交换机端口分析器(SPAN)是特定于交换机的工具,可复制通过交换机端口的以太网帧并将这些帧发送到特定端口。交换机本身不分析这些复制的帧,而是将帧从特定端口发送到网络分析仪。网络分析器可能是专用于构建硬件设备或在主机上运行的应用程序。分析这些帧是为了排除网络故障。有时还进行框架分析以挖掘框架的内容,以发现隐藏在框架内部的任何恶意内容。
实际上,您也可以在PC上安装网络分析仪(例如Wireshark网络分析仪),并分别从以太网NIC和无线NIC中开始分析以太网帧和802.11帧。
跨度的工作:
考虑下图,其中包含交换机,服务器,PC和网络分析仪。在交换机上配置SPAN之前,帧通常从PC流向服务器,反之亦然。但是在交换机上配置SPAN之后,交换机将开始复制通过其端口的帧的副本,并将其发送到网络分析仪。
交换机将帧传输出端口后,将复制帧,然后将其发送到网络分析仪。在SPAN会话中定义了“从哪个端口复制帧以及在何处发送复制的帧”的规则。您可以在交换机上定义许多SPAN会话。
SPAN会话中可能有多个源端口,但只有一个目标端口。从中复制帧的端口称为源端口,从其发送复制帧的端口称为目标端口。可以在端口上定义SPAN会话,以用于双向或单向流量。也可以在VLAN上定义跨度会话,然后交换机将从该VLAN中的所有端口复制帧。但是您不能定义同时包含端口和VLAN的会话。跨度会话必须仅包含端口或仅VLAN。
远程SPAN和封装的远程SPAN:
考虑一下情况,如果在配置跨度的交换机上没有目标端口,该怎么办。思科针对此问题提供了两种解决方案:RSPAN和ERSPAN。
RSPAN使用vlan将帧封装在802.1Q帧标头(标头定义帧对特定vlan的归属)中,并通过网络发送。 ERSPAN适用于第3层交换机,它将跨区流量封装在GRE隧道中,然后将流量转发到网络。
有关SPAN的一些重要规则:
- 一个SPAN会话仅包含一个目标端口。
- 没有两个SPAN会话具有相同的目标端口。
- 目标端口不能用作源端口。
- 目标端口无法正常工作,它不再学习MAC地址。
- SPAN会话可能包含多个源端口。
- SPAN会话不能混合使用端口和VLAN。