همه آموزش ها با 50 درصد تخفیف تو جشنواره بهاره توسینسو
50 درصد تخفیف
مانده تا پایان تخفیف ها
مانده تا پایان تخفیف ها
رضا صاحبی

Port Mirroring چیست؟ آموزش راه اندازی SPAN و RSPAN

هدف از این مقاله بررسی و پیاده سازی روال Port mirroring در سوئیچ های Cisco بوده و اتصال آن به نرم افزارهای مانیتورینگ می باشد . ویژگی اخیر (SPAN (Switched Port Analyzer در سوئیچ های سیسکو که از آن به عنوان Port mirroring یاد می شود ترافیک درون سوئیچ را جهت آنالیز انتخاب می کند . تحلیل کننده این ترافیک می تواند یک دستگاه Switch Probe و یا یک دستگاه نظارت از راه دور باشد) RMON Probe . پیش از این، SPAN یکی از ویژگی های نسبتا اساسی در سوئیچ سیسکو کاتالیست سری بود. با این حال، آخرین نسخه از OS کاتالیست (CatOS) معرفی پیشرفت های بزرگ و بسیاری از امکانات جدید که در حال حاضر در دسترس برای کاربر می باشد .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید
سرفصل های این مطلب
  1. قطعات استفاده شده (Components Used )
  2. SPAN یا Switched Port Analyzer چیست ؟
  3. اصطلاحات SPAN
  4. ویژگی های پورت های منبع یا Source Ports در SPAN
  5. Vlan Filtering در SPAN
  6. مشخصات Vlan منبع یا Source VLAN در SPAN
  7. ویژگی های پورت مقصد یا Destination Port در SPAN
  8. SPAN در سوئیچ Catalyst Express 500/520
  9. SPAN در سوئیچ Catalyst 2900XL/3500XL Switches
  10. مثالی از تنظیمات بر روی سویچ های کاتالیست سری 2900XL و 3500XL
  11. SPAN در سوئیچ Catalyst 2948G-L3 and 4908G-L3
  12. SPAN در سوئیچ Catalyst 8500
    1. SPAN در سوئیچ های Catalyst 2900, 4500/4000, 5500/5000, and 6500/6000 Series Switches That Run CatOS
  13. Local SPAN
  14. PSPAN, VSPAN :اصلی Vlan مانیتور کردن تعدادی از پورتها و یا همان
  15. مانیتور کردن Vlan به وسیله Span
  16. اجرای Span بر روی یک پورت ترانک
  17. ترانکینگ در مقصد
  18. ایجاد چندین Sessions همزمان
تصویر اول : پیشنیازهای راه اندازی Port Mirroring در سیسکو

قطعات استفاده شده (Components Used )

اینجا از CatOS 5.5 به عنوان یک مرجع برای کاتالیست 4500//4000، 5500//5000، 6500//6000 و کلید سری. در سوئیچ کاتالیست 2900XL // 3500XL سری، سیسکو IOS® نرم افزار انتشار 12.0 (5) XU استفاده شده است.و تمام مواردی که عنوان می شود نتیجه حاصله در آزمایشگاه شرکت سیسکو می باشد .

SPAN یا Switched Port Analyzer چیست ؟

نظر به تفاوت پایه ای در سوئیچ ها و هاب ها عملکرد آنها در زمینه SPAN به قرار زیر است هنگامیکه یک هاب بسته ای دریافت می کند بسته را بر روی تمامی پورت ها به جز پورتی که بسته را دریافت کرده ارسال می نماید .زمانیکه یک سوئیچ شروع به کار میکند در ابتدا نسبت به ایجاد جدول mac address اقدام می نماید و پس از ایجاد جدول مذکور بسته دریافتی را بر اساس جدول Mac address به پورت مقصد ارسال می نماید .به طور مثال اگر شما می خواهید ترافیک ارسالی از هاست A به هاست B را مورد انتخاب قرار دهید و در این ارتباط از هاب استفاده شده باشد در صورت اتصال یک شنود کننده به یکی از پورتهای آن هاب این امکان وجود دارد که تمامی ترافیک توسط این شنود کننده بدون هیچگونه مشکلی شنود شود.


تصویر دوم : ساختار کاری HUB و Sniffer

اما اگر در همین ارتباط به جای استفاده از هاب از یک سوئیچ استفاده شود سوئیچ پس از شناخت پورت مقصد که همان پورت B باشد بسته دریافتی از هاست A صرفا و فقط و فقط بر روی همان پورت B ارسال میکند و امکان شنود ترافیک توسط شنود کننده فراهم نخواهد بود .


تصویر سوم : ساختار کاری Switch و Sniffer

در این دیاگرام شنود کننده صرفا قادر به شنود ترافیک های Broadcast ، ترافیک های Multicast با پرتکل CGMP یا IGMP و ترافیک های ناشناخته unicast خواهد بود .ترافیک unicast ترافیکی می باشد که سوئیچ مقصد و یا همان Mac address مقصد را در جدول خود را ندارد و به همین جهت بسته را به تمامی Vlan ها و پورتها ارسال می نماید که به صورت اضافی بسته به پورت شنود کننده ارسال می شود .


تصویر چهارم ساختار کاری Sniffer در سویچ سیسکو

در این نمودار، شنود کننده متصل به به یک پورت سوئیچ است که پیکربندی شده برای دریافت یک کپی از هر بسته که میزبان می فرستد به این پورت یک پورت SPAN گویند.

اصطلاحات SPAN

  • Ingress traffic : ترافیک وارده به سوئیچ
  • Egress traffic : ترافیک خارج شده از سوئیچ
  • Source (SPAN) port :پورتی که توسط Span مانیتور می شود
  • Source (SPAN) VLAN Vlan که توسط Span مانیتور می شود
  • Destination (SPAN) port :پورتی که اطلاعات بر روی برای مانیتور شدن کپی می شود
  • Monitor port : مانیتور پورت در سری Catalyst 2900XL//3500XL//2950 مطرح می شود که پورت مقصد همان پورت SPAN می باشد


تصویر پنجم : شناسایی پورت های SPAN در سیسکو
  • Local SPAN : زمانی مطرح می شود که پورت مانیتور در همان سوئیچ واقع شده باشد
  • Remote SPANزمانی مطرح می شود که پورت مانیتور در همان سوئیچ واقع نشده باشد در این نوع تنظیم نیاز به یک VLAN خاص می باشد که در تمامی سوئیچ ها پشتیبانی نمی شود . (RSPAN)
  • Port-based SPAN (PSPAN)* : کاربر یک با چند پورت را به عنوان مبداء انتخاب می کند و یک پورت را به عنوان مقصد
  • VLAN-based SPAN (VSPAN)در یک سوئیچ خاص این امکان وجود خواهد داشت تمامی پورتهای متعلق به یک VLAN را به وسیله یک دستور مانیتور شوند
  • ESPAN : به معنای ESPAN پیشرفته بوده که در چرخه حیات Espan چندین بار این تغییرات در Espan رخ داده شده است
  • Administrative source : لیستی از پورت منبع و یا VLAN ها تنظیم شده اند که باید بررسی شود.
  • Operational source : لیستی از پورتها که می بایست به طور موثر مانیتور شوند این پورتها می تواند از منابع مختلف administrator باشد به طور مثال می توان از یک پورتی را در نظر بگیرید که در مد shutdown باشد ولی جزء پورتهای مد نظر administrator باشد که این امکان وجود خواهد داشت هرچند که موثر نخواهد بود .

ویژگی های پورت های منبع یا Source Ports در SPAN

پورت مبنع، همان پورتی می باشد که می بایست مانیتور شود که این پورت می تواند پورتی از یک سوئیچ و یا یک روتر باشد در یک span local یا یک RSPAN( مانیتور از راه دور ) شما می توانید این پورت را مانیتور کنید ایتم هایی مانند بسته های دریافتی (RX ) یا بسته های انتقالی ( TX ) و یا دو طرفه سوئیچها از تمامی تعداد پورتها و Vlan ها پشتیبانی میکنند .مشخصات پورتهای مبداء :

  • این پورت می تواند هر نوع پورتی باشد (EtherChannel, Fast Ethernet, Gigabit Ethernet )
  • این پورت می تواند توسط چندین SPAN session مانیتور شود .
  • به هیچ وجه تمی تواند پورت مقصد واقع شود .
  • هر پورت را می توان با یک جهت (ورود، خروج، و یا هر دو) برای مانیتور شدن پیکربندی کرد.
  • پورت های منبع می تواند در VLAN ها یکسان و یا متفاوت باشد
  • برای منابع VLAN SPAN، تمام پورت های فعال در VLAN منبع به عنوان پورت منبع گنجانده شده است.

Vlan Filtering در SPAN

زمانیکه شما یک پورت ترانک را به عنوان یک پورت منبع شروع به مانیتور کردن میکنید تمامی Vlan های فعال آن بصورت پیش فرض مانیتور خواهند شد برای همین شما می توانید به جهت محدود سازی مانیتور کردن پورت ترانک از Vlan filtering استفاده نمائید :

  • با استفاده از این ایتم می توان صرفا پورت های ترانک و voice را مانیتور کرد
  • عملکرد مانیتور کردن فقط بر روی پورت های پایه خواهد بود و امکان مانیتور کردن ترافیک vlan را محدود می سازد
  • زمانیکه یک لیستی از Vlan های خاص موجود باشد فیلترینگ تنها بر روی vlanهایی اعمال خواهد شد که دارای پورت ترانک و یا Voice port باشند
  • ترافیک SPAN که از دیگر انواع پورت های VLAN باشند فیلتر نمی شوند
  • تاثیر Vlan filtering صرفا بر روی ترافیک ارسالی بر روی پورت مقصد خواهد بود و بر روی ترافیک عادی سوئیچ تاثیری نخواهد داشت .
  • شما تلفیقی از مانیتورینگ vlan های عادی و Vlan filtering را بر روی یک پورت مقصد نمی توانید داشته باشید و به جهت مانیتور کردن می بایست هر کدام را در زمانهای جداگانه بر روی یک پورت مانیتور کنید .

مشخصات Vlan منبع یا Source VLAN در SPAN

VSPAN نظارت بر ترافیک شبکه را در یک یا چند VLAN است ، مانیتور کردن local و یا از راه دور یک vlan و یا چندین vlan از طریق vlan ID می باشد که ترافیک تمام پورتهای موجود بر Vlan ها رو مانیتور میکند . VSPANها دارای مشخصات زیر می باشند :

  • تمام پورت های فعال در VLAN منبع ، به عنوان پورت منبع محسوب و می توان بر روی آنها در هر دو جهت نظارت داشت .
  • دریک پورت داده شده ، فقط ترافیک همان Vlan به پورت مقصد ارسال می شود .
  • اگر پورت مقصد در Vlan منبع باشد ، آن توسط لیست منبع مجزا شده و مانیتور نخواهد شد .
  • اگر پورت جدیدی به Vlan منبع اضافه یا کم بشود ترافیک آن در پورت مقصد اضافه یا کم خواهد شد .
  • شما نمی توانید در یک زمان filter vlan و از source vlan مانیتور نمائید
  • شما فقط می توانید Ethernet VLANsمانیتور نمائید .

ویژگی های پورت مقصد یا Destination Port در SPAN

تمامی SPAN ها و یا RSPAN ها می بایست دارای پورت مقصد باشند ( که همان پورت مانیتور کننده نامیده می شود ) که یک کپی از ترافیک منابع را دریافت میکند:

  • در SPAN پورت مقصد و پورت منبع می بایست در یک سوئیچ واقع شوند .
  • پورت مقصد می تواند هرگونه پورت اترنت فیزیکی باشد .
  • پورت مقصد در هر لحظه می تواند پاسخگوی یک SPAN session باشد و پورت مقصد در یک Span نمی تواند پورت مقصد در Span دیگر باشد .
  • پورت مقصد نمی تواند پورت منبع باشد
  • پورت مقصد نمی تواند EtherChannel group باشد .
  1. نکته : در ویرایش های IOS ورژن 12.2(33)SXH و بعد از آن PortChannel interface می تواند به عنوان پورت مقصد منظور شود . و اینگونه پورتها از Port Aggregation Control Protocol (PAgP) یا Link Aggregation Control Protocol (LACP) پشتیبانی نمی کنند
  2. نکته : یک پورت مقصد می تواند یک پورت فیزیکی باشد که خود عضوی از یک EtherChannel groupاست اگر گروه EtherChannel به عنوان یک منبع SPAN مشخص شده باشد می بایست پورت مقصد را تا زمانیکه گروه به عنوان منبع معرفی شده است از گروه حذف کرد .
  3. نکته : پورت تنها ترافیک مورد انتخاب SPAN را ارسال میکنددر صورتیکه learning سوئیچ فعال باشد ترافیک فقط به آدرس موجود در جدول ارسال خواهد شد
  4. نکته : در زمانیکه SPAN فعال است پورت مقصد در صورت اجرا نمودن پرتکل SPANNING TREE در سوئیچ در عملکرد پرتکل مذکور شرکت نخواهد داشت .

SPAN در سوئیچ Catalyst Express 500/520

Catalyst Express 500 یا Catalyst Express 520 صرفا از SPAN پشتیبانی میکند و برای این منظوراز Cisco Network Assistant (CNA) استفاده می نماید که پیکر بندی کامل آن به صورت زیر می باشد:

  • دانلود و نصب نرم افزار CNA بر روی یک دستگاه PC ( این آیتم برای کاربران رجیستر شده فعال می باشد )
  • مراحل نصب بر اساس راهنما موجود در سایت می باشد
  • استفاده از کنسول CNA جهت اتصال به سوئیچ و کلیک بر روی گزینه Smartport.


تصویر ششم : مانیتورینگ پورت ها در سیسکو
  • بر روی هر اینتر فیسی که می خواهید شنود کننده باشد کلیک کرده و بر روی دکمه ویرایش آن کلیک می کنیم یک پاپ آپ باکس کوچک نمایش داده می شود .
  • رل Diagnostics را انتخاب میکنیم
  • پورت منبع و یا Vlan مورد نظر جهت مونیتور شدن را انتخاب میکنیم .
  • در صورتیکه هیچ گزینه ای انتخاب نشود پورت صرفا ترافیک را دریافت می نماید Ingress VLAN مجاز به ارسال ترافیک VLAN بر روی Diagnostics پورت متصل به Pc است .


تصویر هفتم : Sniff کردن یک VLAN
  • بر روی گزینه Ok جهت بسته شدن پاپ آپ کلیک می کنیم
  • بر روی گزینه Apply و OK کلیک میکنیم
  • و این امکان وجود خواهد داشت تا نرم افزار مانیتور کننده ترافیک را مانیتور نماید .

SPAN در سوئیچ Catalyst 2900XL/3500XL Switches

پشتیبانی از Span در این نوع سوئیچ گسترده نبوده و به آسانی قابل درک است در این نوع سوئیچ می توان تعداد زیادی Pspan بسته به نوع نیاز تعریف کرد .محدودیت اصلی در این نوع سوئیچ این است که تمامی پورت ها و Vlan ها می بایست مربوط به یک Vlan باشد .اگر شما یک Vlan با یک Ip مخصوص به آن در سوئیچ ایجاد کرده باشید .مثال ایجاد دو Span همزمان :

  • پورت Fast Ethernet 01 (Fa01)مانیتور کننده پورتهای Fa02 و Fa05 به صورت دو طرفه می باشد پورت Fa0/1 مانیتور کننده ترافیک ورودی و خروجی Vlan1 می باشد .
  • پورت Fa0//4 مانیتور کننده پورتهای Fa03 و Fa0/6 می باشد
  • پورتهای Fa03, Fa04 و Fa0/6 همگی در VLAN 2 تنظیم شده و مابقی پورتها در Default Vlan تعریف شده اند .


تصویر هشتم : ساختار VLAN در سویچ سیسکو

مثالی از تنظیمات بر روی سویچ های کاتالیست سری 2900XL و 3500XL

!--- Output suppressed.!interface FastEthernet0/1
port monitor FastEthernet0/2
 port monitor FastEthernet0/5
 port monitor VLAN1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
!
interface FastEthernet0/4
 port monitor FastEthernet0/3
 port monitor FastEthernet0/6
 switchport access vlan 2
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport access vlan 2
!
!--- Output suppressed.
!
interface VLAN1
 ip address 10.200.8.136 255.255.252.0
 no ip directed-broadcast
 no ip route-cache
!
!--- Output suppressed.

برای تعریف Fa0//1 به عنوان پورت مانیتور کننده Fa0//2 و Fa0//5 و مدیریت Vlan 1 می بایست وارد مد تنظیمات پورت شده و دستورات زیر را وارد کنید :

Switch(config)#interface fastethernet 0/1


لیست پورتهایی که می خواهید مانیتور کنید را وارد می کنیم :

Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5


با دستور های فوق تمامی ترافیکی که بر روی دو پورت هستند کپی برداری شده و به پورت Fa0//1 ارسال می شود همچنین برای مانیتور Administrator interface از دستور زیر استفاده می شود :

Switch(config-if)#port monitor vlan 1


  • نکته : دستور فوق به معنی مانیتور کردن Vlan نمی باشد عبارت Vlan1 در واقع اشاره به مدیریت اصلی اینترفیس دارد .

دستور زیر نشان می دهد نظارت بر روی یک پورت Vlan غیر ممکن است :

Switch(config-if)#port monitor fastethernet 0/3
FastEthernet0/1 and FastEthernet0/3 are in different vlan

به منظور پایان پیکربندی، پیکربندی یک session دیگر. در این زمان، استفاده Fa0//4 به عنوان یک مقصد پورت SPAN در نظر گرفته می شود :

Switch(config-if)#interface fastethernet 0/4
Switch(config-if)#port monitor fastethernet 0/3
Switch(config-if)#port monitor fastethernet 0/6
Switch(config-if)#^Z

و به جهت مشاهده تنظیمات انجام شده می توان از دستور Show Running و یا Show port monitoring استفاده نمود :

Switch#show port monitor
 Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
FastEthernet0/4 FastEthernet0/3
FastEthernet0/4 FastEthernet0/6

SPAN در سوئیچ Catalyst 2948G-L3 and 4908G-L3

در این مدل از سوئیچ ها به دلیل ثابت بودن تنظیمات امکان Span وجود ندارد برای اطلاعات بیشتر به سند Features Not Supported مراجعه کنید .

SPAN در سوئیچ Catalyst 8500

یک تنظیمات بسیار ساده تحت عنوان snooping در این دسته از سوئیچ ها وجود دارد . پورت snooping این اجازه را به شما می دهد که یک کپی از ترافیک را از روی یک یا چند منبع به یک پورت مقصد ارسال نمائید . Snoop پورت به صورت کلی port-base بوده و در صورت انتخاب ایتم No غیر فعال خواهد بود :

snoop interface source_port direction snoop_direction 
no snoop interface source_port

متغییر source__port اشاره به پورتی دارد که قرار بر مانیتور شدن آن می باشد و عبارت snoop__direction مانیتور کننده بسته های دریافت شده ، انتقال داده شده و یا هر دوی آنهاست :

8500CSR#configure terminal
8500CSR(config)#interface fastethernet 12/0/15
8500CSR(config-if)#shutdown
8500CSR(config-if)#snoop interface fastethernet 0/0/1 direction both
8500CSR(config-if)#no shutdown


مثال زیر خروجی یک دستور Show Snoop می باشد :

8500CSR#show snoop
Snoop Test Port Name: FastEthernet1/0/4 (interface status=SNOOPING)
Snoop option:         (configured=enabled)(actual=enabled)
Snoop direction:      (configured=receive)(actual=receive)
Monitored Port Name:
(configured=FastEthernet1/0/3)(actual=FastEthernet1/0/3)

SPAN در سوئیچ های Catalyst 2900, 4500/4000, 5500/5000, and 6500/6000 Series Switches That Run CatOS

این قسمت فقط توسط سوئیچ های ذیل سری 2900 پشتیبانی می شوند :

Cisco Catalyst 2948G-L2 Switch
Cisco Catalyst 2948G-GE-TX Switch
Cisco Catalyst 2980G-A Switch

و همچنین توسط سوئیچ های سری 4000 ذیل

Modular Chassis Switches:
Cisco Catalyst 4003 Switch
Cisco Catalyst 4006 Switch
Fixed Chassis Switch:
Cisco Catalyst 4912G Switch

Local SPAN

تنظیمات SPAN تک به تک درون CatOS هر سوئیچ اضافه شده و تنظیمات آن شامل تک دستورات با set span می باشد که در زیر به معرفی تعدادی از آنها می پردازیم :

switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
       set span <src_mod/src_ports...|src_vlans...|sc0>
               <dest_mod/dest_port> [rx|tx|both]
               [inpkts <enable|disable>]
               [learning <enable|disable>]
               [multicast <enable|disable>]
               [filter <vlans...>]
               [create]

دیاگرام زیر نمایش دهنده SPAN های مختلف با قابلیت استفاده از متغییر های گوناگون است

تصویر دهم : SPAN در سویچ های سیسکو

دیاگرام نمایش دهنده قسمتی از line card واقع شده در اسلات ششم یک سوئیچ سری 6000/6500 می باشد در این سناریو :

  • پورت های 1//6 و 2//6 متعلق به vlan1 می باشند.
  • پورت 3//6 متعلق به vlan2 می باشند .
  • پورت 4//6 و 5//6 متعلق به vlan3 می باشند .
  • شنود کننده متصل به پورت 2//6 بوده و به صورتهای مختلف اقدام به مانیتور کردن منابع میکند

PSPAN, VSPAN :اصلی Vlan مانیتور کردن تعدادی از پورتها و یا همان

ساده ترین شکل نمایش دستورات Set Span جهت مانیتور کردن یک تک پورت دستور شامل :

Set Span source_port  destenition_port


تصویر یازدهم : مانیتور کردن یک پورت خاص در SPAN
switch (enable) set span 6/1 6/2

Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span 
session active for destination port 6/2

در این نوع تنظیم یک کپی از تمامی بسته ها یی که توسط پورت 1//6 ارسال و دریافت می شوند به پورت 2//6 ارسال می شود و با دستور Show Span امکان دیدن تنظیمات وجود دارد:

switch (enable) show span 
Destination : Port 6/2 
Admin Source : Port 6/1 
Oper Source : Port 6/1 
Direction : transmit/receive 
Incoming Packets: disabled 
Learning : enabled 
Multicast : enabled 
Filter : - 
Status : active 

Total local span sessions: 1


تصویر دوازدهم : مانیتور کردن چندین پورت در SPAN

دستور set span source__ports destination__port به شما این اجازه را می دهد که بیش از یک پورت را مانیتور نمائید مثال زیر نمونه ای کاربردی از دستور فوق است که 3 پورت 3//6 تا 5//6 را به وسیله پورت 1//6 مانیتور میکند :

switch (enable) set span 6/1,6/3-5 6/2 

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
       for destination port 6/2
       Destination : Port 6/2
       Admin Source : Port 6/1,6/3-5
       Oper Source : Port 6/1,6/3-5
       Direction : transmit/receive
       Incoming Packets: disabled
       Learning : enabled
       Multicast : enabled
       Filter : -
       Status : active
       switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
       session active for destination port 6/2

مانیتور کردن Vlan به وسیله Span

شما به وسیله دستور set span source__vlan(s) destination__port . قادر به مانیتور کردن Vlan خواهید بود :

تصویر سیزدهم : استفاده از لیستی از پورتها و VLAN ها برای SPAN
switch (enable) set span 2,3 6/2
           2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
           for destination port 6/2
           Destination : Port 6/2
           Admin Source : VLAN 2-3
           Oper Source : Port 6/3-5,15/1
           Direction : transmit/receive
           Incoming Packets: disabled
           Learning : enabled
           Multicast : enabled
           Filter : -
           Status : active
           switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
           session active for destination port 6/2

اجرای Span بر روی یک پورت ترانک

یک پورت ترانک پورتی خاص در مجموعه یک سوئیچ می باشد چرا که حمل کننده چندین vlan است اگر پورت ترانک را به عنوان یک پورت منبع در نظر بگیریم ترافیک تمامی vlan ها از طریق همین پورت نمایش داده خواهد شد .در این دیاگرام پورت 5//6 ترانک بوده که اطلاعات تمامی vlan ها را با خود حمل میکند تصور کنید که شما می خواهید ترافیک پورت های 5//6 و 4//6 متعلق به vlan2 را با استفاده از Span مانیتور کنید حالت ساده دستور به شرح ذیل می باشد :


تصویر چهاردهم
switch (enable) set span 1,3 6/2 rx
          2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
          inactive for destination port 6/2
          Destination : Port 6/2
          Admin Source : VLAN 1,3
          Oper Source : Port 1/1,6/1,6/4-5,15/1
          Direction : receive
          Incoming Packets: disabled
          Learning : enabled
          Multicast : enabled
          Filter : -
          Status : active
          switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
          session active for destination port 6/2

در این سناریو ترافیک دریافتی توسط Span با ترافیک سایر Vlan آمیخته شده است و هیچ راهی جهت تلفیق ترافیک ها وجود نخواهد داشت امکان دیگر ایجاد Span بر روی Vlan2 خواهد بود

switch (enable) set span 6/4-5 6/2
تصویر پانزدهم

با این راهکار حداقل می توان ترافیک Vlan2 را به وسیله پورت ترانک مانیتور کرد . تنها مشکل ترافیک اضافی دریافتی از پورت 3//6 می باشد CatOS شامل کلید های دستوری دیگری نیز می باشد که به شما اجازه انتخاب تعدادی از Vlan ها را جهت مانیتور شدن به وسیله پورت ترانک می دهد

switch (enable) set span 6/4-5 6/2 filter 2
      2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
       for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : 2
      Status : active


تصویر شانزدهم

ترانکینگ در مقصد

در صورتیکه شما دارای پورت های مختلفی در vlan های مختلف هستید و یا دارای Span بر روی vlan های مختلف بر روی پورت ترانک هستید شاید نیاز به شناسایی ترافیک ارسالی به تفکیک Vlan های موجود باشید این امکان وجود دارد در صورتیکه پورت مقصد شما از نوع ترانک تعریف شده باشد در این روش تمامی بسته های ارسالی به شنود کننده برچسپ Vlan Id خود را خواهند داشت .

switch (enable) set span disable 6/2
      This command will disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
      2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
      inactive for destination port 6/2
      switch (enable) set trunk 6/2 nonegotiate isl

      Port(s) 6/2 trunk mode set to nonegotiate.
      Port(s) 6/2 trunk type set to isl.
      switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become
        isl trunk
      switch (enable) set span 6/4-5 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
      destination port 6/2

ایجاد چندین Sessions همزمان

تا کنون تمامی موارد ارائه شده به صورت single SPAN session ایجاد شد هر زمان که شما یک دستور Set span جدید ایجاد میکنید دستورات قبلی نامعتبر می شوند اما در حال حاضر CatOS قادر به اجرای چندین دستور همزمان می باشد بنابر این قادر خواهیم بود در یک زمان چندین پورت مقصد داشته باشیم به مثال زیر توجه کنید


تصویر هفدهم
switch (enable) set span 6/1 6/2
      2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/2
      switch (enable) set span 3 6/3 create
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/3

Show Span نشان دهنده دو Span فعال همزمان خواهد بود :

switch (enable) show span
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled 
      Multicast : enabled
      Filter : -
      Status : active
      ------------------------------------------------------------------------
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      Total local span sessions: 2


همچنین شما توانای پاک کردن session ایجاد شده را خواهید داشت :

set span disable {all | destination_port}


نظر باینکه هر session دارای یک پورت مقصد است ، پورت مقصد session را شناسایی میکند :

switch (enable) set span disable 6/2
      This command will disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
      2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2

و حالا شما می توانید به جهت تست صحت عملکرد با دیگر از دستور show Span استفاده نمائید

switch (enable) show span
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active

    Total local span sessions: 1

این دستور برای غیر فعال سازی تمامی session های حاضر در حالت Single – step می باشد :

switch (enable) set span disable all    
  This command will disable all span session(s).
      Do you want to continue (y/n) [n]?y
      Disabled all local span sessions
      2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive 
      for destination port 6/3

    switch (enable) show span
      No span session configured

در دوره آموزش نتورک پلاس مهندس نصیری در خصوص مفاهیم مانیتورینگ شبکه و مبحث Port Mirror هم صحبت شده است که غیر از دوره های آموزشی سیسکو می توانید ویدیوهای مربوط به این مبحث را نیز در آن مشاهده کنید.

0 7

نظرات