span <source port> <destination port>
使用SPAN监控单个端口
switch (enable) set span 6/1 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
使用该配置之后,端口6/1接收或者发送的数据包将被复制到端口6/2。当输入了配置时,该情况得到清晰描述。如果要得到当前SPAN配置的摘要信息,使用show span命令即可:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
使用SPAN监控数个端口
The set span <source ports> <destination port> 允许用户指定一个以上的源端口。列出您需要实施SPAN的所有端口,用逗号分隔。命令行解析程序同样可以让您通过使用连字符来指定多个端口。以下实例将说明这个功能。使用端口6/1上的SPAN以及从6/3开始的三个端口范围上的SPAN。仅可存在一个目的地端口,并总是在SPAN源之后对其进行指定。
switch (enable) set span 6/1,6/3-5 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3-5
Oper Source : Port 6/1,6/3-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
注:?/B>Catalyst 4000/5000/6000和Catalysts 2900XL/3500XL不同,前者可以对属于CatOS 5.1之前的VLAN的数个不同端口进行监控。在这里,镜像端口被分配至VLAN1、2和3。
使用SPAN监控VLAN
最后, set span 命令让您能对端口进行简单配置,便可监控整个VLAN的本地业务: set span <source vlan(s)> <destination port> .
将一个或者多个VLAN列表作为源,而非端口列表:
switch (enable) set span 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
进行了以上配置之后,进入或者离开VLAN 2或者VLAN 3的每一个数据包将复制到端口6/2。请注意,该结果和当您单独对所有属于命令中指定VLAN的端口实施SPAN所取得的结果是完全一致的。您可以通过对 Oper Source 以及 Admin Source 字段进行比较来看到这个情况。Admin Source基本上列出您已经对SPAN话路作出的所有配置,而Oper Source字段列出正在使用SPAN的端口。
入口/出口SPAN
在前面的例子中,进入以及离开指定端口的业务受到了监控。您可以在字段 Direction: transmit/receive中看到这个情况。 Catalyst 4000/5000/6000系列交换机让您得以在一个给定端口上收集只出(出局)或者只入(入局)业务。您仅需在结尾处添加关键字 rx ((接收)或者 tx (发送),默认值为 both (发送与接收)。
set span <source> <destination port> <rx/tx/both>
例:这个话路捕获VLAN 1以及VLAN 3的所有入口业务并将其镜像至端口6/2:
switch (enable) set span 1,3 6/2 rx
2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 1,3
Oper Source : Port 1/1,6/1,6/4-5,15/1
Direction : receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
在中继线上实施SPAN
中继线是交换机中的一个特例,它是承载数个VLAN的端口。如果选择中继线作为源端口,该中继线上所有的VLAN业务将受到监控。
对属于中继线VLAN的子集进行监控
在下图中,端口6/5现在是传送所有VLAN的中继线。试想,您想对端口6/4以及6/5VLAN 2中的业务进行SPAN。简单使用该命令即可:
switch (enable) set span 6/4-5 6/2 
在该情况中,SPAN端口所接收的业务将是您所需业务的一个混合体,且所有VLAN通过中继线6/5进行传送。例如,如果数据包来自于VLAN 2中的端口6/4或者来自于VLAN 1中的端口6/5,将无法在目的地端口上进行区别。另一种可能性是使用整个VLAN 2上的SPAN:
switch (enable) set span 2 6/2
采用这个配置,最低限度上您仅监控来自中继线且属于VLAN 2的业务。现在的问题是,您也接收到并不想要的来自于端口6/3的业务。CatOS包括的另一个关键字让您能选择一些VLAN来从中继线进行监控:
switch (enable) set span 6/4-5 6/2 filter 2
2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : 2
Status : active
这个命令将使我们只选择所有受监控的中继线上的VLAN2来实现我们的目标(当然,您可以使用过滤器选项指定数个VLAN)。
注:?/B>仅Catalyst 4000和Catalyst 6000交换机支持过滤器选项。Catalyst 5000不支持使用 set span 命令来提供过滤器选项。
目的地端口上的中继线
如果您的源端口属于数个不同的VLAN,或者当您在一个中继线端口上对数个VLAN使用SPAN时,您可能需要分辨在目的地SPAN端口接收的一个数据包属于哪一个VLAN。这可以通过在对SPAN进行配置之前启用的目的地端口上的中继线来实现。通过这个方式,所有转发至嗅探器的数据包也将被标上各自的VLAN ID。
注:?/B>您的嗅探器需要识别对应的封装。
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
switch (enable) set trunk 6/2 nonegotiate isl
Port(s) 6/2 trunk mode set to nonegotiate.
Port(s) 6/2 trunk type set to isl.
switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk
switch (enable) set span 6/4-5 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
destination port 6/2
创建多个同步话路
到目前为止,仅创建了单个话路。每当您输入一条新的 set span 命令,以上配置将失效。现在CatOS可以同时执行多个话路,换言之,它可以同时具有不同的目的地端口。请使用 set span <source> <destination> create 命令来添加另外的SPAN话路。在以下话路中,端口6/1到6/2将受到监控,与此同时,监控器VLAN 3到端口6/3也将受到监控: 
switch (enable) set span 6/1 6/2
2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2
switch (enable) set span 3 6/3 create
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/3
现在,通过 show span 命令检查你是否同时有两条话路:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
------------------------------------------------------------------------
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 2
现在新增话路已经创建。您需要删除一些话路的方法。命令是:
set span disable <all / destination port>
话路的识别要通过它的目的地端口(因为每个话路只有一个目的地端口)。删除第一个创建的话路,该话路使用端口6/2作为目的地:
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
for destination port 6/2
