Вот собственно и все. Самый просто вариант настройки, когда нам необходимо с какого-то порта снять и прослушать трафик.
Помните, когда вы примените настройку для destination port у вас пропадет доступ к коммутатору (так как порт будет работать только для приема зеркалированного трафика), поэтому делать это лучше непосредственно возле коммутатора, на отдельном хосте. Например, ноутбук.
Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с порта source. В моем случае, на f0/34 порте «висит» ПК, с IP адресом 10.0.5.12.
Wireshark видит данные с этим IP, значит все работает как надо.
Помним, что по умолчанию, зеркалируется трафик как входящий так и исходящий на source port.
Для того, чтобы ограничить трафик, например только входящим, нужно сделать следующее:
В нашем примере, зеркалируется трафик только с одного порта, но нам ничего не мешает сделать зеркалирование с двух и более, для этого просто добавляем команды с соответствующими интерфейсами:
Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на destination port.
Теперь давайте представим, что нужно зеркалировать транковый порт (в теоретической части мы с вами определились, что это делать можно). И хотим чтоб Layer 2 протоколы ходили, такие как CDP,DTP и другие.
Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим образом:
Если взглянуть на настройку, то можно увидеть только одно отличие, это присутствие нового параметра encapsulation replicate, который определяет как раз то, что мы будем видеть в трафике фреймы такие как CDP, DTP, и так далее.
Помним о том, что если настроно так как выше, и g0/1 является транком, то данные будут зеркалироваться со всех VLAN этого транка.
Для того, чтобы «вычеркнуть» не нужные нам VLAN воспользуем фильтрацией.
Здесь мы видим дополнительную команду monitor session с параметром filter vlan. Что же он значит?
Filter vlan означает то, что указанные далее номера vlan, не будут включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5 означает 1,2,3,4,5), а можно просто через запятую перечислять номера VLAN.
Если нам необходимо использовать источник не порт а VLAN, например 5, необходимо сделать так:
ASW(config)#monitor session 1 source vlan 5
так же, через запятую можно перечислить список vlan.
С SPAN пожалуй все. Теперь разберемся с RSPAN.
Поставим себе задачу.
Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 — только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо зазеркалировать трафик VLAN 15, оба типа трафика.
Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это было описано в теоретических основах SPAN/RSPAN).
Перейдем к настройке.
1. Разбираемся с ASW1.
Создаем VLAN для RSPAN
ASW1(config)#vlan 100
ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)
Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем случае, на 100 мегабитный интерфейс может придти трафика больше чем он сможет обработать, нужно это иметь ввиду и не забывать об этом.
Последняя команда на последок, которая облегчит жизнь администратору
ASW#sh monitor session ?
<1-66> SPAN session number
all Show all SPAN sessions
local Show only Local SPAN sessions
range Show a range of SPAN sessions in the box
remote Show only Remote SPAN sessions
ASW#
С помощью нее, можно быстро найти ошибку, которую допустили при конфигурировании, в общем рекомендую. На этом с SPAN/RSPAN пока все!