陷困境：交换机网络如何部署Sniffer?

　　Sniffer就是这样一款经典工具，它在总线型网络，或者会所共享网络中的工作是顺畅的，你可能都不用搞懂HUB和网卡的工作原理就可以开始配置Sniffer，但在交换式网络中实现还是那么简单吗？

　　在交换以太网的环境下，两台工作站之间的通讯是不会被第三者侦听到的。因此，当部署一般的Sniffer工具后，就没有办法监听网络流量了，这该怎么办？小孙再次陷入困境。

　　在上述情况下，可能会需要进行这样的侦听，如：协议分析、流量分析、入侵检测。以孙钰公司购买的Cisco交换机为例，可以设置智能地捕获网络流量的交换接口分析工具（SPAN）和远程交换接口分析工具（RSPAN），有效地分析通过接口或VLAN的网络流量。

　　借助SPAN或RSPAN，可以将一个交换机的接口映像至另一个交换机接口，即发送流量的备份到该交换机或者其他交换机的另一个接口，这样，只需将分析或侦听设备连接至监控接口，即可实现对被监听接口的分析和侦听。由于SPAN采用复制（或镜像）源接口或源VLAN上的接收或发送（或两者都有的）流量到目的接口，因此，SPAN不影响源接口或VLAN的网络交换。事实上，除了SPAN或RSPAN会话所需的流量之外，目的接口不会接收或转发流量。

　　Cisco交换机的SPAN （Switched Port Analyzer交换接口分析器）特性，其它厂商称为“接口镜像”、“监控接口”功能。侦听的对象可以是一个或多个交换机接口，或者整个VLAN。如果要侦听的接口（源接口）或VLAN和连接监控工作站的接口（目标接口）在同一台交换机上，只需配置SPAN，如图2所示。

　　图2 同一台交换机上的SPAN
　　如果不在同一台交换机上，如图3所示，则需要配置RSPAN （Remote SPAN）。

　　图 3 不同交换机上的RSPAN