SPAN是一个比较老的技术了,在我们日常的工作中,很多时候都能够用到。SPAN有些时候也被称作端口监控,可以用来抓取网络流量以供网络分析器(如Cisco Switch Probe)分析。
谈到SPAN,肯定离不开SPAN的源和目的。
SPAN源
SPAN源通常是指流量可以被监控的接口,对于Cisco Nexus设备一般支持作为源接口的有如下:
-Ethernet
-Fibre Channel
-virtual Fibre Channel
-port channels
-SAN port channels
*VSANs
*VLANs(Cisco Nexus 34180YC平台不支持)
【Note】对于 VLAN 或 VSAN,指定 VLAN 或 VSAN 中所有受支持的接口都包含为 SPAN 源。
【Note】如果 SPAN 源接口发送的流量超过 6 Gbps 或流量突发过多,则设备会丢弃源接口上的流量。我们可以在 SPAN 目标上使用 switchport monitor rate-limit 1G 命令来减少源接口上实际流量的丢弃; 但是,SPAN 流量将限制为 1 Gbps。
SPAN源端口的特点:
·对于 VLAN 源,监控方向只能是 ingress,适用于组内的所有物理端口。
·RX/TX 选项不可用于 VLAN SPAN 会话。
·可以使用 ACL 过滤入口流量。
·如果没有配置 ACL过滤,只要方向或 SPAN 目标不同,就可以为多个会话配置相同的源。
SPAN目标
SPAN 目标是指监控源端口的接口。 Cisco Nexus 系列设备支持将以太网接口作为 SPAN 目标。
SPAN目标端口的特点:
每个Local SPAN都必须配置一个目标端口,用来接收SPAN源镜像来的流量。其特点如下:
·作为目标的端口不能是源端口。
·不能是port-channel。
·当SPAN会话工作的时候,目标端口不参与STP。
·FCoE(Fibre Channel over Ethernet) ports不能作为目标端口。
·Source Ethernet 端口不能为目标端口。
问题:SPAN会话会使得CPU过载吗?
相信在工作中,我们经常使用SPAN来完成抓包的时候,都并未注意到有什么high CPU的情况产生,因为SPAN数据包是在硬件中创建的,所以不会使CPU过载。
相关限制
·从NX-OS 7.0(3)I4(1)开始,同一个源支持多个ACL过滤。
·NX-OS 5.0(3)U2(2)是一个关键性的版本,如果从该版本降级到降低版本,SPAN配置可能会丢失;如果从低版本升级到该版本,也注意升级前备份一下配置。
·ACL过滤只支持在SPAN Rx方向应用。
·由于TCAM宽度限制,IPv6和MAC ACL不支持ACL过滤。SPAN TCAM的大小为128或256(具体取决于ASIC)。
·permit和deny的ACE处理方式都是一样,不管它们在ACL中是deny还是permit,只要匹配就ACE就被镜像。(所以注意deny ACE不会导致数据包被丢弃,SPAN会话中配置ACL仅用来确认数据包是否被镜像!)
·建议SPAN的时候,只监控Rx方向的性能将会更好,Rx流量是直通转发,Tx流量是存储转发。
按照Cisco的建议,如果要监控一个端口的两个方向,建议监控更多的物理端口的Rx,例如SW1-SW2,在两个SW都抓取Rx方向的流量,但是这通常是不方便的,具体情况下的操作,还是看实际操作。
注意:有些时候在配置多个会话的时候,发现其他会话不能正常工作。可能是超过了配置限制。
例如:
这里是NX-OS Release 5.0(3),针对Nexus3000平台,某网络工程师配置了3个SPAN会话,当3个都处于工作状态的时候,其中有一个SPAN会话,总是工作不正常,例如源端口的Rx方向的流量没有。
这个时候需要注意查看一下设备的配置限制(其他nexus平台也是如此)!
针对Nexus3000平台,SPAN会话的限制如下:
Note:
4 active SPAN sessions with the SPAN source in a single direction (RX only or TX only in each span session).
2 active SPAN sessions with the SPAN source in both RX and TX directions.
配置SPAN
配置示例一般比较简单。
switch# configure terminal
switch(config) # monitor session 1
switch(config) #
1、配置目标端口
switch# configure terminal
switch(config)# interface ethernet 2/1
switch(config-if)# switchport
switch(config-if)# switchport monitor
switch(config-if)# no shut
switch(config-if)# exit
switch(config)#
2、配置SPAN会话
switch(config)# no monitor session 1
switch(config)# monitor session 1
switch(config-monitor)# source interface ethernet 1/1-3, ethernet 2/1 rx
switch(config-monitor)# source interface port-channel 1
switch(config-monitor)# source interface sup-eth 0 both
switch(config-monitor)# source vlan 3, 6-8 rx
switch(config-monitor)# source interface ethernet 101/1/1-3
switch(config-monitor)# filter vlan 3-5, 7
switch(config-monitor)# destination interface ethernet 2/5
switch(config-monitor)# no shut
switch(config-monitor)# exit
switch(config)# show monitor session 1
switch(config)# copy running-config startup-config
3、查看会话
show monitor session
show monitor session x
