SPAN(交換端口分析器)以及遠(yuǎn)程SPAN

SPAN，全稱為Switched Port Analyzer，直譯為交換端口分析器。是一種交換機(jī)的端口鏡像技術(shù)。作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流，SPAN并不會(huì)影響源端口的數(shù)據(jù)交換，它只是將源端口發(fā)送或接收的數(shù)據(jù)包副本發(fā)送到監(jiān)控端口。

RSPAN（Remote SPAN），即遠(yuǎn)程SPAN，和SPAN類似，但可以跨越交換網(wǎng)絡(luò)為多層交換機(jī)提供遠(yuǎn)程監(jiān)控。

SPAN技術(shù)主要是用來監(jiān)控交換機(jī)上的數(shù)據(jù)流，大體分為兩種類型，本地SPAN和遠(yuǎn)程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，實(shí)現(xiàn)方法上稍有不同。 利用SPAN技術(shù)我們可以把交換機(jī)上某些想要被監(jiān)控端口（以下簡稱受控端口）的數(shù)據(jù)流COPY或MIRROR一 份，發(fā)送給連接在監(jiān)控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC. 受控端口和 監(jiān)控端口可以在同一臺(tái)交換機(jī)上（本地SPAN），也可以在不同的交換機(jī)上（遠(yuǎn)程SPAN）。

端口鏡像   被監(jiān)控端口的所有流量----》監(jiān)控端口

流鏡像     特定的流 【telnet  ssh 、、、】   ---》監(jiān)控端口

鏡像源端口：mirroring

鏡像目的端口：monitor

監(jiān)控設(shè)備：IPS、IDS

三種配置方法

配置一：

mirroring-group 1 local  本地鏡像組

interface eth

monitor-port             鏡像目的端口

quit

intterface eth

mirroring-port both      鏡像源端口

配置二：

mirroring-group 1 local

interface eth

mirroring-group 1 monitor-port

quit

intterface eth

mirroring-group 1 mirroring-port both

配置三：  

mirroring-group 1 local

mirroring-group 1   monitor-port eth

mirroring-group 1   mirroring-port eth both      

案列一：實(shí)現(xiàn)本地監(jiān)控

需求設(shè)備：一臺(tái)交換機(jī)、三臺(tái)pc，其中一臺(tái)使用linux操作系統(tǒng)進(jìn)行監(jiān)控（使用wireshark）。

拓?fù)鋱D：

交換機(jī)配置：

mirroring-group 1 local

mirroring-group 1   monitor-port eth 1/0/24

mirroring-group 1   mirroring-port eth 1/0/10   eth 1/0/20 both

監(jiān)控設(shè)備配置：

打開虛擬機(jī)linux

安裝wireshark軟件包：如圖

使用命令開始抓包（可以抓取特定的流量）：如圖

在一臺(tái)pc上使用telnet 命令連接另一臺(tái)主機(jī)，則可以抓取流量信息，如圖：

案例二：實(shí)現(xiàn)遠(yuǎn)程監(jiān)控