SPAN(交换端口分析器)以及远程SPAN

SPAN，全称为Switched Port Analyzer，直译为交换端口分析器。是一种交换机的端口镜像技术。作用主要是为了给某种网络分析器提供网络数据流，SPAN并不会影响源端口的数据交换，它只是将源端口发送或接收的数据包副本发送到监控端口。

RSPAN（Remote SPAN），即远程SPAN，和SPAN类似，但可以跨越交换网络为多层交换机提供远程监控。

SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和 监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。

端口镜像 被监控端口的所有流量----》监控端口

流镜像 特定的流 【telnet ssh 、、、】 ---》监控端口

镜像源端口：mirroring

镜像目的端口：monitor

监控设备：IPS、IDS

三种配置方法

配置一：

mirroring-group 1 local 本地镜像组

interface eth

monitor-port 镜像目的端口

quit

intterface eth

mirroring-port both 镜像源端口

配置二：

mirroring-group 1 local

interface eth

mirroring-group 1 monitor-port

quit

intterface eth

mirroring-group 1 mirroring-port both

配置三：

mirroring-group 1 local

mirroring-group 1 monitor-port eth

mirroring-group 1 mirroring-port eth both

案列一：实现本地监控

需求设备：一台交换机、三台pc，其中一台使用linux操作系统进行监控（使用wireshark）。

拓扑图：

交换机配置：

mirroring-group 1 local

mirroring-group 1 monitor-port eth 1/0/24

mirroring-group 1 mirroring-port eth 1/0/10 eth 1/0/20 both

监控设备配置：

打开虚拟机linux

安装wireshark软件包：如图

使用命令开始抓包（可以抓取特定的流量）：如图

在一台pc上使用telnet 命令连接另一台主机，则可以抓取流量信息，如图：

案例二：实现远程监控