SPAN、RSPAN及ERSPAN介绍

小乔

本节书摘来自《CCIE路由和交换认证考试指南（第5版） （第1卷）》一书中的第1章，第1.5节SPAN、RSPAN及ERSPAN，作者 【美】Narbik Kocharians（那比克 科查理安） , 【斯洛伐克】Peter Paluch（彼得 派拉奇）

1.5　SPAN、RSPAN及ERSPAN
Cisco Catalyst交换机支持一种转发方式，将一个源接口或源VLAN的所有流量转发至另一个接口。此特性在Cisco文档中称为SPAN（即交换机接口分析），有时也因其配置命令而称为会话监控，该特性对许多应用都有用。SPAN特性可以用来监控流量是否合规、进行数据收集或支持特定的应用。例如，工程师可以将语音VLAN的所有流量转发给一个交换机接口，以方便记录VoIP网络中的通话记录。此特性的另一个常用方式是用在支持入侵检测/防御系统（IDS/IPS）的安全方案中。

SPAN会话可以源于一个或几个接口，也可以源自一个VLAN。这为收集或监控来自一个特定源设备或一整个VLAN的流量提供了极大的灵活性。

在SPAN的操作中，SPAN会话的目的接口可以在本地交换机上。目的接口也可以是网络中其他交换机的接口，这种模式称为远程SPAN或RSPAN。在RSPAN中，工程师必须在从源接口或源VLAN，去往RSPAN目的接口的整个交换路径上，配置一个特定的VLAN；也要求路径中的所有Trunk中都包含这个RSPAN VLAN。图1-7为SPAN案例的拓扑，图1-8为RSPAN案例的拓扑，图1-9为封装远程SPAN（ERSPAN）的拓扑。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

本节的信息特别对应于Cisco 3560交换平台：Cisco 3750及许多其他平台使用相同或相似的规则及配置命令。

1.5.1　SPAN、RSPAN及ERSPAN的核心概念
将SPAN、RSPAN及ERSPAN分解为基本的元素有助于理解，同时也可以帮助读者理解如何配置这些特性。

在SPAN中，工程师可以创建SPAN源，由交换机上至少一个接口或至少一个VLAN组成。在同一台交换机上，工程师可以配置SPAN目的接口。之后交换机会收集SPAN源数据，然后发给SPAN目的。

在RSPAN中，工程师可以创建相同的源类型——至少一个接口或至少一个VLAN。会话的目的为RSPAN VLAN，而不是交换机上的某个接口。在包含RSPAN目的接口的交换机上，RSPAN VLAN数据会被转发给RSPAN接口。

在ERSPAN中，工程师实际上可以封装远程SPAN信息。如名称所示，封装远程SPAN（ERSPAN）会为所有捕获的流量创建GRE（通用路由封装）隧道，并允许其通过第3层字段进行扩展。这是由IOS-XE带来的增强操作特性，可以在如ASR 1000一类的平台中使用，不过Catalyst 6500、7600和Nexus平台也支持ERSPAN。各种监控源包括快速以太网接口、吉比特以太网接口和Port-Channel接口。

无论工程师使用了哪种类型的SPAN，SPAN的源接口都可以是任意类型的接　 口——路由接口、物理的交换机接口、Access接口、Trunk接口、EtherChannel接口（无论是物理接口，还是Port-Channel接口）等。在SPAN的源VLAN中，这个VLAN中的所有活动接口都会被监控。无论工程师是向这个VLAN中添加新接口，还是从这个VLAN中移除接口，SPAN源VLAN都会动态更新新接口，或者移除某个接口。还有，SPAN目的接口不能是SPAN源VLAN中的接口。

1.5.2　限制和条件
SPAN、RSPAN和ERSPAN对于目的接口有诸多限制，其中主要的限制条件包括以下这些。

在工程师配置目的接口时，这个接口以前的配置会被覆盖。如果工程师删除了SPAN配置，这个接口会恢复到以前的配置。
在工程师配置目的接口时，如果这个接口捆绑在某个EtherChannel中，它会自动从EtherChannel中移除；如果这是一个路由接口，SPAN目的接口的配置会覆盖路由接口的配置。
目的接口不支持接口安全特性、802.1x认证或私有VLAN。总的来说，SPAN/RSPAN和802.1x并不兼容。
目的接口不支持任何二层协议，其中包括CDP、生成树、VTP、DTP等。
RSPAN中的目的VLAN也有限制，更多内容可以参考本章“推荐读物”部分给出的参考信息。

SPAN、RSPAN和ERSPAN要想正常工作，还必须满足一系列条件。对于SPAN来说，重要条件包括以下这些。

源可以是一个或多个接口，或者可以是一个VLAN；但不能是两者的混合。
一台交换机上可以配置最多64个SPAN目的接口。
交换接口或路由接口可以配置为SPAN源接口或SPAN目的接口。
小心别让SPAN目的接口超载。一个速率为100Mbit/s的源接口可以轻松地让速率为10Mbit/s的目的接口超载；如果源是一个VLAN的话，它也很轻松地可以让速率为100Mbit/s的目的接口超载。
工程师无法在单个SPAN会话中，向一个目的接口传输来自于以下源接口的混合流量：SPAN源接口、RSPAN源接口、ERSPAN源接口或VLAN。这一限制也导致工程师无法实现以下需求：希望将流量镜像到交换机的本地接口（SPAN模式），同时将流量镜像到另一台交换机的远端接口（RSPAN或ERSPAN模式）。
SPAN目的接口不能再用作源接口，源接口也不能再用作目的接口。
只有一个SPAN/RSPAN/ERSPAN会话的流量能够发送到单个目的接口。
SPAN目的接口不再作为普通的交换接口进行通信。因此它只会传输与SPAN相关的流量。
可以将Trunk接口配置为SPAN或RSPAN会话的源接口。在这种情况中，Trunk上的所有VLAN默认都会被监控；这时工程师可以使用filter vlan命令来指明应该受到监控的VLAN。
从另一个VLAN路由到源VLAN的流量无法被SPAN监控。这很容易理解：只有通过源接口或源VLAN进入或离开交换机的流量才会被转发到SPAN会话中。换句话说，如果流量来自本交换机中的另一个源（比如是从另一个VLAN路由过来的），流量是不会被转发到SPAN的。
SPAN、RSPAN和ERSPAN支持三种类型的流量：发送、接收和收发。默认情况下，SPAN同时作用于进入和离开源接口或源VLAN的流量。但工程师也可以通过配置，使SPAN只监控发送出去的流量，或者只监控接收到的流量。对于这些流量类型，需要满足的条件如下所示。

对于RX（接收）SPAN来说，目标是将所有接收到的流量传输到SPAN目的。因此，交换机会对每个需要通过SPAN连接传输的数据帧进行复制并发送，在此之前并不会对数据帧做出任何修改（比如VACL或ACL过滤、QoS修改，甚至入向或出向限速策略）。
对于TX（发送）SPAN来说，所有相关的过滤或修改行为——比如通过ACL、VACL、QoS或限速策略——都发生在交换机将流量转发到SPAN/RSPAN目的之前。因此，并不是所有发送的流量都必然会被转发到SPAN目的。而且，传输到SPAN目的的数据帧也并不一定与原数据帧完全相同，这要看转发到SPAN目的之前交换机对数据帧应用的策略。
某些类型的二层数据帧是个例外。SPAN/RSPAN通常会忽略CDP、生成树BPDU、VTP、DTP和PAgP帧。但如果工程师配置了encapsulation replicate命令，就可以把这些类型的数据帧随同普通SPAN流量一起转发。

1.5.3　基本SPAN配置
例1-3中的配置是要将接口Fa0/12发送和接收的流量镜像到接口Fa0/24，也就是接口Fa0/12发出和收到的所有流量都要被发送到Fa0/24。这就是基本流量镜像应用的常见配置。

例1-3　基本PSAN配置案例

MDF-ROC1# configure terminal

MDF-ROC1(config)# monitor session 1 source interface fa0/12

MDF-ROC1(config)# monitor session 1 destination interface fa0/24

1.5.4　复杂SPAN配置
在例1-4中，工程师配置交换机将以下流量发送到Fa0/24，并保留这些源的封装格式：

接口Fa0/18接收的流量；
接口Fa0/9发送的流量；
接口Fa0/19（这是一个Trunk接口）发送和接收的流量。
对于Fa0/19 Trunk接口接收到的流量，还要过滤掉（移除）属于VLAN 1、2、3和229的流量。

例1-4　复杂SPAN配置案例

MDF-ROC3# config term

MDF-ROC3(config)# monitor session 11 source interface fa0/18 rx

MDF-ROC3(config)# monitor session 11 source interface fa0/9 tx

MDF-ROC3(config)# monitor session 11 source interface fa0/19

MDF-ROC3(config)# monitor session 11 filter vlan 1 - 3 , 229

MDF-ROC3(config)# monitor session 11 destination interface fa0/24 encapsulation

　replicate

1.5.5　RSPAN配置
在例1-5中，工程师配置两台交换机IDF-SYR1和IDF-SYR2，让它们将以下流量发送到RSPAN VLAN 199，接收这些流量的是交换机MDF-SYR9上的接口Fa0/24：

对于IDF-SYR1来说，VLAN 66～68接收的所有流量；

对于IDF-SYR2来说，VLAN 9接收的所有流量；

对于IDF-SYR2来说，VLAN 11发送和接收的所有流量。

注意这三台交换机分别使用了不同的会话ID，这在RSPAN中是允许的。会话编号的唯一限制是号码必须在1～66范围内。

例1-5　RSPAN配置案例

IDF-SYR1# config term

IDF-SYR1(config)# vlan 199

IDF-SYR1(config-vlan)# remote span

IDF-SYR1(config-vlan)# exit

IDF-SYR1(config)# monitor session 3 source vlan 66 – 68 rx

IDF-SYR1(config)# monitor session 3 destination remote vlan 199

!Now moving to IDF-SYR2:

IDF-SYR2# config term

IDF-SYR2(config)# vlan 199

IDF-SYR2(config-vlan)# remote span

IDF-SYR2(config-vlan)# exit

IDF-SYR2(config)# monitor session 23 source vlan 9 rx

IDF-SYR2(config)# monitor session 23 source vlan 11

IDF-SYR2(config)# monitor session 23 destination remote vlan 199

!Now moving to MDF-SYR9

MDF-SYR9# config term

MDF-SYR9(config)# vlan 199

MDF-SYR9(config-vlan)# remote span

MDF-SYR9(config-vlan)# exit

MDF-SYR9(config)# monitor session 63 source remote vlan 199

MDF-SYR9(config)# monitor session 63 destination interface fa0/24

MDF-SYR9(config)# end

1.5.6　ERSPAN配置
在例1-6中，工程师要配置ASR 1002来捕获所有接收的流量，并将其发送到Catalyst 6509的接口GE2/2/1。ASR 1002会将捕获的流量封装在GRE中，然后路由到Catalyst 6509。连接在6500交换机GE2/2/1接口上的嗅探工作站将会看到完整的以太网数据帧（L2到L7）信息。

例1-6　ERSPAN配置案例

ASR1002(config)# monitor session 1 type erspan-source

ASR1002(config-mon-erspan-src)# source interface gig0/1/0 rx

ASR1002(config-mon-erspan-src)# no shutdown

ASR1002(config-mon-erspan-src)# destination

ASR1002(config-mon-erspan-src-dst)# erspan-id 101

ASR1002(config-mon-erspan-src-dst)# ip address 10.1.1.1

ASR1002(config-mon-erspan-src-dst)# origin ip address 172.16.1.1

!Now for the configuration of the Catalyst 6500

SW6509(config)# monitor session 2 type erspan-destination

SW6509(config-mon-erspan-dst)# destination interface gigabitEthernet2/2/1

SW6509(config-mon-erspan-dst)# no shutdown

SW6509(config-mon-erspan-dst)# source

SW6509(config-mon-erspan-dst-src)# erspan-id 101

SW6509(config-mon-erspan-dst-src)# ip address 10.1.1.1

工程师可以使用命令show monitor session来检查SPAN、RSPAN或ERSPAN的工作，详见例1-7。

例1-7　ERSPAN检查案例

ASR1002# show monitor session 1

Session 1

---------

Type　　　　　　　　　　: ERSPAN Source Session

Status　　　　　　　　　: Admin Enabled

Source Ports　　　　　　:

　 RX Only　　　　　　: Gi0/1/0

Destination IP Address　　: 10.1.1.1

MTU　　　　　　　　　　　　: 1464

Destination ERSPAN ID　　: 101

Origin IP Address　　　　: 172.16.1.1

从排错的角度看来，如果目的接口是关闭的，SPAN实例将无法启动。在工程师将目的接口打开后，SPAN会话会随之启动。

CHT5011