SPAN(交換端口分析器)以及遠程SPAN

SPAN，全稱為Switched Port Analyzer，直譯為交換端口分析器。是一種交換機的端口鏡像技術。作用主要是為了給某種網絡分析器提供網絡數據流，SPAN并不會影響源端口的數據交換，它只是將源端口發送或接收的數據包副本發送到監控端口。

RSPAN（Remote SPAN），即遠程SPAN，和SPAN類似，但可以跨越交換網絡為多層交換機提供遠程監控。

SPAN技術主要是用來監控交換機上的數據流，大體分為兩種類型，本地SPAN和遠程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，實現方法上稍有不同。 利用SPAN技術我們可以把交換機上某些想要被監控端口（以下簡稱受控端口）的數據流COPY或MIRROR一 份，發送給連接在監控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC. 受控端口和 監控端口可以在同一臺交換機上（本地SPAN），也可以在不同的交換機上（遠程SPAN）。

端口鏡像   被監控端口的所有流量----》監控端口

流鏡像     特定的流 【telnet  ssh 、、、】   ---》監控端口

鏡像源端口：mirroring

鏡像目的端口：monitor

監控設備：IPS、IDS

三種配置方法

配置一：

mirroring-group 1 local  本地鏡像組

interface eth

monitor-port             鏡像目的端口

quit

intterface eth

mirroring-port both      鏡像源端口

配置二：

mirroring-group 1 local

interface eth

mirroring-group 1 monitor-port

quit

intterface eth

mirroring-group 1 mirroring-port both

配置三：  

mirroring-group 1 local

mirroring-group 1   monitor-port eth

mirroring-group 1   mirroring-port eth both      

案列一：實現本地監控

需求設備：一臺交換機、三臺pc，其中一臺使用linux操作系統進行監控（使用wireshark）。

拓撲圖：

交換機配置：

mirroring-group 1 local

mirroring-group 1   monitor-port eth 1/0/24

mirroring-group 1   mirroring-port eth 1/0/10   eth 1/0/20 both

監控設備配置：

打開虛擬機linux

安裝wireshark軟件包：如圖

使用命令開始抓包（可以抓取特定的流量）：如圖

在一臺pc上使用telnet 命令連接另一臺主機，則可以抓取流量信息，如圖：

案例二：實現遠程監控