CISCO交換機端口鏡像配置

鏡像口配置

    大多數交換機都支援鏡像技術，這可以對交換機進行友善的故障診斷。我們稱之為“mirroring ”或“Spanning ”。鏡像是将交換機某個端口的流量拷貝到另一端口(鏡像端口)，進行監測。 

Cisco3550可以配置2個鏡像口

案例：将端口2~5鏡像到端口6

1、鏡像口配置

Switch>enable                         

Switch#conf  t                         

Step3: 配置鏡像源，可以是端口也可以是Vlan

Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx

上面指令最後一個參數:

both  監聽雙向資料,預設為both

rx    接收

tx    發送

Step4: 配置鏡像目的端口

Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6

Switch(config)#exit

Switch#wr

Step7:檢視配置結果

Switch#show monitor

Session 1

---------

Type              : Local Session

Source Ports      :

    RX Only       : Gi0/2-5

Destination Ports : Gi0/6

    Encapsulation : Native

          Ingress : Disabled

Both      監聽雙向資料

RX Only   監聽接收

Tx Only   監聽發送 

2、删除鏡像端口

Switch#conf t

Switch(config)#no monitor session 1

Switch(config)#end 

Switch#wr 

 No SPAN configuration is present in the system. 

3.其他 

(1)端口鏡像的過濾，端口鏡像是可以做Filter的。 

monitor session session_number filter vlan vlan-id [, | -] 

**指定源端口進入的流量中，屬于哪些VLAN的可以從目的端口發出去。 

(2)删除鏡像 

no monitor session {session_number | all | local | remote} 

**session_number指定會話号，all是所有鏡像，local是本地鏡像，remote是遠端鏡像。 

(3)鏡像的目的端口不能正常收發資料，是以不能再作為普通端口使用，可以連接配接一些網絡分析和安全裝置，例如裝有sniifer的計算機或者Cisco IDS裝置。 

    在交換以太網的環境下，一般兩台工作站之間的通訊是不會被第三者偵聽到的。在某些情況下，我們可能會需要進行這樣的偵聽，如：協定分析、流量分析、入侵檢測。為此我們可以設定Cisco交換機的SPAN (Switched Port Analyzer交換端口分析器)特性, 或早期的“端口鏡像”、“監控端口”功能。 偵聽的對象可以是一個或多個交換機端口，或者整個VLAN。如果要偵聽的端口(“源端口”)或VLAN和連接配接監控工作站的端口(“目标端口”)在同一台交換機上，我們隻需配置SPAN; 如果不在同一台交換機上，需要配置RSPAN (Remote SPAN)。不同的交換機對SPAN有不同的限制，如2900XL交換機中源端口和目标端口必須在同一VLAN、某些交換機不支援RSPAN等等，詳見裝置文檔。 

在配置SPAN的時候，我們需要提供的參數是源端口或VLAN号以及目标端口。 

4000/6000 CatOS 交換機:

set span 6/17 6/19//SPAN:源端口為6/17 目标端口為6/19 

2950/3550/4000IOS/6000IOS 交換機：

monitor session 1 local          //SPAN

monitor session 1 source interface fastethernet 0/17 both   //源端口，也可以是某個VLAN

monitor session 1 destination interface fastethernet 0/19   //目标端口 

2900/3500XL 交換機：

Switch(config)#interface fastethernet 0/19           //目标端口

Switch(config-if)#port monitor fastethernet 0/17     //源端口 

1900 交換機: (或使用菜單 [M] Monitoring)

monitor-port monitored 0/17    //源端口(0/17和0/18端口)

monitor-port monitored 0/18

monitor-port port 0/19         //目标端口

monitor-port                   //開始監控 

在配置RSPAN的時候，我們首先要定義一個類型為RSPAN的VLAN。在普通VLAN上如果源主機和目标主機都在同一台交換機上，則它們之間的單點傳播通訊不需要通過TRUNK傳遞到别的交換機，而RSPAN VLAN需要在TRUNK上轉發這樣的通訊，以保證監控機能夠偵聽到。在源交換機上，需設定使被偵聽的端口或VLAN把流量轉發到RSPAN VLAN上(如果是運作IOS的交換機，需要另外設定一個端口作為反射端口); 在目标交換機上，需設定把RSPAN VLAN中的資訊轉發到連接配接監控主機的目标端口。 

IOS交換機,如3550:

3550(config)#vlan 900//建立RSPAN VLAN

3550(config-vlan)#remote-span 

monitor session 1 remote//源交換機

monitor session 1 source interface fastethernet 0/17 both//源端口

monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20//目标RSPAN VLAN，反射端口 

monitor session 2 remote//目标交換機

monitor session 2 source remote vlan 900//RSPAN VLAN

monitor session 2 destination interface fastethernet 0/19//目标端口 

CatOS 交換機，如6500: 

set vlan 900 rspan//建立RSPAN VLAN 

set rspan source 4/1-2 900 //源交換機 

set rspan destination 4/19 900//目标交換機 

最近一次配置完RSPAN之後，有使用者反映：部分網段出現嚴重丢包現象。仔細檢查，發現部分交換機的上聯端口負載很重。再分析，原來在兩台中心交換機上啟用了一個RSPAN程序，RSPAN VLAN上的流量很大，達300M。由于VTP 域中沒有啟用Pruning 功能，這個RSPAN VLAN的流量出現在所有的TRUNK上，造成了阻塞。把RSPAN VLAN從這些TRUNK上修剪掉之後，網絡恢複了正常。 

SPAN功能的出現，使保護交換機不被非法控制變得更為重要。因為假如黑客控制了一台主機和部分交換機，他将能夠使用SPAN/RSPAN和Sniffer竊聽任何在網絡上傳遞的資訊。 

       先解釋一下端口鏡像：端口鏡像簡單的說，就是把交換機一個（數個）端口（源端口）的流量完全拷貝一份，從另外一個端口（目的端口）發出去，以便網絡管理人員從目的端口通過分析源端口的流量來找網絡存在問題的原因。 

cisco的端口鏡像叫做SWITCHED PORT ANALYZER，簡稱SPAN（僅在IOS系統中，下同），是以，端口鏡像僅适用于以太網交換端口。Cisco的SPAN 分成三種，SPAN、RSPAN和VSPAN，簡單的說，SPAN是指源和目的端口都在同一台機器上、RSPAN指目的和源不在同一交換機上，VSPAN可以鏡像整個或數個VLAN到一個目的端口。 

配置方法： 

1. SPAN 

(1) 建立SPAN源端口 

monitor session session_number source interface interface-id [, | -] [both | rx | tx] 

**session_number,SPAN會話号，我記得3550支援的最多本地SPAN是2個，即1或者2。 

**interface-id [, | -]源端口接口号，即被鏡像的端口，交換機會把這個端口的流量拷貝一份，可以輸入多個端口，多個用“,”隔開， 連續的用“-”連接配接。 

[both | rx | tx]，可選項，是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流量，預設是both。 

(2)建立SPAN目的端口 

monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL 

[ingress]} | ingress vlan vlan id] 

**一樣的我就不說了。 

**session_number要和上面的一緻。 

**interface-id目的端口，在源端口被拷貝的流量會從這個端口發出去，端口号不能被包含在源端口的範圍内。 

**[encapsulation {dot1q | isl}]，可選，指被從目的端口發出去時是否使用802.1q和isl封裝，當使用802.1q時，對于原生VLAN不進行封裝，其他VLAN封裝，ISL則全部封裝。 

2.VSPAN 

(1)建立VSPAN源VLAN 

monitor session session_number source vlan vlan-id [, | -] rx 

**一樣的也不說了，基本和SPAN相同，隻是接口号變成了VLAN号，而且隻能鏡像接收的流量。 

(2)建立VSPAN目的端口 

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] 

**和SPAN的一樣。 

3.RSPAN 

RSPAN的配置較為複雜，其流程可以這樣來看，交換機把要鏡像的端口流量複制一份，然後發到本機的一個反射端口上（reflector-port ） ，在由反射端口将其通過網絡轉發到目的交換機中的VLAN上

（一般情況下，這個VLAN是專為鏡像而設的，不要作為用戶端接入所用），再在目的交換機中配置VSPAN，将該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN被使用，該鏡像專用VLAN的資訊會被轉發到所有的VLAN 主幹上，造成網絡帶寬的浪費，是以要配置VLAN修剪(pruning)，另外RSPAN也可以鏡像VLAN。 

(1)在源交換機上建立RSPAN源端口 

**同SPAN或VSPAN 

(2)在源交換機上建立VSPAN反射端口和目的VLAN 

monitor session session_number destination remote vlan vlan-id reflector-port interface 

**vlan-id 目的交換機上轉為鏡像而設的VLAN 

**reflector-port interface源交換機上的鏡像端口 

(3)在目的交換機上建立VSPAN源VLAN 

monitor session session_number source remote vlan vlan-id 

**vlan-id就是上面的鏡像專用VLAN 

(4)在目的交換機上建立VSPAN目的端口 

**同SPAN 

開啟思科交換機telnet服務的配置指令：

enable secret cisco  #配置進入特權模式的密碼（密文密碼，也可以設定明文密碼）

line vty 0 4         

  password cisco

int vlan1

ip add 172.16.5.1 255.255.0.0  #在vlan1上配置ip位址并進行網管

no shut

Cisco交換機配置，寫了很久的了，

2950交換機的基本配置，目前我們常用的是配置VLAN，另外就是便于管理，配置IP位址及允許Telnet登入。象生成樹及VTP的培置，一般的小企業或系統都不用配置,未做講解。

1  基本概念

1.1交換機的分類

Cisco的交換機按照交換機作業系統來分主要分為兩種：

基于Catalyst OS，常見的如4000、5000、6000系列的，比較高端，一般用不到，局方的核心交換機可能用到。

基于IOS的，如2950，3560等，配置指令與路由器類似，我們用的一般是思科的接入（Access）交換機，屬于比較低端的。

1.2配置模式

交換機配置的幾種模式要清楚，不同的配置模式可用的指令不同。

根據提示符可以做判斷，常見的模式如下。

switch: ；ROM狀态， 路由器是rommon>

switch > ；使用者模式  使用者模式下能夠執行的指令有限，從控制台登入可直接進入使用者模式

switch # ；特權模式  執行各種Show指令在特權模式下進行

switch (config)# ；全局配置模式  進行交換機的配置

switch (config-if)# ；接口模式    進行該接口的相關配置

2 常見配置

2.1模式的切換

switch>enable ；進入特權模式   如果設定了密碼則需輸入密碼才能登入，未設密碼則直接可以輸入

switch#config terminal ；進入全局配置模式

switch (config)interface ***;  進入接口模式

在各個模式下輸入exit指令，傳回上一級模式。

2.2密碼設定 

出于安全的考慮，需要設定相關的密碼，主要是控制台的登入密碼，Telnet密碼等，用show run指令可以檢視配置是否成功，相關的指令如下：

switch(config)#hostname  ；設定交換機的主機名

switch(config)#enable secret xxx ；設定特權加密密碼，show run隻能看到密文

switch(config)#enable password xxa ；設定特權非密密碼，show run可以看到密碼

switch#exit ；傳回指令

Telnet的密碼設定見《2.5 管理位址及Telnet配置》。

2.3 配置檢視

switch#write （或copy run start）；儲存配置資訊，如果不儲存，重新開機後配置丢失

switch#reload 重新開機交換機

switch#show run ；檢視目前配置資訊

switch#show start 檢視儲存的配置 

switch#show vlan ；檢視vlan配置資訊

switch#show interface ；檢視所有端口資訊

switch#show int f0/0 ；檢視指定端口資訊

2.4 VLAN配置

思科交換機預設隻有一個VLAN，即Vlan1，Vlan1同時也充當管理的功能。在較大的網絡中配置VLAN需要做好VTP域的規劃，還要考慮做VLAN間的路由等，相應的來說比較複雜，我們要做的隻是在單台交換機上劃分VLAN，相應來說比較簡單。目前，一般企業所有的伺服器都放在防火牆的Inside 口，甚至不用劃分VLAN。

VLAN配置主要有兩個步驟，第一步是建立VLAN，第二步就是将端口劃分到相應的VLAN（預設都在VLAN1）。

基本指令如下

switch#vlan database ；進入VLAN設定

switch(vlan)#vlan 2 ；建VLAN 2

switch(vlan)#no vlan 2 ；删vlan 2

switch(config)#int f0/1 ；進入端口1

switch(config-if)#switchport access vlan 2 ；目前端口加入vlan 2

再舉例如下：

建立VLAN：

 　　switch#config t 

　　switch(config)#hostname GD2950 将交換機改名為GD2950，提示符将變化

　　GD2950 (config)#exit

　　GD2950#vlan database

　　　　GD2950(vlan)#vlan 2 name DMZ    /*建立名為DMZ的VLAN2

　　　　VLAN 2 added:

　　　　Name: DMZ

　　　　GD2950(vlan)#vlan 3 name Temp   /*建立名為Temp的VLAN3

　　　　VLAN 3 added:

　　　　Name: Temp

　　　　GD2950(vlan)#end

　　　　GD2950#

端口配置VLAN：

 　　交換機端口有Trunk模式用不上，預設是Access模式

GD2950#config t 

　　GD2950(config)#int f0/2　　

　　GD2950(config-if)#switchport access vlan 2     /*設定端口屬于VLAN2

　　GD2950(config-if)#int f0/3

　　GD2950(config-if)#switchport access vlan 3  /*設定端口屬于VLAN3

　　GD2950(config-if)#int f0/4

　　GD2950(config-if)#switchport access vlan 4     /*設定端口屬于VLAN4

　　GD2950(config-if)#exit

　　GD2950(config)#exit

　　GD2950#

2.5 管理位址及Telnet配置

思科的交換機和路由器預設不能Telnet，需要進行必需的配置。對于交換機要進行Telnet，必需先配一個IP位址（即通常的管理位址），需要注意的是IP位址不是針對某個端口，而是針對VLAN1（一個網段）而言，這點同路由器有差別。

配置管理位址：

switch(config)#interface vlan 1 ；進入vlan 1

switch(config-if)#ip address 192.168.1.20 255.255.255.0  ；設定IP位址為192.168.1.20，                                        掩碼為24位

switch(config)#ip default-gateway 192.168.1.1 ；設定預設網關為192.168.1.1，網關一般可以不用設定

設定完成後，可以用其他機來Ping所配置的IP，看是否能夠Ping通。

Telnet設定：

switch(config)#line vty 0 4 ；進入虛拟終端

switch(config-line)#login ；允許登入

switch(config-line)#password xx ；設定登入密碼xx，需要注意的是一定要設定密碼，也不能将密碼設定為空，否則無法登入。因為Telnet時必需輸入一個非空的密碼。

所有的配置完成後，記得用write或copy run start儲存。

這時可以用telnet來檢視是否可以登入。要将明文方式的密碼加密顯示，可執行下面指令：

switch# service password-encryption

本文轉自 sunrisenan 51CTO部落格，原文連結:http://blog.51cto.com/sunrisenan/1876574