使用SPAN对交换机端口进行分析

我已经听到过许多人提出关于使用协议分析器（以及嗅探器）方面的问题，比如如何用Ethereal来对网络通讯进行解码，监控，以及了解网络通讯等多个方面。为了达到上述目的，他们希望将自己的监控站点连接到一台交换机上，然后查看所有穿越该交换机以及流经全网的通讯。

如果你在使用集线器的话，那么这么做是没有问题的。不过，我们中的绝大多数人早已不使用集线器了；实际上，取而代之的是，我们使用交换机。而试图使用交换机来监控所有的网络通讯是不起作用的。

当使用一个类似Ethereal这样的协议分析器时，你一般会希望看到自己能力范围内尽可能多的网络通讯。然后，你可以对它进行过滤，从而获得自己真正需要的部分。但是如果你是在一台连到交换机的电脑上运行协议分析器时，你所能看到的将仅仅是在你电脑上进出的网络通讯，以及网络中的广播通讯而已。

为什么会出现这种情况呢？因为在一台交换机上，每个端口都是一个私有网段。这一点和集线器大不相同。一台集线器工作起来很像是一个多端口的重复发送，将来自每个端口的任意通讯都转发到所有其他端口上。而在这个过程中，所有集线器上的设备都共享同一带宽。

而在交换机上，每一个端口都有自己的私有带宽，无需和其他端口（设备）进行分享。由交换机来维护一个有关所有端口以及端口以太网MAC地址的表格。

这些表格就是我们熟知的表格或者叫做MAC地址表，你可以通过在一个Cisco Catalyst交换机上使用show mac-address-table命令。表格A提供了一个示例。

所以，这就意味着交换机将只向你发送那些和你工作站相关的网络通讯。不同于路由器，交换机还会同时向你发送针对所有局域网设备的广播通讯。

那么，该如何做才能将一台交换机上的所有通讯都复制到你的协议分析器之中呢？要想做到这一点，并让你的网络协议分析器看到所有的网络通讯的话，你就需要使用一个叫做SPAN（Switched Port Analyzer，交换端口分析器），或一个叫做RSPAN（Remote SPAN）的Cisco交换机功能。其他的生产商则将此功能称作“端口镜像（port mirroring）”。

这就是SPAN的工作方式：它首先获取单个端口（或多个端口，或者是整个VLAN）的所有通讯，然后将该通讯全部复制到目标端口上。除了定义源端口和目标端口之外，你还可以指示具体发送到目标端口的数据类型，到底是“所有发出的通讯”，“所有收到的通讯”，或者是“发送/收到两者都需要”。

而RSPAN则让你可以将来自多台交换机多个端口上的通讯发送到某个目标端口上。举例来说，假设VLAN 20和局域网多个区域中散布的5台交换机相连。通过使用RSPAN，你可以确保所有目标为VLAN 20的通讯——来自上述5台交换机中的任意一个——都发送到你的目标交换机端口上。然后，网络协议分析器就可以对这些通讯进行检查了。

配置SPAN极其简单。唯一需要留意的是，有很多有关源端口和目标端口的“规则”。同时你也需要了解SPAN是如何与其他协议（例如STP，VTP，以及CDP）一起协同工作的。

这里是一个如何配置SPAN的示例。让我们假设，我们试图镜像一台24口交换机上的前23个端口中的所有通讯。然后我们打算把所有的通讯拷贝都发送到24端口，以便进行协议分析。下面就是我们的做法：

Switch(config)# monitor session 1 source interface FastEthernet 0/1 - 23 both

Switch(config)# monitor session 1 destination interface FastEthernet 0/24

要注意，由于要对大量的通讯进行镜像，所以该交换机的性能会受到极大的影响。所以务必要在分析任务完成后关闭所有的监控。下面是具体示例。

Switch(config)# no monitor session 1

你可以使用show monitor命令来检查监控状态。这里是一个示例：

Switch# show monitor 因为现在几乎所有的人都在使用交换机。这也是为什么说“了解如何在Cisco交换机上使用SPAN来进行端口镜像很重要”的原因。

（责任编辑:陈毅东）