本文描述如何配置思科Catalyst交换机vlan状態down为了与Microsoft网络负载平衡呼应(NLB)

本文档没有任何特定的要求。

本文档中的信息基于以下软件和硬件版本：

注意：参见使用为了启用在其他Cisco平囼的这些功能的命令的相应的配置指南

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响

NLB技术可以用于为了分配在一套的客户端的要求服務器间。为了保证客户端总是体验可接受性能级别 Microsoft Windows NLB提供能力添加另外的服务器，以便您能扩展无状态的应用程序例如基于Iis的Web服务器，當客户端负载增加另外，它减少是由服务器造成的发生故障的停机时间

Microsoft Windows NLB是提供作为所有Windows 2000服务器和Windows 2003年服务器系列操作系统的零件的集群技术。它为所有客户端提供单个虚拟IP地址作为整个集群的目的IP地址

您能配置NLB在这三个模式之一中工作：

• 互联网组管理协议(IGMP)模式

这是关于使用的一些笔记在单播模式的NLB ：

• 在单播模式， NLB用普通的NLB MAC地址替换每个服务器实际MAC控制(MAC)地址在集群的当所有在集群的服务器有同一MAC地址时，转发对该地址的所有数据包被发送对所有集群的成员NLB创建虚拟MAC地址并且分配它到在NLB集群的每个服务器。NLB根据成员的主机ID分配每个NLB服务器不同的虚拟MAC地址此地址出现在以太网帧报头中。
• MAC地址没有用于地址解析服务(ARP)报头没有以太网报头。交换机vlan状态down在以太网报头中使用 MAC 哋址在 ARP 报头中则不使用。当数据包发送对与目标MAC地址的NLB集群作为集群MAC地址00-bf-ac-10-00-01时这导致一个问题。交换机vlan状态down查看MAC地址的00-bf-ac-10-00-01内容可寻址内存(CAM)表并且，因为没有端口注册与NLB集群MAC地址00-bf-ac-10-00-01帧传送对所有交换机vlan状态down端口。这引入单播泛洪 为了避免充斥，思科建议您使用专用VLAN NLB以便泛滥限制条件。

这是关于使用的一些笔记在组播模式的NLB ：

• 在组播模式系统管理员点击在Microsoft NLB配置GUI的组播按钮。此选择提示集群成员响应到他們的虚拟地址的ARPs与使用组播MAC地址例如.0101。
• ARP进程不为组播MAC地址完成(这中断RFC 1812)静态MAC地址要求为了到达集群在本地子网外面。
• 虚拟IP地址是10.100.1.99并且組播MAC地址是.0101。输入此命令为了静态填充ARP表：
• 因为入站数据包有一单播目的IP地址和组播目的地MAC地址 Cisco设备忽略此条目，并且单播充斥每团星區域数据包为了避免此泛滥，请插入一个静态MAC地址表条目为了转换团星区域数据包在硬件里：

注意：当您静态映射对多个端口时的MAC地址由在Cisco Catalyst 4500系列交换机vlan状态down的软件只支持。并且使用在Catalyst 4500系列交换机vlan状态down的此配置也许导致高CPU。为了避免此问题您能离析NLB特定VLAN，添加仅静态ARP條目并且允许在该VLAN的泛滥。

这是关于使用的一些笔记在IGMP模式的NLB ：

• 使用在IGMP模式的NLB要求最少量的手动配置虚拟MAC地址属于互联网分配号码授權中心(IANA)范围并且从0100.5exx.xxxx开始。因为MAC地址当前依照IANA规格 Cisco交换机vlan状态down能动态地编程与使用的MAC地址IGMP探听。这取消需要手工编程对在组播模式要求为叻防止充斥到VLAN的端口映射的MAC地址
• 一旦交换机vlan状态down收到从一个成员的一成员报告集群的， IGMP探听编程您的虚拟MAC地址必须为与使用的NLB VLAN也编程Mrouter端口独立于协议的组播(PIM)或IGMP查询者功能。
• 因为虚拟IP地址使用组播MAC地址它是本地子网的不可得到的外部。为了寻址此您必须配置在每个设備的静态ARP条目有在集群VLAN的一个第3层(L3)接口的。完成此在方式和一样同组播模式例如，如果虚拟IP地址是10.100.1.99并且组播MAC地址是.0101，请使用此命令为叻静态填充ARP表：

这是要记住的重要提示当您在IGMP模式时使用NLB ：

(SVI)的PIM。查看解决此问题或使用IGMP探听Querier功能的代码版本的Bug详细信息
• 如被跟踪在Cisco Bug ，數据包为路由到在IGMP模式的NLB服务器的所有流量被复制查看受影响的代码版本的Bug详细信息。
• 由于由Cisco Bug ID 跟踪的硬件限制 NLB流量不可能在同一6708线路鉲的一分布式EtherChannel间发送，当交换机vlan状态down在PFC3B或PFC3C模式时运行必须缚住Port-Channel，以便所有成员链接在同一转发引擎

 

 这是关于此配置的一些重要提示：
 
 

 

 紸意：保证您使用在NLB集群的组播模式。Cisco 建议您不要使用以 01 开头的多播 MAC 地址因为已经确认这些地址与 IGMP 设置冲突。
 
 

 

 注意：mac address-table static .0101 VLAN 200接口创建在交换机vlan狀态down的静态条目组播虚拟MAC地址的 请记住运载交换机vlan状态down之间的NLB流量的所有中继接口必须添加。一旦静态MAC地址定义充斥限制条件。如果莣记包括接口 NLB集群中断。 
 
 

 

 这是关于此配置的一些重要提示：
 
 

 

 注意：因为IGMP探听在此模式动态地执行此没有需要配置静态条目。并且此模式的特别配置在下行Layer2 (L2)交换机vlan状态down没有要求。
 
 

 

 使用本部分可确认配置能否正常运行
 
 

 注意：（）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的汾析
 
 

 

 
 

 输入static命令的show mac address-table为了查看一特定MAC地址表静态和动态条目或者MAC地址表静态和动态条目在特定接口或VLAN ：
 
 

 

 输入show ip igmp snooping组为了查看加入组播组集群成员嘚端口列表：
 
 

 

 目前没有针对此配置的故障排除信息。
 

vPC---纯二层 技术，没有三层功能

解决的是跨框 目前只支持仅2台,逻辑上2台变逻辑一台,结合生成一个虚拟nexus 交换机vlan状态down

VPC: 最后的效果就是無环，链路全部打开.

限制条件：所有流量经过PL就不回从member口出去.

解决东西流量16-ways扩展理解为16个上游，由于VPC只能支持2个设备FP就诞生了,基于会話MAC地址学习. 大二层解决方案/SPINE-LEAF--FP,一旦spine多了，不同的LEAF就可以相互通信从而实现了大二层. .受VXLAN打击现在用的少.

配置非常简单:开启feature,打开端口，划好vlan.

core & edge 成對出现形成邻居 ，全网跑isis,不用配全网传递信息.

loop gurad:配置在端口，避免进入foward状态只对单一设备生效。不常用

VPC最佳 用在接入层

4-PKL down then PL down-----双方彻底失聯。导致的结果是双活OR脑裂各做各，中间有不确定路径.双方role都变为 primary. 链路恢复定义角色恢复

1-mac路由 ，实现多个数据中心二层互通 《mac in ip》===>不是夶二层技术实现特定 vlan通信，而是DCI[跨数据中心]技术 跨数据中心mac互通，让两个站点间vlan互通

单播的话就需要制定一个单播服务器，把边界設备注册到单播服务器上

otv 不传bpdu,未知单播流,避免环路和广播风暴

本文描述实现交换端口分析器(SPAN)的朂近功能SPAN功能，有时称为端口镜像或端口监控为分析选择网络流量由网络分析程序。网络分析器可以是 Cisco SwitchProbe 设备也可以是其他远程监控 (RMON) 探测器。以前SPAN 在 Cisco Catalyst 系列交换机vlan状态down中是一项较基本的功能。但是Catalyst OS (CatOS) 最新版本引入了强大的增强功能并为用户提供了许多新的潜在功能。本攵档不用作 SPAN 功能的备用配置指南本文档将解答有关 SPAN 的最常见的问题，例如：

• SPAN 是什么如何对其进行配置？

• 还有哪些其他功能（尤其是同時运行多个 SPAN 会话）运行这些功能需要哪一级别的软件？

• SPAN 是否会影响交换机vlan状态down的性能

此本文的信息作为参考使用CatOS 5.5 Catalyst ， 和系列交换机vlan状态down在 Catalyst 2900XL/3500XL 系列交换机vlan状态down中，使用的是 Cisco IOS? 软件版本 12.0(5)XU尽管会根据 SPAN 的变化不断更新本文档，但有关 SPAN 功能的最新发展情况请参阅交换机vlan状态down平台攵档发行版本注释。

什么为什么是SPAN和它必要在交换机vlan状态down中引入 SPAN 功能是因为交换机vlan状态down与集线器有本质上的区别。当集线器在某个端口收到一个数据包时它会在除接收该数据包的端口之外的所有端口上发送该数据包的一个副本。某交换机vlan状态down启动后便会开始以它接收嘚各种数据包的源 MAC 地址为基础构建第二层转发表。此转发表构建完毕后该交换机vlan状态down便会将发往某个 MAC 地址的流量直接转发到相应的端口。

例如如果要捕获由主机 A 发送到主机 B 的以太网流量，且两个主机均已连接到某个集线器则只需将一个嗅探器连接到该集线器即可。所囿其他端口均可获知主机 A 与主机 B 之间的流量：

对于交换机vlan状态down在获得主机 B 的 MAC 地址之后，会将从 A 到 B 的单播流量仅转发至 B 端口因此，嗅探器无法获知此流量：

如果采用此配置嗅探器仅捕获泛洪至所有端口的流量，例如：

如果交换机vlan状态down的内容可寻址存储器 (CAM) 表中没有目标 MAC則会发生单播泛洪。交换机vlan状态down不知在何处发送流量交换机vlan状态down会将数据包泛洪至目标 VLAN 中的所有端口。

需要使用附加功能将主机 A 发送的單播数据包人工复制到嗅探器端口：

在此图中嗅探器连接到一个端口，该端口配置为接收主机 A 发送的所有数据包的副本此端口称为 SPAN 端ロ。本文档的其他部分介绍如何对此功能进行精确调整以便除了监控端口以外还可以完成更多工作。

• 输入流量 — 进入交换机vlan状态down的流量

• 输出流量 — 从交换机vlan状态down发出的流量。

• — 使用 SPAN 功能监控的端口

• — 监控源端口的端口，网络分析器通常会连接到此端口

• 本地 SPAN — 当所有受监控的端口与目标端口位于同一交换机vlan状态down中时，SPAN 功能为本地 SPAN 功能此功能与远程 SPAN (RSPAN) 不同，本列表也包含后者的定义

• 远程 SPAN (RSPAN) — 与目标端口汾属于不同交换机vlan状态down的一些源端口。RSPAN 是一项高级功能需要使用特殊的 VLAN 在交换机vlan状态down之间传送由 SPAN 监控的流量。所有交换机vlan状态down均不支持 RSPAN请查阅相应的发行版本注释或配置指南，以了解能否在您部署的交换机vlan状态down上使用 RSPAN

• 基于端口的 SPAN (PSPAN) — 用户指定交换机vlan状态down上的一个或多个源端口以及一个目标端口。

• 基于 VLAN 的 SPAN (VSPAN) — 在特定交换机vlan状态down上用户可以通过一个命令选择监控属于某个特定 VLAN 的所有端口。

• ESPAN —这意味着高级SPAN端ロ版本在 SPAN 发展过程中曾多次使用此术语来命名附加功能。因此该术语的含义不是很明确。本文档中尽量避免使用此术语

• 管理源 — 已配置为受监控的源端口或 VLAN 的列表。

• 操作源 — 受到有效监控的端口的列表此端口列表可能不同于管理源。例如某个处于关闭模式的端口鈳能会出现在管理源中，但不会受到有效监控

源端口（也称为受监控的端口）是为进行网络流量分析而监控的交换端口或路由端口。在單个本地 SPAN 会话或 RSPAN 源会话中可以监控源端口流量，如接收流量 (Rx)、发送流量 (Tx) 或双向流量（接收流量和发送流量）交换机vlan状态down支持任意数量嘚源端口（多达交换机vlan状态down上的最大可用端口数）和任意数量的源 VLAN。

• 其端口类型可以为任何一种端口类型如 EtherChannel、快速以太网、千兆以太网等。

• 可以通过多个 SPAN 会话对其进行监控

• 可以为每个源端口配置监控方向（输入、输出或双向）。对于 EtherChannel 源监控方向适用于组中的所有物理端口。

• 源端口可以位于相同的 VLAN 中也可以位于不同的 VLAN 中。

• 对于 VLAN SPAN 源源 VLAN 中的所有活动端口都是作为源端口添加的。

当将某中继端口作为源端ロ进行监控时默认情况下将监控中继上的所有活动 VLAN。可以使用 VLAN 过滤功能将中继源端口上的 SPAN 流量监控限制在特定 VLAN 范围内

• VLAN 过滤功能仅适用於中继端口或语音 VLAN 端口。

• VLAN 过滤功能仅适用于基于端口的会话在具有 VLAN 源的会话中不得使用该功能。

• 指定 VLAN 过滤器列表后只有该列表中的 VLAN 才會在中继端口或语音 VLAN 接入端口受到监控。

• 来自其他端口类型的 SPAN 流量不受 VLAN 过滤影响这意味着在其他端口上允许所有 VLAN。

• VLAN 过滤仅影响转发至目標 SPAN 端口的流量并不影响正常流量的交换。

• 不能将一个会话内的源 VLAN 和过滤 VLAN 混合在一起您可以拥有源 VLAN 或过滤 VLAN，但不能同时拥有二者

VSPAN 具有鉯下特性：

• 源 VLAN 中的所有活动端口都是作为源端口添加的，并且可以在出入任一方向或双向进行监控

• 在某个给定端口上，只有受控 VLAN 中的流量会发送至目标端口

• 如果某个目标端口属于源 VLAN，则会将其从源列表中排除而不会对其进行监控

• 如果向源 VLAN 中添加端口或从中移除端口，則会将这些端口在源 VLAN 上接收的流量添加到受监控的源或从受监控的源中移除

• 不能在具有 VLAN 源的同一会话中使用过滤器 VLAN。

• 只能监控以太网 VLAN

烸个本地 SPAN 会话或 RSPAN 目标会话必须有一个目标端口（也称为监控端口），用于从源端口和 VLAN 接收流量副本

目标端口具有以下特性：

• 目标端口必須位于源端口所在的交换机vlan状态down上（以进行本地 SPAN 会话）。

• 目标端口可以是任何以太网物理端口

• 一个目标端口一次只能参与一个 SPAN 会话。某┅ SPAN 会话中的目标端口不能是另一 SPAN 会话的目标端口

• 目标端口不能是源端口。

• Note:有关详细信息请参阅。

• 目标端口可以是分配给某个 EtherChannel 组的物理端口即使已将该 EtherChannel 组指定为 SPAN 源也是如此。将目标端口配置为 SPAN 目标端口时会将此目标端口从该组中移除。

• 除非启用识别否则端口将仅传輸 SPAN 会话所需的流量。如果启用了识别端口还会传输定向到已在目标端口识别的主机的流量。

  Note:有关详细信息请参阅。

• 可以故意地将目标端口的状态设为打开/关闭接口显示处于此状态的端口是为了明确该端口当前不可用作生产端口。

• 如果为网络安全设备启用了输入流量转發目标端口将在第二层转发流量。

• 当 SPAN 会话处于活动状态时目标端口不会参与生成树。

• 如果某端口为目标端口则该端口不会参与任何苐二层协议（STP、VTP、CDP、DTP、PagP）。

• 属于任何 SPAN 会话的源 VLAN 的目标端口将从源列表中排除而不会受到监控

• 目标端口将接收所有受控源端口发送和接收嘚流量的副本。如果目标端口使用过度则可能发生拥塞。这种拥塞会影响一个或多个源端口上转发的流量

反射器端口是将数据包复制箌 RSPAN VLAN 的机制。反射器端口仅转发来自与之关联的 RSPAN 源会话的流量在禁用 RSPAN 源会话之前，连接到反射器端口的所有设备都将失去连接

反射器端ロ具有以下特性：

• 它是设置为进行环回的端口。

• 它不能是 EtherChannel 组不进行中继，而且不能执行协议过滤

• 它可以是分配给 EtherChannel 组的物理端口，即使巳将该 EtherChannel 组指定为 SPAN 源也是如此将端口配置为反射器端口时，会将其从组中移除

• 用作反射器端口的端口不能是 SPAN 源或目标端口，一个端口也鈈能同时用作多个会话的反射器端口

• 它对于所有 VLAN 均不可见。

• 反射器端口将未标记的流量环回到交换机vlan状态down随后会将这些流量置于 RSPAN VLAN 上，並泛洪至承载 RSPAN VLAN 的所有中继端口

• 将会在反射器端口上自动禁用生成树。

• 反射器端口将接收所有受监控源端口发送和接收的流量的副本

您能从(仅限注册用户)页下载CNA。

1. 单击您计划在其上连接 PC 以捕获嗅探器踪迹的任意接口

此时会显示一个小的弹出框。

2. 选择源端口并选择计划监控的 VLAN

   如果不选择任何内容，端口将仅接收流量入口 VLAN 允许将 PC 连接到诊断端口，以便向使用该 VLAN 的网络发送数据包

3. 单击 OK 关闭弹出框。
4. 单击 OK然后单击“Apply”应用设置。
5. 设置诊断端口后可以使用任意嗅探器软件来跟踪流量。

Catalyst 2900XL/3500XL 中的端口监控功能并不复杂因此，此功能相对容易掌握

您能如所需要创建许多次本地PSPAN会议。例如可以在已选择作为目标 SPAN 端口的配置端口上创建 PSPAN 会话。 在 Catalyst 2900XL/3500XL 术语中监控端口称为目标 SPAN 端口。

• 主要限制在于与特定会话相关的所有端口（无论是源端口还是目标端口）必须属于同一 VLAN。

• 如果为 VLAN 接口配置一个 IP 地址则 port monitor 命令将仅监控發往该 IP 地址的流量。另外该命令还监控 VLAN 接口接收的广播数据流。但是该命令不捕获流入实际 VLAN 本身的流量。如果在 port monitor 命令中未指定任何接ロ则会监控属于该接口所属的 VLAN

此列表提供了一些限制。参考命令参考指南(Catalyst 2900XL/3500XL)欲知更多信息

Note:ATM端口是不可以是监控端口的唯一的端口。然而您能监控ATM端口。此列表中的限制适用于具有端口监控功能的端口

• 监控端口不可以在快速以太信道或千兆EtherChannel端口组。

• 监控端口不可以是启鼡的为端口安全

• 监控端口不可以是多VLAN端口。

• 监控端口必须是受监控端口所在 VLAN 的成员对于监控端口和受监控端口，不允许更改 VLAN 成员资格

• 监控端口不可以是动态访问端口或中继端口。然而静态接入端口能监控在Trunk、多VLAN或者动态访问端口的VLAN。受监控的 VLAN 是与静态接入端口关联嘚 VLAN

• 如果监控端口和受监控端口均为受保护端口，端口监控将不起作用

请注意，当处于监控状态的端口仍属于它镜像的端口的 VLAN 时该端ロ不运行生成树协议 (STP)。例如如果将端口监控器连接到集线器或网桥并循环到网络的另一个部分，该端口监控器会成为环路的一部分在這种情况下，可能会陷入灾难性的桥接环路状况因为 STP 不再为您提供保护。请参阅本文档的 部分以查看这种情况如何发生的示例。

本示唎创建两个并发 SPAN 会话

为将端口 Fa0/1 配置为目标端口，并配置源端口 Fa0/2 和 Fa0/5 以及管理接口 (VLAN 1)请在配置模式下选择接口 Fa0/1：

输入要监控的端口的列表：

使用此命令，同时将这两个端口接收或发送的所有数据包复制到端口 Fa0/1发出 port monitor 命令的一种变化形式以配置对管理接口的监控：

Note:此命令不表示端口 Fa0/1 会监控整个 VLAN 1。vlan 1 关键字仅指交换机vlan状态down的管理接口

此命令示例说明无法监控另一个 VLAN 中的端口：

为完成配置，需要配置另一个会话这佽，请使用 Fa0/4 作为目标 SPAN 端口：

 

 Catalyst 2948G-L3 和 Catalyst 4908G-L3 是固定配置的交换机vlan状态down路由器或第三层交换机vlan状态down在第3层交换机vlan状态down的SPAN功能称为端口监测。然而这些茭换机vlan状态down不支持端口监测。请参阅 文档中的部分
 
 

 

 一个非常基本的SPAN功能是可用的在Catalyst 8540以端口监测名义。请参见当前Catalyst 8540文档其他信息
 
 

 端口监測让您透明地反映从一个或更多源端口的数据流到目的地端口”。
 
 

 发出 snoop 命令可设置基于端口的流量镜像或侦测发出此命令的 no 形式可禁用偵测：
 
 

 
 

 

 此示例显示show snoop命令的输出：
 
 

 

 Note:如果运行多服务 ATM 交换机vlan状态down路由器 (MSR) 映像（如 8540m-in-mz），Catalyst 8540 中的以太网端口将不支持此命令反而，您必须使用一个校园网交换路由器镜像例如8540c在mz。
 
 

 

 SPAN功能逐个被添加了到CatOS并且SPAN配置包括span命令的一套。目前已有大量可用于该命令的选项：
 
 

 

 下面的网络图介紹了使用命令变化形式带来的不同 SPAN 可能性：
 
 

 
 
 

 
 

 

 将一个嗅探器连接到端口 6/2并在几种不同情况下使用该端口作为监控端口。
 
 

监控有SPAN的单个端口

 

 采用此配置时端口 6/1 接收或发送的每个数据包均在端口 6/2 上进行复制。输入此配置后会显示有关此配置的明确的说明。发出 show span 命令以获得当湔 SPAN 配置的概要信息：
 
 

监控与SPAN的几个端口

 

 
 
 

 set span source_ports destination_port命令允许用户指定超过一个源端口您只需列出要对其实施 SPAN 的所有端口，并用逗号分隔这些端口命令行解释程序还允许您使用连字符指定一系列端口。本示例说明了这种用以指定多个端口的功能下面的示例对端口 6/1 以及从 6/3 到 6/5 的三个端ロ使用 SPAN：
 
 

 Note:只能有一个目标端口。务必先指定 SPAN 源然后再指定目标端口。
 
 

 

 
 
 

 采用此配置时至少可以仅监控来自中继的属于 VLAN 2 的流量。问题是這时也会收到来自端口 6/3 的不需要的流量。CatOS 包括另一个关键字可用于从中继中选择某些 VLAN 进行监控：
 
 

 

 
 
 

 此命令可以实现目标，因为选择的是所囿受监控中继上的 VLAN 2使用此过滤器选项可指定若干 VLAN。
 
 

 
 

 

 如果有属于多个不同 VLAN 的源端口或是对某个中继端口上的若干 VLAN 使用 SPAN，则可能需要标识茬目标 SPAN 端口收到的数据包属于哪个 VLAN如果在为 SPAN 配置端口之前启用目标端口上的中继，则可以进行上述标识这样，转发到嗅探器的所有数據包也将带有其各自 VLAN ID 的标记
 
 

 Note:您的嗅探器需要识别相应的封装。
 
 

 

 到目前为止只创建了一个 SPAN 会话。每次发出新的 set span 命令时原有配置都将失效。CatOS 目前具备同时运行多个会话的功能因此可同时具有不同的目标端口。发出 set span source destination create 命令以添加其他 SPAN
 会话在此会话中，端口 6/1 到 6/2 受到监控同時，VLAN 3 到端口 6/3 也受到监控：
 
 

 
 
 

 

 现在发出 show span 命令以确定是否同时运行两个会话：
 
 

 

 创建了其他会话。您需要方式删除一些会话命令如下：
 

 

 由于每個会话只能有一个目标端口，因此目标端口可标识会话删除所创建的第一个会话，即使用端口 6/2 作为目标端口的会话：
 
 

 

 现在可以检查是否僅剩余一个会话：
 
 

 

 发出以下命令以便在一个步骤中禁用所有当前会话：
 
 

 

 此部分简要介绍了本文档讨论的选项：
 
 

• sc0 — 如果需要监控发往管理接口 sc0 的流量，则在 SPAN 配置中指定 sc0 关键字Catalyst 和 交换机vlan状态down（代码版本为 CatOS 5.1 或更高版本）中提供此功能。

• inpkts enable/disable — 此选项极为重要如本文档所述，配置為 SPAN 目标端口的端口仍属于其原始 VLAN在目标端口接收的数据包随后进入该 VLAN，就像该端口是正常接入端口一样您可能需要这种行为。如果使鼡 PC 作为嗅探器您可能希望将该 PC 完全连接到 VLAN。然而如果将目标端口连接到在网络中创建环路的其他网络设备，上述连接可能十分危险目的地SPAN端口不运行STP，并且您在一个危险桥接环路情况能结果请参阅本文档的 部分，以了解这种情况是怎样发生的此选项的默认设置为禁用，这意味着目标 SPAN 端口将丢弃该端口接收的数据包这种丢弃可保护端口免受桥接环路的危害。CatOS 4.2 中显示此选项

• multicast enable/disable — 顾名思义，此选项可鼡于启用或禁用多播数据包的监控默认为启用。此功能是可用的在Catalyst 和 CatOS 5.1及以后。

 

 使用 RSPAN可以对遍及交换网络每一个角落的各个源端口进荇监控，而不仅仅监控位于具有 SPAN 功能的交换机vlan状态down本地的端口Catalyst 系列交换机vlan状态down上的 CatOS 5.3 中提供此功能，Catalyst 系列交换机vlan状态down上的 CatOS 6.3 及更高版本也增加了此功能
 
 

 功能正确地操作作为普通SPAN会话。由 SPAN 监控的流量并不直接复制到目标端口而是泛洪至一个专门的 RSPAN VLAN。目的地端口可能然后任何哋方位于此RSPAN VLAN甚至可以有多个目标端口。
 
 

 此图表说明RSPAN会话的结构：
 
 

 
 
 

 在本示例中将 RSPAN 配置为监控主机 A 发送的流量。当 A 生成一个发往 B 的帧时甴 Catalyst Policy Feature Card (PFC) 的专用集成电路 (ASIC) 将数据包复制到预定义的 RSPAN VLAN。在该处将数据包泛洪至属于该 RSPAN VLAN 的所有其他端口在此形成的所有交换机vlan状态down间链路均为中继，这是对 RSPAN
 的要求唯一的接入端口是目的地端口，嗅探器被连接(这里在S4和S5)。
 
 

 下面是有关此设计的一些说明：
 
 

• S1称为源交换机vlan状态down数据包呮进入配置为 RSPAN 源的交换机vlan状态down中的 RSPAN VLAN。目前一个交换机vlan状态down只能作为一个 RSPAN 会话的源，这意味着一个源交换机vlan状态down每次只能为一个 RSPAN VLAN 提供数据包

• S2和S3是中间交换机vlan状态down。他们不是RSPAN源并且没有目的地端口。交换机vlan状态down可以是半成品的为任何数量的RSPAN会话

• S4和S5是目的地交换机vlan状态down。配置他们的一些端口是RSPAN会话的目的地目前， Catalyst 能有24个RSPAN目的地目的端口一次或几次不同的会话的。您能也注意S4是目的地和一台中间交换机vlan狀态down

• 可以看到，RSPAN 数据包泛洪至 RSPAN VLAN即使未处于指向目标端口的路径中的交换机vlan状态down（如 S2）也会收到发往 RSPAN VLAN 的流量。您会发现修剪诸如 S1-S2 之类嘚链路上的此 VLAN 十分有用。

• 为实现泛洪禁用了 RSPAN VLAN 的识别功能。

• 为防止形成环路在 RSPAN VLAN 上保留了 STP。因此RSPAN 无法监控网桥协议数据单元 (BPDU)。

 

 本部分的信息说明如何使用非常简单的 RSPAN 设计设置这些不同的元素S1和S2是两Catalyst 交换机vlan状态down。为了从 S2 监控某些 S1 的端口或 VLAN必须设置一个专用的 RSPAN VLAN。其余命令嘚语法与您在典型 SPAN 会话中使用的命令类似
 
 

 
  
 

 

 为便于开展工作，将相同的 VLAN 中继协议 (VTP) 域置于每个交换机vlan状态down上并将一端配置为适用于中继。VTP協商执行其余在 S1 上发出以下命令：
 
 

 在 S2 上发出以下命令：
 
 

 

 
 

 在一个配置为 VTP 服务器的交换机vlan状态down上发出此命令。RSPAN VLAN 100知识在全部的VTP域自动地被传播
  
 

端口的配置S2 5/2作为RSPAN目的地目的端口

 

 在本示例中，通过端口 6/2 进入 S1 的传入流量将受到监控发出此命令：
 
 

 

 此时，端口 6/2 上的传入数据包将泛洪至 RSPAN VLAN 100并通过中继到达在 S1 上配置的目标端口。
  
 

 

 show rspan命令提供当前RSPAN配置的汇总在交换机vlan状态down的同样，一次只能启用一个源 RSPAN 会话
 
 

使用 set rspan 命令可实现的其他配置

 

 配置 RSPAN 的源和目标需要使用若干命令行。除这一区别外SPAN 与 RSPAN 的行为其实是相同的。如果要有几目的地SPAN端口您在单个交换机vlan状态down能夲地甚而使用RSPAN。
 
 

 

 下表概括了已引入的不同功能并提供在指定平台上运行这些功能所需的最低 CatOS 版本：
 

 

 
 

 
 
 

 使用一个或多个 VLAN 的列表作为源，而不昰使用端口列表：
 
 

 

 采用此配置时会将进入 VLAN 2（或 VLAN 3）或从中发出的每个数据包复制到端口 6/2。
 
 

 
 

 

 在本示例中会话捕获进入 VLAN 1 和 VLAN 3 的所有流量，并将這些流量镜像到端口 6/2：
 
 

 
 
 

 

 
 
 

 在这种情况下在 SPAN 端口上接收的流量将是所需流量与中继 6/5 承载的所有 VLAN 的混合流量。例如在目标端口没有办法区分數据包是来自 VLAN 2 中的端口 6/4 还是来自 VLAN 1 中的端口 6/5。另一种可能性是对整个 VLAN 2 使用 SPAN：
 

在中继上实施 SPAN

 

 中继是交换机vlan状态down中的特例因为它们是承载多个 VLAN 嘚端口。如果Trunk选择作为源端口所有VLAN的数据流在此Trunk被监控。
 
 

对属于中继的 VLAN 的子集进行监控

 

 在下面的图中端口 6/5 现在是承载所有 VLAN 的中继。试想要对端口 6/4 和 6/5 的 VLAN 2 中的流量使用 SPAN只需发出以下命令即可：
 

入口/出口SPAN端口

 

 在 部分的示例中，进入指定端口及从指定端口发出的流量受到监控Direction:transmit/receive 字段表明了这一情况。Catalyst 、 和 
 系列交换机vlan状态down允许针对某个特定端口仅收集输出（出站）流量或仅收集输入（入站）流量在命令末尾添加 rx（接收）或 tx（发送）关键字。默认值为 both（tx 和 rx）
 

下表简要概括了目前对可能的 SPAN 会话数量的限制：

有关其他限制囷配置指南请参阅下列文档：

• Catalyst 2950 交换机vlan状态down一次只能启用一个 SPAN 会话，而且只能监控源端口这些交换机vlan状态down不能监控 VLAN。

• Catalyst 3750 交换机vlan状态down支持使鼡位于任意交换机vlan状态down堆栈成员上的源端口和目标端口进行会话配置

• 每个 SPAN 会话只允许有一个目标端口，而且同一端口不能作为多个 SPAN 会话嘚目标端口因此，两个 SPAN 会话不能使用同一个目标端口

还可以将某个端口配置为本地 SPAN 和 RSPAN 的目标端口，用于监控相同的 VLAN 流量为监控位于兩个直接连接的交换机vlan状态down中的某个特定 VLAN 的流量，需要在具有目标端口的交换机vlan状态down上配置这些命令在本示例中，我们通过 VLAN 5 监控在两个茭换机vlan状态down之间传播的流量：

 

 在远程交换机vlan状态down上使用以下配置：
 
 

 在上一示例中，将一个端口配置为本地 SPAN 和 RSPAN 的目标端口以监控位于两個交换机vlan状态down中的同一 VLAN 的流量。
 
 

 
 

 
 

 中继端口也是如此如果嗅探设备或 PC 网络接口卡 (NIC) 无法识别带有 802.1Q 标记的数据包，该设备可能会丢弃这些数据包或在尝试对这些数据包进行解码时遇到困难只有 SPAN 源端口为中继端口时，识别 802.1Q 标记帧的功能才具有重要性使用Cisco IOS Software Release 12.1(11)EA1和以后，您能信息包的enable
 (event)囷功能失效标记在SPAN目的地端口 如果未指定 encapsulation 关键字，则会发送未标记的数据包这是 Cisco IOS 软件版本 12.1(11)EA1 和更高版本中的默认设置。
 
 

有关配置 SPAN 和 RSPAN 的详細信息请参阅下列配置指南：

运行 Cisco IOS 系统软件的 Catalyst 和 Catalyst 系列交换机vlan状态down支持 SPAN 功能。这两种交换机vlan状态down的平台使用的命令行界面 (CLI) 与 部分所述的命囹行界面相同并且具有与之类似的配置。有关相关配置请参阅下列文档：

可以配置 SPAN，如下面的示例所示：

 

 下表概括了已引入的不同功能并提供在指定平台上运行这些功能所需的最低 Cisco IOS 软件版本：
 
 

¹功能当前不是可用的，并且这些功能的可用性没有典型地发布直到版本

数據包。产生此问题的原因是交换机vlan状态down的数据包转发体系结构存在限制SPAN 目标端口不执行任何验证数据包来源的检查。Cisco Bug ID （仅限注册用户）Φ也记录了这个问题

下表简要概括了目前对可能的 SPAN 和 RSPAN 会话数量的限制：

在 Catalyst 6500 系列中请注意出口 SPAN 是在 Supervisor 完成的，这一点很重要这样，可以将受出口 SPAN 监控的所有流量跨交换结构发送到 Supervisor然后发送到 SPAN 目标端口，这可能会占用大量系统资源并影响用户鋶量入口 SPAN 将在入口模块上完成，因此所有参与的复制引擎将共同影响 SPAN 的性能SPAN 功能的性能取决于数据包大小和复制引擎中可用 ASIC 的类型。

囿关其他限制和配置指南请参阅下列文档：

这是2900XL/3500XL交换机vlan状态down内部体系结构的一张非常单纯化的视图：

交换机vlan状态down的端口连接沟通对交换結构通过放射信道的卫星。在顶部所有卫星通过一个专用于信令流量的高速通知环互相连接。

当卫星从某个端口收到数据包时会将该數据包拆分为信元并通过一个或多个信道发送到交换结构。信息包在共享内存然后被存储每枚卫星有目的地端口知识。在本部分的图表Φ卫星 1 获知卫星 3 和 4 将收到数据包 X。卫星 1 通过通知环向其他卫星发送一条消息这样，卫星 3 和 4 便可以开始通过其放射信道从共享内存中检索信元并最终得以转发该数据包。由于源卫星了解目标该卫星还会传输一个表示其他卫星下载此数据包的次数的指数。每次卫星从共享内存检索信息包此索引减少。当该指数达到 0 时便可以释放共享内存。

为使用 SPAN 对某些端口进行监控必须再一次将数据包从数据缓冲區复制到卫星。对高速的交换结构的影响是微不足道的

监控端口收到复制的传输和所有被监控的端口的接收的流量。在此体系结构内發往多个目标的数据包将存储在内存中，直到所有副本转发完毕如果监控端口在一段时期内持续处于超负荷 50% 的状态，该端口很可能发生擁塞并占据部分共享内存受监控的一个或多个端口也有可能呈现减速状态。

Catalyst 根据一共享存储交换结构下图简要概括了数据包通过交换機vlan状态down的路径。事实上实际的实施过程要复杂得多：

在 Catalyst 上，可以区分数据路径数据路径与交换机vlan状态down中数据的真实传输路径相对应，您可以将其与做出所有决策的控制路径区分开来

当数据包进入交换机vlan状态down时，会在数据包缓冲内存（共享内存）中分配缓冲区在数据包描述符表 (PDT) 中初始化指向此缓冲区的数据包结构。将数据复制到共享内存时由控制路径确定在何处交换数据包。为确定这一点将根据鉯下信息计算散列值：

此值用于查找一个路径结构的虚拟路径指数在虚拟路径表(VPT)的。VPT 中的此虚拟路径条目包含与该特定数据流相关的若干芓段这些字段包括目标端口。在PDT的信息包结构用在虚拟路径和计数器的一个参考当前更新在本部分的示例中，要将数据包传输到两个鈈同的端口因此计数器初始化为 2。最后信息包结构被添加到两个目的地端口的输出队列。在该队列中数据从共享内存复制到端口的輸出缓冲区，数据包结构计数器递减当它达到 0 时，共享内存缓冲区将释放

使用 SPAN 功能，必须将数据包发送到两个不同的端口如部分的礻例所述。由于交换结构无阻塞将数据包发送到两个端口不成问题。如果目的地SPAN端口拥塞信息包在输出队列被丢弃和从共享内存正确哋发布。所以没有对交换机vlan状态down操作的影响。

在 Catalyst 和 系列交换机vlan状态down上在某个端口收到的数据包将通过内部交换总线进行传输。交换机vlan狀态down中的每个线路卡开始在内部缓冲区中存储此数据包同时，编码地址识别逻辑 (EARL) 收到数据包的报头并计算结果索引EARL 通过结果总线将结果索引发送到所有线路卡。获知此索引使线路卡可以单独决定在其缓冲区中接收数据包时应对数据包进行泛洪还是传输

一个或几个端口昰否最终传输信息包没有绝对对交换机vlan状态down操作的影响。因此如果考虑此体系结构，SPAN 功能不会对性能产生任何影响

连通性问题由于SPAN误配置

由于 SPAN 配置错误导致的连通性问题在 5.1 之前的 CatOS 版本中十分常见。使用这些版本时只能运行一个 SPAN 会话。即使禁用 SPAN该会话仍保留在配置中。通过发出 set span enable 命令用户可重新激活存储的 SPAN 会话。例如如果用户需要启用 STP，常常会由印刷错误引起此操作如果使用目标端口转发用户流量，则可能产生严重的连通性问题

警告：当前 CatOS 的实施过程中仍存在此问题。对于选择作为 SPAN 目标的端口应谨慎操作。

SPAN 目标端口打开/关闭

當端口被纳入监控范围时端口状态显示为打开/关闭。

当您配置 SPAN 会话以监控端口时目标接口会故意地显示状态“关闭（监控）”。接口顯示处于此状态的端口是为了明确该端口当前不可用作生产端口端口显示为打开/关闭监控是正常的。

SPAN 会话为何创建桥接环路

当管理员嘗试伪造 RSPAN 功能时，通常会创建桥接环路另外，配置错误也可能引发此问题

有两台通过中继链接的核心交换机vlan状态down。在这种情况下每個交换机vlan状态down具有与之连接的若干服务器、客户端或其他网桥。管理员要使用 SPAN 对出现在多个网桥中的 VLAN 1 进行监控管理员创建一个 SPAN 会话，用於在每个核心交换机vlan状态down上监控整个 VLAN 1然后为了合并这两个会话，将目标端口连接到同一个集线器（或使用另一个 SPAN 会话连接到同一交换机vlan狀态down）

管理员实现了目标。核心交换机vlan状态down在 VLAN 1 上收到的每一个数据包将在 SPAN 端口上进行复制并向上转发到集线器最终由嗅探器捕获流量。

唯一问题是数据流也给再注射到核心2通过目的地SPAN端口流量再次送入核心 2 将在 VLAN 1 中创建桥接环路。请记住目标 SPAN 端口不会运行 STP，也不能避免形成这样的环路

Note:由于 CatOS 中引入了 inpkts（输入数据包）选项，因此 SPAN 目标端口将默认丢弃所有传入数据包从而避免产生这种故障情况。但是潛在问题是存在Catalyst 2900XL/3500XL系列交换机vlan状态down。

Note:即使有 inpkts 选项防止环路的形成本部分显示的配置仍有可能在网络中引起一些问题。网络问题可能是由与目标端口上启用的识别功能相关的 MAC 地址识别问题导致的

SPAN是否影响性能？

有关对指定 Catalyst 平台性能的影响的信息请参阅本文档的下列部分：

洳果其中一个在套件的端口是SPAN目的地端口， EtherChannel不形成在这种情况下如果尝试配置 SPAN，交换机vlan状态down将提示您：

是否可以同时运行多个 SPAN 会话

在 Catalyst 2950 系列交换机vlan状态down上，在任何时间只能有一个指定监控端口如果选择另一个端口作为监控端口，早先监控端口是失效的并且所选的端口朂近成为监控端口。

在采用 CatOS 5.1 和更高版本的 Catalyst 、 和 交换机vlan状态down上可以运行若干并发 SPAN 会话。请参阅本文档的和部分

当允许的 SPAN 会话超出 Supervisor 引擎的限制时，将显示以下消息：

出现此问题时插入虚拟专用网络 (VPN) 模块的机箱中已经插入了交换矩阵模块。Cisco IOS 软件会自动为 VPN 服务模块创建 SPAN 会话以處理多播流量

发出以下命令以删除该软件为 VPN 服务模块创建的 SPAN 会话：

Note:如果删除该会话，VPN 服务模块将丢弃多播流量

为何无法使用 SPAN 捕获损坏嘚数据包？

不能使用 SPAN 捕获损坏的数据包这是交换机vlan状态down通常的运行方式决定的。当信息包通过交换机vlan状态down时这些事件发生：

1. 数据包至尐存储在一个缓冲区中。

2. 最后数据包在出站端口上重新传输。

如果交换机vlan状态down收到一个损坏的数据包入站端口通常会丢弃该数据包。洇此您在出站端口看不到该数据包对于流量的捕获，交换机vlan状态down不是完全透明的同样，如果在本部分所述情况下在嗅探器中看到损坏嘚数据包则可以确定是出口分段在步骤 3 出现了错误。

如果认为损坏的数据包是由某个设备发送的您可以选择将发送主机和嗅探器设备連接在同一集线器上。集线器不执行任何错误检查因此，与交换机vlan状态down不同集线器不会丢弃数据包。这样便可以查看数据包。

如果咹装了防火墙服务模块 (FWSM)（例如在 CAT6500 中安装并在之后移除），它会自动启用 SPAN 反射器功能SPAN 反射器功能在交换机vlan状态down中使用一个 SPAN 会话。如果不洅需要此功能您可以从 CAT6500 配置模式内部输入 no monitor session service module 命令，然后立即输入新的所需 SPAN 配置

反射器端口将接收所有受监控源端口发送和接收的流量的副本。如果反射器端口使用过度则可能发生拥塞。这可能会影响一个或多个源端口的流量转发如果反射器端口的带宽无法满足来自对應源端口的流量，则会丢弃超额数据包10/100 端口的反射速率为 100 Mbps。千兆端口的反射速率为 1 Gbps

当 Catalyst 6500 机箱中有防火墙刀片时，会自动安装此会话以支歭硬件多播复制因为 FWSM 无法复制多播数据流。如果来自 FWSM 之后的多播数据流必须在第三层复制到多个线路卡该自动会话会通过光纤信道将鋶量复制到 Supervisor。

同一交换机vlan状态down内的 SPAN 和 RSPAN 会话能否具有相同的 ID

不能，无法对常规 SPAN 会话和 RSPAN 目标会话使用相同的会话 ID每个 SPAN 和 RSPAN 会话的会话 ID 不得相哃。

RSPAN 会话能否跨不同的 VTP 域工作

可以。RSPAN 会话可以跨越不同的 VTP 域但需要确保 RSPAN VLAN 存在于这些 VTP 域的数据库中。另外还要确保会话源到会话目标嘚路径中不存在第三层设备。

RSPAN 会话能否跨 WAN 或不同的网络工作

不能。RSPAN 会话不能跨越任何第三层设备因为 RSPAN 是 LAN（第二层）功能。要监控跨 WAN 或鈈同网络的流量可使用封装远程 SwitchPort 分析器 (ERSPAN)。ERSPAN 功能支持不同交换机vlan状态down上的源端口、源 VLAN 和目标端口从而提供对跨网络的多个交换机vlan状态down的遠程监控。

ERSPAN 包括一个 ERSPAN 源会话、可路由的 ERSPAN GRE 封装流量和一个 ERSPAN 目标会话您可在不同的交换机vlan状态down上分别配置 ERSPAN 源会话和目标会话。

当前支持 ERSPAN 功能的系统如下：

有关 ERSPAN 的详细信息，请参阅

RSPAN 源会话和目标会话能否存在于同一台 Catalyst 交换机vlan状态down中？

不能如果 RSPAN 源会话与 RSPAN 目标会话位于同一交換机vlan状态down上，RSPAN 将无法工作

如果 RSPAN 源会话配置有特定的 RSPAN VLAN，并且在同一交换机vlan状态down上为该 RSPAN VLAN 配置了 RSPAN 目标会话那么该 RSPAN 目标会话的目标端口不会传輸从 RSPAN 源会话捕获的数据包，这是硬件限制造成的4500 系列和 3750 系列交换机vlan状态down不支持此限制。Cisco Bug ID （仅限注册用户）中记录了此问题

此问题的解決方法是使用常规 SPAN。

连接到 SPAN 目标端口的网络分析器/安全设备无法访问

SPAN 目标端口的基本特性是除 SPAN 会话所需的流量外不传输任何流量。如果需要通过 SPAN 目标端口到达（IP 可达性）网络分析器/安全设备则需要启用入口流量转发。

启用入口后SPAN 目标端口将接受传入数据包（这些数据包可能根据指定封装模式进行标记），并对其进行正常交换配置 SPAN 目标端口时，您可以指定是否启用入口功能以及要使用哪个 VLAN 交换未标記的入口数据包。如果配置了 ISL 封装则不需要指定入口 VLAN，因为所有 ISL 封装数据包均带有 VLAN 标记尽管端口进行 STP 转发，但它并不参与 STP因此配置此功能时请谨慎操作，以免在网络中引入生成树环路在 SPAN 目标端口上指定入口和中继封装后，该端口便可开始在所有活动 VLAN 中进行转发不尣许将不存在的 VLAN 配置为入口 VLAN。

此示例显示如何用802.1q与使用的封装和入口信息包配置目的地端口本地VLAN 7

采用此配置时，会将与会话 1 关联的 SPAN 源发絀的流量复制到快速以太网 5/48 接口之外并采用 802.1q 封装。接受传入流量并对其进行交换将未标记的数据包归入 VLAN 7。