設定Catalyst交換連線埠分析器(SPAN)：範例

簡介

本文說明交換連接埠分析器 (SPAN) 最近實作的功能。

必要條件

支援 SPAN、RSPAN 和 ERSPAN 的 Catalyst 交換器

需求

本文件沒有特定需求。

採用元件

本文中的資訊使用 CatOS 5.5 作為 Catalyst 4500/4000、5500/5000 和6500/6000 系列交換器的基準。在 Catalyst 2900XL/3500XL 系列交換器上使用的是 Cisco IOS®軟體版本 12.0(5)XU。 雖然本文已經過更新，以反映對 SPAN 的變更，但請參閱您交換器平台文件的版本說明，瞭解 SPAN 功能的最新進展。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

SPAN 功能（有時稱為連接埠鏡像或連接埠監控）可選擇供網路分析器分析的網路流量。網路分析器可能是Cisco Switch Probe裝置或其他遠端監控(RMON)探查。

之前，SPAN 是 Cisco Catalyst 系列交換器上的一個相對基本的功能。不過，最新版本的 Catalyst OS (CatOS) 導入絕佳的增強功能，並讓使用者享有許多新的可能性。

不應將本文作為 SPAN 功能的替代設定指南。本文回答有關 SPAN 的最常見問題，例如：

• 什麼是 SPAN，以及如何設定？

• 有哪些不同的功能可用（尤其是多個同時的 SPAN 作業階段），以及執行這些功能需要的軟體層級是什麼？

• SPAN 是否會影響交換器效能？

SPAN 簡短說明

交換器導入 SPAN 功能，是因為交換器與集線器之間具有一項基本差異。當集線器的一個連接埠收到封包時，除了收到封包的那個連接埠之外，集線器會將封包的副本傳送到所有連接埠。

交換器啟動後，開始根據交換器接收的不同封包的來源 MAC 位址，建立第 2 層轉送表。轉送表建立後，交換器會將目的地為某 MAC 位址的流量直接轉送到對應的連接埠。

例如，若要擷取從主機A傳送到主機B的乙太網路流量，且兩者都連線到某台集線器，只需將監聽器連線到該集線器。所有其他連接埠會看到主機 A 和 B 之間的流量：

在交換器上，在得知主機 B 的 MAC 位址後，從 A 到 B 的單點傳播流量僅轉送到 B 連接埠。因此，監聽器看不到此流量：

在這樣的設定中，監聽器只能擷取湧向所有連接埠的流量，例如：

• 廣播流量

• 多點傳播流量（已停用 CGMP 或網際網路群組管理通訊協定 (IGMP) 窺探）

• 未知的單點傳播流量

當交換器的內容可定址記憶體 (CAM) 表中沒有目的地 MAC 時，會發生單點傳播氾濫。

交換器不知該將流量傳送到何處。交換器將封包湧向目的地 VLAN 中的所有連接埠。

有個額外功能是必要的，那就是以人工方式複製主機 A 傳送到監聽器連接埠的單點傳播封包：

在此圖中，監聽器連接到一個連接埠，該連接埠設定為接收主機 A 傳送的每個封包的副本。此連接埠稱為 SPAN 連接埠。

本文的其他各節說明如何精確調整此功能，使其功能不只是監控連接埠。

SPAN 術語

• 輸入流量 – 進入交換器的流量。

• 輸出流量 – 離開交換器的流量。

• 來源 (SPAN) 連接埠 – 使用 SPAN 功能進行監控的連接埠。

• 來源 (SPAN) VLAN – 使用 SPAN 功能監控其流量的 VLAN。

• 目的地 (SPAN) 連接埠 – 監控來源連接埠的連接埠，通常是網路分析器所連接的位置。

• 反射器連接埠 – 將封包複製到 RSPAN VLAN 的連接埠。

• 監控連接埠 – 監控連接埠也是 Catalyst 2900XL/3500XL/2950 術語中的目的地 SPAN 連接埠。

• 本地 SPAN – 當受監控的連接埠全都位於與目的地連接埠相同的交換器上時，SPAN 功能轉為本地。此功能與遠端 SPAN (RSPAN) 相反，本清單也會有所定義。

• 遠端 SPAN (RSPAN) – 某些來源連接埠並不與目的地連接埠位於同一交換器上。

RSPAN 是一項進階功能，需要特殊的 VLAN 來承載交換器之間受到 SPAN 監控的流量。

所有交換器都不支援 RSPAN。查看對應的版本說明或設定指南，瞭解是否可以在所部署的交換器上使用 RSPAN。

• 連接埠型 SPAN (PSPAN) – 使用者指定交換器上一個或多個來源連接埠和一個目的地連接埠。

• VLAN 型 SPAN (VSPAN) – 在特定交換器上，使用者可以在單一命令中選擇監控屬於特定 VLAN 的所有連接埠。

• ESPAN —代表SPAN增強版本。此術語已在SPAN的演化過程中多次使用，以便命名其他功能，因此，術語不太精確，本文檔會將其避免。

• 管理來源 – 已設定要受到監控的來源連接埠或 VLAN 的清單。

• 使用中來源 – 實際上受到監控的連接埠清單。這份連接埠清單可能與管理來源的連接埠清單不同。

例如，處於關閉模式的連接埠可能出現在管理來源中，但實際上不會受到監控。

來源連接埠的特性

來源連接埠（也稱為受監控連接埠）是您監控以用於網路流量分析的交換或路由連接埠。 在單一本地 SPAN 作業階段或 RSPAN 來源作業階段中，您可以監控來源連接埠流量，例如接收 (Rx)、傳輸 (Tx) 或雙向 (both)。 交換器支援任何數量的來源連接埠（最多為交換器上的可用連接埠數）和任何數量的來源 VLAN。

來源連接埠具有以下特性：

• 可以是任一連線埠型別，例如EtherChannel、快速乙太網路、Gigabit乙太網路等。

• 可在多個 SPAN 作業階段中受到監控。

• 不能作為目的地連接埠。

• 每個來源連接埠均可設定要監控的方向（輸入、輸出或雙向）。若是 EtherChannel 來源，受監控的方向適用於群組中的所有實體連接埠。

• 來源連接埠可以與 VLAN 的方向不同。

• 若是 VLAN SPAN 來源，來源 VLAN 中所有使用中的連接埠均作為來源連接埠包含在內。

VLAN 篩選

當您將主幹連接埠作為來源連接埠監控時，主幹上所有使用中的 VLAN 預設均會受到監控。您可以使用 VLAN 篩選功能，將對於主幹來源連接埠上的 SPAN 流量監控限制為特定 VLAN。

• VLAN 篩選功能僅適用於主幹連接埠或語音 VLAN 連接埠。

• VLAN 篩選功能僅適用於連接埠型作業階段，不能用於具有 VLAN 來源的作業階段。

• 若有指定 VLAN 篩選條件清單，在主幹連接埠或語音 VLAN 存取連接埠上，只有清單中的 VLAN 會受到監控。

• 來自其他連接埠類型的 SPAN 流量不受 VLAN 篩選的影響，這表示在其他連接埠上允許所有 VLAN。

• VLAN 篩選只影響轉送到目的地 SPAN 連接埠的流量，不會影響正常流量的交換。

• 不能在作業階段中混合來源 VLAN 和篩選 VLAN。可以有來源 VLAN 或篩選 VLAN，但不能同時使用兩者。

來源 VLAN 的特性

VSPAN 是來監控一個或多個 VLAN 中的網路流量。VSPAN 中的 SPAN 或 RSPAN 來源介面是 VLAN ID，且該 VLAN 的所有連接埠上的流量都會受到監控。

VSPAN 具有以下特性：

• 來源 VLAN 中的所有使用中連接埠均作為來源連接埠包括在內，可從任一方向或兩個方向進行監控。

• 在指定的連接埠上，只有受監控 VLAN 的流量會傳送到目的地連接埠。

• 如果目的地連接埠屬於來源 VLAN，則會將其從來源清單中排除，不會受到監控。

• 如果將連接埠加入來源 VLAN 或從其中移除，則這些連接埠接收的來源 VLAN 上的流量將加入受監控來源或從其中移除。

• 不能在具有 VLAN 來源的同一作業階段中使用篩選 VLAN。

• 您只能監控乙太網路 VLAN。

目的地連接埠的特性

每個本地 SPAN 作業階段或 RSPAN 目的地作業階段都必須具有從來源連接埠和 VLAN 接收流量副本的目的地連接埠（也稱為監控連接埠）。

目的地連接埠具有以下特性：

• 目的地連接埠必須與來源連接埠位於同一交換器上（若為本地 SPAN 作業階段）。

• 目的地連接埠可以是任何乙太網路實體連接埠。

• 目的地連接埠一次只能參與一個 SPAN 作業階段。一個 SPAN 作業階段中的目的地連接埠不能是第二個 SPAN 作業階段的目的地連接埠。

• 目的地連接埠不能是來源連接埠。

• 目的地連接埠不能是 EtherChannel 群組。

  注意：從Cisco IOS軟體版本12.2(33)SXH和更新版本開始，PortChannel介面可作為目的地連線埠。目的地EtherChannel不支援連線埠聚合控制通訊協定(PAgP)或連結聚合控制通訊協定(LACP) EtherChannel通訊協定；僅支援開啟模式，且停用所有EtherChannel通訊協定支援。

  注意：有關詳細資訊，請參閱本地SPAN、RSPAN和ERSPAN目標。

• 目的地連接埠可以是指派給 EtherChannel 群組的實體連接埠，即使 EtherChannel 群組已指定為 SPAN 來源。將連接埠設定為 SPAN 目的地連接埠時，會將其從群組移除。

• 除非啟用學習功能，否則除了 SPAN 作業階段所需的流量，連接埠不會傳輸任何流量。如果啟用學習功能，則連接埠也會傳輸導向已在目的地連接埠上得知的主機的流量。

  注意：有關詳細資訊，請參閱本地SPAN、RSPAN和ERSPAN目標。

• 目的地連接埠的狀態設計為開啟/關閉。介面顯示連接埠處於此狀態，以便明顯表示連接埠目前不可作為生產連接埠。

• 如果為網路安全裝置啟用輸入流量轉送，目的地連接埠會在第 2 層轉送流量。

• 當 SPAN 作業階段處於使用中狀態時，目的地連接埠不會參與跨距樹狀目錄。

• 當作目的地連接埠時，不會參與任何第 2 層通訊協定（STP、VTP、CDP、DTP、PagP）。

• 目的地連接埠若屬於任何 SPAN 作業階段的來源 VLAN，會排除在來源清單之外，不會受到監控。

• 目的地連接埠接收所有受監控來源連接埠的已傳送和已接收流量的副本。如果目的地連接埠為超額使用，則可能會擁塞。這種擁塞會影響一個或多個來源連接埠上的流量轉送。

反射器連接埠的特性

反射器連接埠是將封包複製到 RSPAN VLAN 的機制。反射器連接埠僅轉送其所隸屬的 RSPAN 來源作業階段的流量。 連接到連接埠集作為反射器連接埠的任何裝置都會失去連線，直到 RSPAN 來源作業階段停用。

反射器連接埠具有以下特性：

• 是設為回送的連接埠。

• 不能是 EtherChannel 群組，不會建立主幹連線，也不能篩選通訊協定。

• 可以是指派給 EtherChannel 群組的實體連接埠，即使 EtherChannel 群組已指定為 SPAN 來源。將連接埠設定為反射器連接埠時，會將其從群組移除。

• 作為反射器連接埠用途的連接埠不能是 SPAN 來源或目的地連接埠，一個連接埠一次也不能作為一或多個作業階段的反射器連接埠。

• 所有 VLAN 都看不到反射器連接埠。

• 反射器連接埠上回送流量的原生 VLAN 是 RSPAN VLAN。

• 反射器連接埠會將未標記的流量回送到交換器。流量接著會被置於 RSPAN VLAN 上，並湧向任何承載 RSPAN VLAN 的主幹連接埠。

• 反射器連接埠上會自動停用跨距數狀目錄。

• 反射器連接埠接收所有受監控來源連接埠的已傳送和已接收流量的副本。

Catalyst Express 500/520 上的 SPAN

Catalyst Express 500 或 Catalyst Express 520 僅支援 SPAN 功能。Catalyst Express 500/520 連接埠只能使用 Cisco Network Assistant (CNA) 設定為 SPAN 。完成以下步驟以設定 SPAN：

1. 下載 CNA 並安裝到 PC 上。

   您可以從 Download Software（僅限註冊客戶）頁面下載 CNA。

2. 完成Catalyst Express 500 交換器 12.2(25)FY 入門指南中提供的步驟，以為 Catalyst Express 500 自訂交換器設定。如需 Catalyst Express 520 的詳細資訊，請參閱Catalyst Express 520 交換器入門指南。
3. 使用 CNA 登入交換器，然後按一下「Smartport」。

   

4. 按一下您計畫連接 PC 的任何介面，以便擷取監聽器追蹤。
5. 按一下「Modify」。

   一個小型快顯視窗隨即顯示。

6. 為連接埠選擇「Diagnostics」角色。
7. 選擇來源連接埠並選取您計畫監控的 VLAN。

   如果沒有選取任何選項，則連接埠只會接收流量。輸入 VLAN 允許連接到診斷連接埠的 PC 將封包傳送到使用該 VLAN 的網路。

   

8. 按一下「OK」以關閉快顯視窗。
9. 按一下「OK」，然後「Apply 」設定。
10. 設定好診斷連接埠後，您可以使用任何監聽器軟體來追蹤流量。

Catalyst 2900XL/3500XL 交換器上的 SPAN

可用功能和限制

Catalyst 2900XL/3500XL 上的連接埠監控功能沒有那麼深入。因此，這個功能相對容易理解。

您可以根據需要建立多個本地 PSPAN 作業階段。例如，您可以在已選擇作為目的地 SPAN 連接埠的設定連接埠上建立 PSPAN 作業階段。在這種情況下， 發出 port monitor interface 命令以列出您要監控的來源連接埠。在 Catalyst 2900XL/3500XL 術語中，監控連接埠是的目的地 SPAN 連接埠。

• 主要限制是與特定作業階段（不論是來源或目的地）相關的所有連接埠都必須屬於同一個 VLAN。

• 如果使用 IP 位址設定 VLAN 介面，則 port monitor 命令只會監控目的地為該 IP 位址的流量。它也會監控 VLAN 介面接收的廣播流量。但是，它不會擷取在實際 VLAN 中流動的流量。如果沒有在 port monitor 命令中指定任何介面，則會監控與介面屬於同一 VLAN 的所有其他連接埠。

此清單提供一些限制。有關詳細資訊，請參閱命令參考指南(Catalyst 2900XL/3500XL)。

注意：ATM連線埠是唯一無法當作監控連線埠的連線埠。但是，您可以監控 ATM 連接埠。此清單中的限制適用於具有連接埠監控功能的連接埠。

• 監控連接埠不能位於快速 EtherChannel 或 Gigabit EtherChannel 連接埠群組中。

• 不能以連接埠安全原因啟用監控連接埠。

• 監控連接埠不能是多 VLAN 連接埠。

• 監控連接埠必須是與受監控連接埠相同的 VLAN 的成員。在監控連接埠和受監控連接埠上不允許 VLAN 成員身分變更。

• 監控連接埠不能是動態存取連接埠或主幹連接埠。但是，靜態存取連接埠可以監控主幹、多 VLAN 或動態存取連接埠上的 VLAN。受監控的 VLAN 是與靜態存取連接埠關聯的 VLAN。

• 如果監控連接埠和受監控連接埠都是受保護連接埠，則連接埠監控功能無法使用。

請注意，當連接埠仍屬於其所鏡像連接埠的 VLAN 時，處於監控狀態中的連接埠不執行跨距數狀目錄通訊協定 (STP)。連接埠監控器可以是迴圈的一部分，舉例來說，如果您將連接埠監控器連接到集線器或橋接器，並以迴圈連接到網路的另一部分。在這種情況下，最後結果可能是災難性的橋接迴圈情況，因為 STP 不再能保護您。請參閱本檔案的SPAN作業階段為什麼會建立橋接回圈，以取得如何會發生此情況的範例。

組態範例

此範例會同時建立兩個 SPAN 作業階段。

• 連接埠快速乙太網路 0/1 (Fa0/1) 會監控連接埠 Fa0/2 和 Fa0/5 傳送和接收的流量。連接埠 Fa0/1 也會監控進出管理介面 VLAN 1 的流量。

• 連接埠 Fa0/4 會監控連接埠 Fa0/3 和 Fa0/6。

連接埠 Fa0/3、Fa0/4 和 Fa0/6 均在 VLAN 2 中設定。其他連接埠和管理介面則在預設 VLAN 1 中設定。

網路圖表

Catalyst 2900XL/3500XL 上的範例組態

!--- Output suppressed.
!
interface FastEthernet0/1
port monitor FastEthernet0/2
 port monitor FastEthernet0/5
 port monitor VLAN1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
!
interface FastEthernet0/4
 port monitor FastEthernet0/3
 port monitor FastEthernet0/6
 switchport access vlan 2
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport access vlan 2
!
!--- Output suppressed.
!
interface VLAN1
 ip address 10.200.8.136 255.255.252.0
 no ip directed-broadcast
 no ip route-cache
!
!--- Output suppressed.

設定步驟說明

若要將連接埠 Fa0/1 設定為目的地連接埠，以及設定來源連接埠 Fa0/2 與 Fa0/5 和管理介面 (VLAN 1)，請在設定模式下選取介面 Fa0/1：

Switch(config)#interface fastethernet 0/1

輸入要監控的連接埠清單：

Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5

使用此命令，可以將這兩個連接埠接收或傳輸的每個封包都複製到連接埠 Fa0/1。發出 port monitor 命令的變化形式，以便設定管理介面的監控：

Switch(config-if)#port monitor vlan 1

注意：此命令不表示連線埠Fa0/1會監控整個VLAN 1。vlan 1 關鍵字僅僅指稱交換器的管理介面。

此範例命令說明監控不同 VLAN 中的連接埠並不可行：

Switch(config-if)#port monitor fastethernet 0/3
FastEthernet0/1 and FastEthernet0/3 are in different vlan

為了完成設定，請設定另一個作業階段。這一次，請使用 Fa0/4 作為目的地 SPAN 連接埠：

Switch(config-if)#interface fastethernet 0/4
Switch(config-if)#port monitor fastethernet 0/3
Switch(config-if)#port monitor fastethernet 0/6
Switch(config-if)#^Z

發出 show running 命令，或使用show port monitor 命令檢查設定：

Switch#show port monitor
 Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
FastEthernet0/4 FastEthernet0/3
FastEthernet0/4 FastEthernet0/6

注意：Catalyst 2900XL和3500XL不支援僅Rx方向上（Rx SPAN或輸入SPAN）或僅Tx方向上（Tx SPAN或輸出SPAN）的SPAN。所有 SPAN 連接埠的設計均會擷取 Rx 和 Tx 流量。

Catalyst 2948G-L3 和 4908G-L3 上的 SPAN

Catalyst 2948G-L3 和 Catalyst 4908G-l3-L3 是固定設定交換器路由器或第 3 層交換器。第 3 層交換器上的 SPAN 功能稱為連接埠窺探。

但是，這些交換器不支援連接埠窺探。 

Catalyst 8500 上的 SPAN

Catalyst 8540 提供一個非常基本的 SPAN 功能，稱為連接埠窺探。如需其他資訊，請參閱目前的 Catalyst 8540 文件。

透過連線埠窺探，可以透明地將來自一或多個來源連線埠的流量映象到目的地連線埠。

發出 snoop 命令，以設定連接埠型流量鏡像，或稱窺探。發出此命令的 no 形式，以停用窺探：

snoop interface source_port direction snoop_direction 

no snoop interface source_port

變數 source_port 是指受監控的連接埠。變數snoop_direction是來源連線埠或受監控連線埠上的流量方向：接收、傳輸或兩者。

8500CSR#configure terminal
8500CSR(config)#interface fastethernet 12/0/15
8500CSR(config-if)#shutdown
8500CSR(config-if)#snoop interface fastethernet 0/0/1 direction both
8500CSR(config-if)#no shutdown

此範例顯示 show snoop 命令的輸出：

8500CSR#show snoop
Snoop Test Port Name: FastEthernet1/0/4 (interface status=SNOOPING)
Snoop option:         (configured=enabled)(actual=enabled)
Snoop direction:      (configured=receive)(actual=receive)
Monitored Port Name:
(configured=FastEthernet1/0/3)(actual=FastEthernet1/0/3)

注意：如果執行的是多重服務ATM交換器路由器(MSR)映像（例如8540m-in-mz），則Catalyst 8540上的乙太網連線埠不支援此命令。反之，您必須使用園區交換器路由器 (CSR) 映像，例如 8540c-in-mz。

執行 CatOS 的 Catalyst 2900、4500/4000、5500/5000 和 6500/6000 系列交換器上的 SPAN

本節僅適用於 Cisco Catalyst 2900 系列交換器：

• Cisco Catalyst 2948G-L2 交換器

• Cisco Catalyst 2948G-GE-TX 交換器

• Cisco Catalyst 2980G-A 交換器

本節適用於 Cisco Catalyst 4000 系列交換器，包括：

• 模組化機箱交換器：

  • Cisco Catalyst 4003 交換器

  • Cisco Catalyst 4006 交換器

• 固定式機箱交換器：

  • Cisco Catalyst 4912G 交換器

本地 SPAN

SPAN 功能已逐一加入 CatOS 中，而 SPAN 設定包含單一的 set span 命令。現在，此命令可使用各種選項：

switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
       set span <src_mod/src_ports...|src_vlans...|sc0>
               <dest_mod/dest_port> [rx|tx|both]
               [inpkts <enable|disable>]
               [learning <enable|disable>]
               [multicast <enable|disable>]
               [filter <vlans...>]
               [create]

此網路圖表介紹使用各種變化形式帶來的不同 SPAN 可能性：

此圖表呈現位於 Catalyst 6500/6000 交換器插槽 6 中的單線卡的一部分。在此情況中：

• 連接埠 6/1 和 6/2 屬於 VLAN 1

• 連接埠 6/3 屬於 VLAN 2

• 連接埠 6/4 和 6/5 屬於 VLAN 3

將監聽器連接到連接埠 6/2，並在幾種不同的情況下將其作為監控連接埠使用。

PSPAN、VSPAN：監控部分連線埠或整個VLAN

發出 set span 命令的最簡單形式，以監控單一連接埠。語法是 set span source_port destination_port。

使用 SPAN 監控單一連接埠

switch (enable) set span 6/1 6/2

Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span 
session active for destination port 6/2

透過此設定，連接埠 6/1 接收或傳送的每個封包都會複製到連接埠 6/2 上。當您輸入設定時，會對此進行清楚的說明。發出 show span 命令，以接收目前 SPAN 設定的摘要：

switch (enable) show span 
Destination : Port 6/2 
Admin Source : Port 6/1 
Oper Source : Port 6/1 
Direction : transmit/receive 
Incoming Packets: disabled 
Learning : enabled 
Multicast : enabled 
Filter : - 
Status : active 

Total local span sessions: 1

使用 SPAN 監控多個連接埠

set span source_ports destination_port 命令允許使用者指定多個來源連接埠。只需列出要在其上實作 SPAN 的所有連接埠，並使用逗號分隔各連接埠。 透過命令列直譯器，也可以使用連字號來指定連接埠範圍。

此範例說明這種能夠指定多個連接埠的功能。此範例在連接埠 6/1 和包含三個連接埠（從 6/3 到 6/5）的範圍上使用 SPAN：

注意：只能有一個目的地連線埠。請一律在 SPAN 來源之後指定目的地連接埠。

switch (enable) set span 6/1,6/3-5 6/2 

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
       for destination port 6/2
       Destination : Port 6/2
       Admin Source : Port 6/1,6/3-5
       Oper Source : Port 6/1,6/3-5
       Direction : transmit/receive
       Incoming Packets: disabled
       Learning : enabled
       Multicast : enabled
       Filter : -
       Status : active
       switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
       session active for destination port 6/2

注意：與Catalyst 2900XL/3500XL交換器不同，Catalyst 4500/4000、5500/5000和6500/6000可以使用低於5.1的CatOS版本監控屬於多個不同VLAN的連線埠。這裡，鏡像連接埠指派給 VLAN 1、2 和 3。

使用 SPAN 監控 VLAN

最後， set span 命令可讓您設定連接埠來監控整個 VLAN 的本地流量。命令是 set span source_vlan(s) destination_port。

使用由一個或多個 VLAN 組成的清單作為來源，而不是連接埠的清單：

switch (enable) set span 2,3 6/2
           2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
           for destination port 6/2
           Destination : Port 6/2
           Admin Source : VLAN 2-3
           Oper Source : Port 6/3-5,15/1
           Direction : transmit/receive
           Incoming Packets: disabled
           Learning : enabled
           Multicast : enabled
           Filter : -
           Status : active
           switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
           session active for destination port 6/2

透過此設定，進入或離開 VLAN 2 或 3 的每個封包都將複製到連接埠 6/2。

注意：其結果與您在屬於命令所指定的VLAN的所有連線埠上個別實作SPAN的結果完全相同。比較 Oper Source 欄位和 Admin Source 欄位。Admin Source 欄位主要列出為 SPAN 作業階段設定的所有連接埠，而 Oper Source 欄位列出使用 SPAN 的連接埠。

輸入/輸出 SPAN

在使用 SPAN 監控 VLAN 一節的範例中，進入或離開指定連接埠的流量會受到監控。

Direction： transmit/receive 欄位會顯示此情況。Catalyst 4500/4000、5500/5000 和 6500/6000 系列交換器允許您僅收集特定連接埠上的輸出（傳出）流量或僅收集輸入（傳入）流量。

將 rx（接收）或 tx（傳輸）關鍵字加入命令結尾。預設值為 both（tx 和 rx）。

set span source_port destination_port [rx | tx | both]

在本例中，作業階段擷取 VLAN 1 和 3 的所有傳入流量，並將流量鏡像到連接埠 6/2：

switch (enable) set span 1,3 6/2 rx
          2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
          inactive for destination port 6/2
          Destination : Port 6/2
          Admin Source : VLAN 1,3
          Oper Source : Port 1/1,6/1,6/4-5,15/1
          Direction : receive
          Incoming Packets: disabled
          Learning : enabled
          Multicast : enabled
          Filter : -
          Status : active
          switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
          session active for destination port 6/2

在主幹上實作 SPAN

主幹是交換器中的一種特殊情況，因為它們是承載多個 VLAN 的連接埠。如果選擇主幹作為來源連接埠，則此主幹上的所有 VLAN 流量都會受到監控。

監控屬於主幹的 VLAN 子集

在此圖中，連接埠 6/5 現在是承載所有 VLAN 的主幹。假設您要對連接埠 6/4 和 6/5 的 VLAN 2 中的流量使用 SPAN 。只要發出以下命令：

switch (enable) set span 6/4-5 6/2

在這種情況下，SPAN 連接埠上接收的流量混合了您所需的流量和主幹 6/5 承載的所有 VLAN。

舉例來說，無法在目的地連接埠上區分封包是否來自 VLAN 2 中的連接埠 6/4 或 VLAN 1 中的連接埠 6/5。另一種可能性是在整個 VLAN 2 上使用 SPAN：

switch (enable) set span 2 6/2

透過此設定，至少只會監控主幹中屬於 VLAN 2 的流量。問題在於，現在您也會從連接埠 6/3 接收您不想要的流量。

CatOS 納入另一個關鍵字，允許您從主幹中選取要監控哪些 VLAN：

switch (enable) set span 6/4-5 6/2 filter 2
      2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
       for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : 2
      Status : active

此命令可達成目標，因為您在受監控的所有主幹上選擇 VLAN 2。您可以使用篩選選項指定多個 VLAN。

附註：只有Catalyst 4500/4000和Catalyst 6500/6000交換器支援此篩選選項。Catalyst 5500/5000 不支援 set span 命令提供的篩選選項。

目的地連接埠上的主幹連線

如果您有屬於多個不同VLAN的來源連線埠，或者如果對主干連線埠上的多個VLAN使用SPAN，則需確定您在目的地SPAN連線埠上接收的封包屬於哪個VLAN。 如果在為 SPAN 設定連接埠之前，在目的地連接埠上啟用建立主幹，則可能得以識別。透過這種方式，轉送到監聽器的所有封包也會使用各自的 VLAN ID 來標記。

注意：您的監聽器需要辨識對應的封裝。

switch (enable) set span disable 6/2
      This command can disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
      2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
      inactive for destination port 6/2
      switch (enable) set trunk 6/2 nonegotiate isl

      Port(s) 6/2 trunk mode set to nonegotiate.
      Port(s) 6/2 trunk type set to isl.
      switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become
        isl trunk
      switch (enable) set span 6/4-5 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
      destination port 6/2

建立多個同時作業階段

到目前為止，只建立了一個 SPAN 作業階段。每次發出新的 set span 命令時，都會使先前的設定失效。CatOS 現在能夠同時執行多個作業階段，因此同時可以有不同的目的地連接埠。發出 set span source destination create 命令以新增 SPAN 作業階段。在此作業階段中，連接埠 6/1 至 6/2 會受到監控，同時 VLAN 3 至連接埠 6/3 受到監控：

switch (enable) set span 6/1 6/2
      2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/2
      switch (enable) set span 3 6/3 create
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/3

現在，發出 show span 命令，以確定是否同時有兩個作業階段：

switch (enable) show span
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled 
      Multicast : enabled
      Filter : -
      Status : active
      ------------------------------------------------------------------------
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      Total local span sessions: 2

其他的作業階段已建立。您需要一種刪除部分作業階段的方法。命令如下：

set span disable {all | destination_port}

由於每個作業階段只能有一個目的地連接埠，因此目的地連接埠會識別作業階段。刪除建立的第一個作業階段，也就是使用連接埠 6/2 作為目的地的作業階段：

switch (enable) set span disable 6/2
      This command can disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
      2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2

現在，您可以檢查是否僅保留一個作業階段：

switch (enable) show span
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active

    Total local span sessions: 1

發出此命令，以單一步驟停用所有目前的作業階段：

switch (enable) set span disable all    
  This command can disable all span session(s).
      Do you want to continue (y/n) [n]?y
      Disabled all local span sessions
      2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive 
      for destination port 6/3

    switch (enable) show span
      No span session configured

其他 SPAN 選項

set span 命令的語法為：

switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
      set span <src_mod/src_ports...|src_vlans...|sc0>
               <dest_mod/dest_port> [rx|tx|both]
               [inpkts 
    
    
      ] 
     
 [learning 
     
       ] 
      
 [multicast 
      
        ] 
       
      
    
               [filter <vlans...>]
               [create]

本節簡短介紹本文討論的選項：

• sc0 – 當您需要監控前往管理介面 sc0 的流量時，可在 SPAN 設定中指定 sc0 關鍵字。Catalyst 5500/5000 和 6500/6000 交換器（代號版本 CatOS 5.1 或更高版本）提供此功能。

• inpkts enable/disable – 此選項非常重要。如本文所述，設定為 SPAN 目的地的連接埠仍屬於其原本的 VLAN。目的地連接埠上接收的封包接著會進入 VLAN，就像是這個連接埠是普通的存取連接埠一樣。這種行為可能是理想的。如果使用PC作為監聽器，您希望此PC完全連線到VLAN。但是，如果將目的地連接埠連接到會在網路中建立迴圈的其他網路裝置，則連接會很危險。目的地 SPAN 連接埠不會執行 STP，您可能會陷入危險的橋接迴圈情況中。請參閱本檔案的SPAN作業階段為什麼會建立橋接回圈一節，以瞭解這種情況是如何發生的。此選項的預設設定為停用，這表示目的地 SPAN 連接埠會捨棄連接埠接收的封包。捨棄後可保護連接埠免受橋接迴圈的影響。此選項出現在 CatOS 4.2 中。

• learning enable/disable – 此選項可讓您在目的地連接埠上停用學習。學習功能預設為啟用，目的地連接埠會從連接埠接收的傳入封包得知 MAC 位址。此功能出現在 CatOS 5.2 中（Catalyst 4500/4000 和 5500/5000）以及 CatOS 5.3 中（Catalyst 6500/6000）。

• multicast enable/disable – 顧名思義，此選項可讓您啟用或停用對多點傳播封包的監控。預設為啟用。Catalyst 5500/5000 和 6500/6000（CatOS 5.1 或更高版本）提供此功能。

• spanning port 15/1 – 在 Catalyst 6500/6000 上，您可以使用連接埠 15/1（或 16/1）作為 SPAN 來源。此連接埠可以監控轉送到多層次交換功能卡 (MSFC) 的流量。此連接埠會擷取軟體路由或導向到 MSFC 的流量。

遠端 SPAN

RSPAN 概觀

RSPAN 可讓您監控遍及交換網路的來源連接埠，而不僅是透過 SPAN 在交換器本地上監控。此功能出現在 CatOS 5.3 中（Catalyst 6500/6000 系列交換器），並新增到 CatOS 6.3 及更高版本中（Catalyst 4500/4000 系列交換器）。

此功能的作用與一般 SPAN 作業階段完全相同。SPAN 監控的流量不會直接複製到目的地連接埠，而是會湧向到特殊的 RSPAN VLAN 中。如此，目的地連接埠可以位於此 RSPAN VLAN 中的任何位置。甚至可以有多個目的地連接埠。

此圖說明 RSPAN 作業階段的架構：

在此範例中，您設定 RSPAN 以監控主機 A 傳送的流量。當 A 產生目的地為 B 的訊框時，此封包會被 Catalyst 6500/6000 原則功能卡 (PFC) 的特定應用積體電路 (ASIC) 複製到預先定義的 RSPAN VLAN 中。自此，封包湧向屬於 RSPAN VLAN 的所有其他連接埠。此處繪製的所有交換器間連結均為主幹，這是 RSPAN 的必要條件。唯一的存取連接埠是目的地連接埠，即監聽器連接的對象（在此處位於 S4 和 S5 上）。

以下是關於此設計的一些註解：

• S1 稱為來源交換器。封包只會進入設定為 RSPAN 來源的交換器中的 RSPAN VLAN。目前，一個交換器只能是一個 RSPAN 作業階段的來源，這表示一台來源交換器一次只能供給一個 RSPAN VLAN。

• S2 和 S3 是中繼交換器。它們不是 RSPAN 的來源，不會有目的地連接埠。交換器可以是任一數量的 RSPAN 作業階段的中繼。

• S4 和 S5 是目的地交換器。其中一些連接埠設定為 RSPAN 作業階段的目的地。目前，Catalyst 6500/6000 最多可以提供 24 個 RSPAN 目的地連接埠給一個或多個不同作業階段。您還可以注意到，S4 既是目的地也是中繼交換器。

• 您可以看到，RSPAN 封包湧向 RSPAN VLAN 中。即使交換器不在前往目的地連接埠（例如 S2）的路徑上，也會接收 RSPAN VLAN 的流量。您可以發現，在這類 S1-S2 連結上修整此 VLAN 很有用。

• 為了達成氾濫，RSPAN VLAN 上停用學習功能。

• 為了防止迴圈，已在 RSPAN VLAN 上保留 STP。因此，RSPAN 無法監控橋接通訊協定資料單元 (BPDU)。

RSPAN 設定範例

本節中的資訊說明了以非常簡單的 RSPAN 設計來設定這些不同的元素。S1 和 S2 是兩台 Catalyst 6500/6000 交換器。為了監控一些 S1 連接埠或 S2 的 VLAN，您必須設定專用的 RSPAN VLAN。其餘命令的語法與在一般 SPAN 作業階段中使用的語法相似。

兩台交換器 S1 和 S2 之間的 ISL 主幹設定

若要開始，請在每台交換器上放置相同的 VLAN 主幹通訊協定 (VTP) 網域，並將一側設定為主幹優先。VTP 交涉會執行其餘的工作。在 S1 上發出以下命令：

S1> (enable) set vtp domain cisco
      VTP domain cisco modified

在 S2 上發出以下命令：

S2> (enable) set vtp domain cisco
      VTP domain cisco modified
      S2> (enable) set trunk 5/1 desirable
      Port(s) 5/1 trunk mode set to desirable.
      S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left bridge
       port 5/1
      2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl trunk

建立 RSPAN VLAN

RSPAN 作業階段需要特定的 RSPAN VLAN。您必須建立此 VLAN。不能將現有 VLAN 轉換為 RSPAN VLAN。此範例使用 VLAN 100：

S2> (enable) set vlan 100 rspan
      Vlan 100 configuration successful

在設定為 VTP 伺服器的交換器上發出此命令。RSPAN VLAN 100 的消息會自動傳播到整個 VTP 網域中。

將 S2 的連接埠 5/2 設定為 RSPAN 目的地連接埠

S2> (enable) set rspan destination 5/2 100
      Rspan Type : Destination
      Destination : Port 5/2
      Rspan Vlan : 100
      Admin Source : -
      Oper Source : -
      Direction : -
      Incoming Packets: disabled
      Learning : enabled
      Multicast : -
      Filter : -
      Status : active
      2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session
      active for destination port 5/2

在 S1 上設定 RSPAN 來源連接埠

在本範例中，透過連接埠 6/2 進入 S1 的傳入流量會受到監控。發出以下命令：

S1> (enable) set rspan source 6/2 100 rx
      Rspan Type : Source
      Destination : -
      Rspan Vlan : 100
      Admin Source : Port 6/2
      Oper Source : Port 6/2
      Direction : receive
      Incoming Packets: -
      Learning : -
      Multicast : enabled
      Filter : -
      Status : active
      S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span
       source session active for remote span vlan 100

現在，連接埠 6/2 上的所有傳入封包都湧向 RSPAN VLAN 100，並到達在 S1 上透過主幹設定的目的地連接埠。

驗證設定

show rspan 命令會提供交換器上目前 RSPAN 設定的摘要。同樣地，一次只能有一個來源 RSPAN 作業階段。

S1> (enable) show rspan
    Rspan Type : Source
    Destination : -
    Rspan Vlan : 100
    Admin Source : Port 6/2
    Oper Source : Port 6/2
    Direction : receive
    Incoming Packets: -
    Learning : -
    Multicast : enabled
    Filter : -
    Status : active
    Total remote span sessions: 1

可以使用 set rspan 命令設定的其他設定

使用多個命令列，以使用 RSPAN 設定來源和目的地。除此差異外，SPAN 和 RSPAN 實際上以相同的方式執行。如果希望有多個目的地 SPAN 連接埠，甚至可以本地方式在一台交換器上使用 RSPAN。

功能摘要和限制

下表總結了已導入的不同功能，並提供了在指定平台上執行該功能所需的最低 CatOS 版本：

下表簡短總結了目前對於允許的 SPAN 作業階段數量的限制：

如需其他限制和設定準則，請參閱以下文件：

• 設定 SPAN 與 RSPAN (Catalyst 4500/4000)

• 設定 SPAN 與 RSPAN(Catalyst 6500/6000)

Catalyst 2940、2950、2955、2960、2970、3550、3560、3560-E、3750 和 3750-E 系列交換器上的 SPAN

以下是在 Catalyst 2940、2950、2955、2960、2970、3550、3560、3560-E、3750 和 3750-E 系列交換器上設定 SPAN 功能的準則：

• Catalyst 2950 交換器一次只能有一個 SPAN 作業階段處於使用中狀態，且只能監控來源連接埠。這些交換器無法監控 VLAN。

• Catalyst 2950 和 3550交換器可以在 Cisco IOS 軟體版本 12.1(13)EA1 和更新版本中的目的地 SPAN 連接埠上轉送流量。

• Catalyst 3550、3560 和 3750 交換器一次最多支援兩個 SPAN 作業階段，且可以監控來源連接埠以及 VLAN。

• 在設定 RSPAN 作業階段時，Catalyst 2970、3560 和 3750 交換器不需要設定反射器連接埠。

• Catalyst 3750 交換器支援使用駐留在任一交換器堆疊成員上的來源和目的地連接埠來設定作業階段。

• 每個 SPAN 作業階段僅允許一個目的地連接埠，且同一個連接埠不能是多個 SPAN 作業階段的目的地連接埠。因此，不能有兩個使用相同目的地連接埠的 SPAN 作業階段。

Catalyst 2950 和 Catalyst 3550SPAN 上的功能設定命令類似。但是，Catalyst 2950 無法監控 VLAN。您可以設定 SPAN，如本例所示：

C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastethernet 0/2

!--- This configures interface Fast Ethernet 0/2 as source port.

C2950(config)#monitor session 1 destination interface fastethernet 0/3

!--- This configures interface Fast Ethernet 0/3 as destination port.

C2950(config)# 

C2950#show monitor session 1
Session 1---------
Source Ports:
    RX Only:       None
        TX Only:       None
        Both:          Fa0/2
Destination Ports: Fa0/3
C2950#

您還可以針對同一 VLAN 流量的本地 SPAN 和 RSPAN，將連接埠設定為目的地。為了監控直接連接的兩台交換器中的特定 VLAN 流量，請在具有目的地連接埠的交換器上設定這些命令。在本例中，我們監控來自 VLAN 5 的流量，此流量分佈在兩台交換器上：

c3750(config)#monitor session 1 source vlan < Remote RSPAN VLAN ID >
c3750(config)#monitor session 1 source vlan 5
c3750(config)#monitor session 1 destination interface fastethernet 0/3

!--- This configures interface FastEthernet 0/3 as a destination port.

在遠端交換器上，使用以下設定：

c3750_remote(config)#monitor session 1 source vlan 5

!--- Specifies VLAN 5 as the VLAN to be monitored.

c3750_remote(config)#monitor session 1 destination remote vlan  
    
    

在上一個範例中，連接埠被設定為本地 SPAN 和 RSPAN 的目的地連接埠，以監控位於兩台交換器中的同一 VLAN 流量。

注意：與2900XL和3500XL系列交換器不同，Catalyst 2940、2950、2955、2960、2970、3550、35 60、3560-E、3750和3750-E系列交換器僅支援在Rx方向（Rx SPAN或輸入SPAN）、在Tx方向（Tx SPAN或輸出SPAN）或兩者的來源連線埠流量上的SPAN。

注意：Catalyst 2950若搭載Cisco IOS軟體版本12.0(5.2)WC(1)或低於Cisco IOS軟體版本12.1(6)EA2的任何軟體，不支援設定中的命令。 

注意：Catalyst 2950交換器使用Cisco IOS軟體版本12.1(9)EA1d和Cisco IOS軟體版本12.1系列中的較低版本，支援SPAN。但是，即使SPAN來源連線埠（受監控連線埠）不能是802.1Q主干連線埠，在SPAN目的地連線埠（連線到監聽裝置或PC）上可見的所有封包都具有IEEE 802.1Q標籤。如果監聽裝置或 PC 網路介面卡 (NIC) 不能識別 802.1Q 標記的封包，則裝置可以捨棄封包，否則會在嘗試解碼封包時遇到困難。僅當 SPAN 來源連接埠為主幹連接埠時才能看到 802.1Q 標記的訊框是非常重要的。透過 Cisco IOS 軟體版本 12.1(11)EA1 和更新版本，您可以在 SPAN 目的地連接埠上啟用和停用封包標記。發出 monitor session session_number destination interface interface_id encapsulation dot1q 命令，以在目的地連接埠上啟用封包封裝。如果不指定 encapsulation 關鍵字，則封包會以未標記的方式傳送，這是 Cisco IOS 軟體版本 12.1(11)EA1 和更新版本的預設值。

^{1 Catalyst 2940 交換器僅支援本地 SPAN。}此平台不支援 RSPAN。

執行 Cisco IOS 系統軟體的 Catalyst 4500/4000 和 Catalyst 6500/6000 系列交換器上的 SPAN

執行 Cisco IOS 系統軟體的 Catalyst 4500/4000 和 Catalyst 6500/6000 系列交換器支援 SPAN 功能。這兩個交換器平台使用本節所述的相同命令列介面(CLI)和類似的設定。請參閱這些文件瞭解相關設定：

• 設定 SPAN 與 RSPAN(Catalyst 6500/6000)

• 設定 SPAN 與 RSPAN (Catalyst 4500/4000)

組態範例

您可以設定 SPAN，如本例所示：

4507R#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

4507R(config)#monitor session 1 source interface fastethernet 4/2

!--- This configures interface Fast Ethernet 4/2 as source port.

4507R(config)#monitor session 1 destination interface fastethernet 4/3

!--- The configures interface Fast Ethernet 0/3 as destination port.

4507R#show monitor session 1

Session 1---------
Type : Local Session
Source Ports :
Both : Fa4/2
Destination Ports : Fa4/3

4507R#

功能摘要和限制

下表總結了已導入的不同功能，並提供了在指定平台上執行該功能所需的最低 Cisco IOS 軟體版本：

^{1 此功能目前尚未提供，在發行之前，通常不會發佈這些功能的可用情形。}

注意：Cisco Catalyst 6500/6000系列交換器的SPAN功能在PIM通訊協定方面有一定的限制。當交換器設定為 PIM 和 SPAN 時，連接到 SPAN 目的地連接埠的網路分析器/監聽器可以看到不屬於 SPAN 來源連接埠/VLAN 流量的 PIM 封包。之所以會出現此問題，是因為交換器的封包轉送架構存在限制。SPAN 目的地連接埠不會執行任何檢查來驗證封包的來源。此問題也記錄在 Cisco 錯誤 ID CSCdy57506中（僅限註冊客戶）。

下表簡短總結了目前對於允許的 SPAN 和 RSPAN 作業階段數量的限制：

請參閱執行 Cisco IOS 軟體的 Catalyst 6500/6000 交換器的本地 SPAN、RSPAN 和 ERSPAN 作業階段上限。

在 Catalyst 6500 系列中，務必注意，輸出 SPAN 是在 Supervisor 上完成的。這允許將輸出 SPAN 之下的所有流量透過網狀架構傳送到 Supervisor，然後傳送到 SPAN 目的地連接埠，這可能會佔用大量的系統資源並影響使用者流量。輸入SPAN可在輸入模組上完成，因此，SPAN效能會是所有參與的復寫引擎的總和。SPAN 功能的效能取決於複寫引擎中的封包大小和可用的 ASIC 類型。

使用低於 Cisco IOS 軟體版本 12.2(33)SXH 的版本時，連接埠通道介面（即 EtherChannel）不能作為 SPAN 目的地。使用 Cisco IOS 軟體版本 12.2(33)SXH 和更新版本時，EtherChannel 可以作為 SPAN 目的地。目的地EtherChannel不支援連線埠聚合控制通訊協定(PAgP)或連結聚合控制通訊協定(LACP) EtherChannel通訊協定；僅支援開啟模式，且停用所有EtherChannel通訊協定支援。

如需其他限制和設定準則，請參閱以下文件：

• 設定 SPAN 與 RSPAN (Catalyst 4500/4000)

• 設定本地 SPAN、遠端 SPAN (RSPAN) 和封裝的 RSPAN (Catalyst 6500/6000)

SPAN 對不同 Catalyst 平台的效能影響

Catalyst 2900XL/3500XL 系列

架構概觀

這是簡化許多的 2900XL/3500XL 交換器內部架構圖示：

交換器的連接埠連接到透過放射狀通道與交換網狀架構通訊的衛星。在頂端，所有衛星都透過一個專用於傳輸流量的高速通知環相互連接。

當衛星接收到來自某個連接埠的封包時，該封包會被拆分為多個單元，並透過一個或多個通道傳送到交換網狀架構。然後，封包會儲存在共用記憶體中。每個衛星都知道目的地連接埠。在本節的圖表中，衛星1知道封包X將由衛星3和4接收。衛星1透過通知環向其他衛星傳送訊息。接著，衛星 3 和 4 可以透過輻射狀通道開始從共用記憶體中擷取單元，最終可以轉送封包。由於來源衛星知道目的地，因此衛星還會傳輸指定其他衛星對此封包下載次數的索引。每次衛星從共用記憶體中擷取封包時，索引都會減少一次。當索引達到 0 時，共用記憶體即可釋放。

效能影響

若要使用 SPAN 監控某些連接埠，必須多花一點時間，從資料緩衝區將封包複製到衛星。對高速交換網狀架構的影響可忽略不計。

監控連接埠接收所有受監控連接埠的已傳輸和已接收流量的副本。在此架構中，傳送到多個目的地的封包會儲存在記憶體中，直到所有副本都已轉送。如果監控連接埠在一段持續時間內超額使用 50%，則連接埠可能會變得擁塞並佔用一部分的共用記憶體。一或多個受監控的連接埠也有可能遇到減速的情況。

Catalyst 4500/4000 系列

架構概觀

Catalyst 4500/4000 以共用記憶體交換網狀架構為基礎。此圖是封包經過交換器的路徑的簡要概觀。真正的實作實際上是更加複雜的：

在 Catalyst 4500/4000 上，您可以區分資料路徑。資料路徑對應到資料在交換器（所有決策進行的地方）中從控制路徑開始的實際傳輸。

當封包進入交換器時，會在封包緩衝區記憶體（共用記憶體）中指派一個緩衝區。

指向此緩衝區的封包結構會在封包描述元表 (PDT) 中初始化。

當資料複製到共用記憶體中時，控制路徑會判斷封包要交換的位置。為了做出判斷，將根據以下資訊計算雜湊值：

• 封包來源位址

• 目的地位址

• VLAN

• 通訊協定類型

• 輸入連接埠

• 服務等級 (CoS)（IEEE 802.1p 標籤或連接埠預設值）

這個值是用來在虛擬路徑表 (VPT) 中尋找路徑結構的虛擬路徑索引 (VPI)。VPT 中的虛擬路徑項目保留多個與此特定流量相關的欄位。 欄位包括目的地連接埠。現在，PDT 中的封包結構已透過參考虛擬路徑和計數器而更新。

在本節的範例中，封包將傳輸到兩個不同的連接埠，因此計數器會初始化為 2。最後，封包結構新增到兩個目的地連接埠的輸出佇列中。 從這裡開始，資料從共用記憶體複製到連接埠的輸出緩衝區中，封包結構計數器減少一次。當達到 0 時，共用記憶體緩衝區會釋放。

效能影響

使用 SPAN 功能時，必須將封包傳送到兩個不同的連接埠，如架構概觀一節中的範例所示。 由於交換網狀架構為非封鎖模式，因此將封包傳送到兩個連接埠並不是問題。

如果目的地 SPAN 連接埠擁塞，則輸出佇列中的封包會被捨棄，並從共用記憶體中正確釋放。因此，對交換器操作沒有影響。

Catalyst 5500/5000 和 6500/6000 系列

架構概觀

在 Catalyst 5500/5000 和 6500/6000 系列交換器上，連接埠上接收的封包會在內部交換匯流排上傳輸。交換器中的每個線卡都開始將此封包儲存在內部緩衝區中。 

同時，編碼位址識別邏輯 (EARL) 接收封包的標題並計算結果索引。EARL 會透過結果匯流排將結果索引傳送到所有線卡。 知道此索引可讓線卡單獨決定是否可於線卡在其緩衝區接收封包時將封包排清或傳輸。

效能影響

不論最後是一或多個連接埠將封包傳輸出去，完全對交換器操作沒有影響。因此，當您考慮此架構時，SPAN 功能對效能沒有影響。

常見問題和共同問題

由於 SPAN 設定錯誤而出現的連線問題

由於 SPAN 設定錯誤導致的連接問題在低於 5.1 的 CatOS 版本上經常發生。在這些版本中，只能有一個 SPAN 作業階段。

即使停用 SPAN，作業階段仍保留在設定中。由於 set span enable 命令有問題，使用者重新啟動儲存的 SPAN 作業階段。 這個動作通常會因為拼字錯誤而產生，例如使用者想要啟用 STP。如果目的地連接埠用來轉送使用者流量，可能會導致嚴重的連線問題。

注意：此問題仍存在於當前的CatOS實現中。請務必小心選擇作為 SPAN 目的地的連接埠。

SPAN 目的地連接埠開啟/關閉

當連接埠經 SPAN 功能監控時，連接埠狀態顯示為「UP/DOWN」。 設定 SPAN 作業階段以監控連接埠時，目的地介面應該會顯示關閉狀態（監控）。 介面顯示連接埠處於此狀態，以便明顯表示連接埠目前不可作為生產連接埠。連接埠狀態為開啟/關閉監控為正常現象。

SPAN作業階段為什麼會建立橋接回圈

當管理員嘗試假冒 RSPAN 功能時，通常會建立橋接迴圈。此外，設定錯誤也可能造成問題。

以下是一個情境範例：

有兩台經由主幹連結的核心交換器。在這種情況下，每台交換器有多台伺服器、用戶端或連接到它的其他橋接器。 管理員想要監控 VLAN 1（出現在具有 SPAN 的多個橋接器上）。

管理員建立一個 SPAN 作業階段，監控每台核心交換器上的整個 VLAN 1，且為了合併這兩個作業階段，將目的地連接埠連接到同一個集線器上（或使用另一個 SPAN 作業階段連接到同一台交換器）。

管理員達成目的。核心交換器在 VLAN 1 上接收的每個封包會在 SPAN 連接埠上複製，並向上轉送到集線器。監聽器最終會擷取流量。

唯一的問題是流量也透過目的地 SPAN 連接埠重新注入核心 2。 將流量重新注入核心2會在VLAN 1中建立橋接回圈。請記住，目的地SPAN連線埠不執行STP，因此無法防止此類回圈。

注意：由於在CatOS推出了inpkts（輸入封包）選項，因此SPAN目的地連線埠預設會捨棄任何傳入封包，防止出現此失效情況。但是，在 Catalyst 2900XL/3500XL 系列交換器上仍然存在潛在問題。

注意：即使inpkts選項防止回圈，本節示範的設定也會導致網路出現一些問題。由於 MAC 位址學習問題與在目的地連接埠上啟用的學習功能相關聯，因此可能會出現網路問題。

SPAN 是否會影響效能？

如需有關對指定 Catalyst 平台的效能影響的資訊，請參閱本文件的以下各節：

• Catalyst 2900XL/3500XL 系列 

• Catalyst 4500/4000 系列 

• Catalyst 5500/5000 和 6500/6000 系列 

是否可在 EtherChannel 連接埠上設定 SPAN？

如果組合中的其中一個連接埠是 SPAN 目的地連接埠，則不會形成 EtherChannel。如果在這種情況下嘗試設定 SPAN，交換器會顯示：

Channel port cannot be a Monitor Destination Port 
Failed to configure span feature 

您可以將 EtherChannel 組合中的連接埠作為 SPAN 來源連接埠使用。

是否可同時執行多個 SPAN 作業階段？

在 Catalyst 2900XL/3500XL 系列交換器上，交換器上可用的目的地連接埠數量是對 SPAN 作業階段數量的唯一限制。

在 Catalyst 2950 系列交換器上，您每次只能有一個指派的監控連接埠。 如果選取另一個連接埠作為監控連接埠，則會停用之前的監控連接埠，新選取的連接埠會成為監控連接埠。

在搭載 CatOS 5.1 及更高版本的 Catalyst 4500/4000、5500/5000 和 6500/6000 交換器上，您可以有多個同時的 SPAN 作業階段。

請參閱本文件的建立多個同時作業階段和功能摘要和限制一節。

錯誤「% Local Session Limit Has Been Exceeded」

當允許的 SPAN 作業階段超過 Supervisor Engine 的限制時，系統會顯示此訊息：

% Local Session limit has been exceeded

Supervisor Engine 具有 SPAN 作業階段上限。如需詳細資訊，請參閱設定本地 SPAN、RSPAN 和 ERSPAN 作業階段的本地 SPAN、RSPAN 和 ERSPAN 作業階段上限一節。

無法刪除 VPN 服務模組上的 SPAN 作業階段，並出現錯誤「% Session [Session No:] Used by Service Module」

在此問題中，虛擬私有網路 (VPN) 模組插入機箱中，其中已插入交換器網狀架構。

Cisco IOS 軟體自動為 VPN 服務模組建立 SPAN 作業階段，以便處理多點傳播流量。

發出此命令，以刪除軟體為 VPN 服務模組建立的 SPAN 作業階段：

Switch(config)#no monitor session session_number service-module

注意：如果刪除會話，VPN服務模組將丟棄組播流量。

為什麼無法使用SPAN擷取損毀的封包

由於交換器一般的執行方式，您無法使用 SPAN 擷取損毀的封包。當封包經過交換器時，會發生以下事件：

1. 封包抵達輸入連接埠。

2. 封包至少儲存在一個緩衝區中。

3. 最終，封包會在輸出連接埠上重新傳輸。

如果交換器收到損毀的封包，輸入連接埠通常會捨棄封包。因此，您在輸出連接埠上看不到封包。

交換器在擷取流量方面並非完全透明。 同樣，在本節的情況中，當您在監聽器上看到損毀的封包時，您知道這些錯誤是在步驟 3 輸出區段時產生的。

如果您認為裝置傳送損毀的封包，可以選擇將傳送主機和監聽器裝置放在集線器上。集線器不會執行任何錯誤檢查。

因此，與交換器不同，集線器不會捨棄封包。透過這種方式，您可以查看封包。

錯誤： % Session 2 used by service module

例如，如果在 CAT6500 中安裝了防火牆服務模組 (FWSM)，稍後移除，則會自動啟用 SPAN 反射器功能。 在交換器中，SPAN 反射器功能使用一個 SPAN 作業階段。

如果不再需要此功能，您可以從CAT6500的設定模式下輸入 no monitor session service module命令，然後立即輸入所需的新SPAN設定。

反射器連接埠捨棄封包

反射器連接埠接收所有受監控來源連接埠的已傳送和已接收流量的副本。如果反射器連接埠為超額使用，則可能會擁塞。 這可能會影響一或多個來源連接埠上的流量轉送。

如果反射器連接埠的頻寬對於來自對應來源連接埠的流量而言不夠，則會捨棄多餘的封包。

10/100 連接埠以 100 Mbps 的速度反射。Gigabit 連接埠以 1 Gbps 的速度反射。

搭載 FWSM 的 Catalyst 6500 機箱一律使用 SPAN 作業階段

當您在執行 Cisco Native IOS 的機箱搭載 FWSM 的情況下使用 Supervisor Engine 720 時，預設情況下會使用 SPAN 作業階段。如果使用 show monitor 命令檢查是否有未使用的作業階段， 則會使用 session 1：

Cat6K#show monitor
Session 1
---------
Type : Service Module Session

當 Catalyst 6500 機箱中有防火牆刀鋒時，此作業階段會自動安裝以支援硬體多點傳播複製，因為 FWSM 無法複製多點傳播流。

如果 FWSM 背後的多點傳播流必須在第 3 層複製到多個線卡，則自動作業階段會透過網狀架構通道將流量複製到 Supervisor。

如果您有一個從 FWSM 背後產生多點傳播流的多點傳播來源，則需要 SPAN 反射器。 如果將多點傳播來源放在外部 VLAN 上，則無需使用 SPAN 反射器。SPAN 反射器與透過 FWSM 橋接 BPDU 不相容。

您可以使用 no monitor session service module 命令停用 SPAN 反射器。

在同一交換器中，SPAN 和 RSPAN 作業階段是否可以具有相同 ID？

不能，一般 SPAN 作業階段和 RSPAN 目的地作業階段不能使用相同的作業階段 ID。每個SPAN和RSPAN作業階段必須具有不同的作業階段ID。

RSPAN 作業階段是否可在不同的 VTP 網域間使用？

會。RSPAN 作業階段可以在不同的 VTP 網域間執行。但是，請確保 RSPAN VLAN 存在於這些 VTP 網域的資料庫中。 此外，請確保作業階段來源到作業階段目的地之間的路徑中不存在第 3 層裝置。

RSPAN 作業階段是否可在 WAN 或不同的網路間使用？

不能。RSPAN 作業階段無法跨越任何第 3 層裝置，因為 RSPAN 是 LAN （第 2 層）功能。 為了監控 WAN 或不同網路間的流量，請使用封裝遠端交換器連接埠分析器 (ERSPAN)。 ERSPAN 功能支援不同交換器上的來源連接埠、來源 VLAN 和目的地連接埠，從而提供對於整個網路中多台交換器的遠端監控。

ERSPAN 由 ERSPAN 來源作業階段、可路由 ERSPAN GRE 封裝流量和 ERSPAN 目的地作業階段組成。

您可以在不同的交換器上單獨設定 ERSPAN 來源作業階段和目的地作業階段。

目前，以下裝置支援 ERSPAN 功能：

• 搭載 PFC3B 或 PFC3BXL 的 Supervisor 720（執行 Cisco IOS 軟體版本 12.2(18)SXE 或更新版本）

• 搭載 PFC3A 的 Supervisor 720（硬體版本 3.2 或更新版本，且執行 Cisco IOS 軟體版本 12.2(18)SXE 或更新版本）

如需 ERSPAN 的詳細資訊，請參閱設定本地 SPAN、遠端 SPAN (RSPAN) 和封裝的 RSPAN – Catalyst 6500 系列 Cisco IOS 軟體設定指南 (12.2SX)。

RSPAN 來源作業階段和目的地作業階段是否可存在同一 Catalyst 交換器上？

不能。當 RSPAN 來源作業階段和 RSPAN 目的地作業階段位於同一交換器上時，RSPAN 無法使用。

如果使用特定的RSPAN VLAN設定了RSPAN來源作業階段，且在同一交換器上設定了該RSPAN VLAN的RSPAN目的地作業階段，則由於硬體限制，RSPAN目的地作業階段的目的地連線埠無法從RSPAN來源作業階段傳輸擷取的封包。4500 系列和 3750 系列交換器不支援這種設定。

此問題已記錄在 Cisco 錯誤 ID CSCeg08870（僅限註冊客戶）。

範例如下：

monitor session 1 source interface Gi6/44
monitor session 1 destination remote vlan 666
monitor session 2 destination interface Gi6/2
monitor session 2 source remote vlan 666

此問題的解決方法是使用常規 SPAN。

無法存取連接到 SPAN 目的地連接埠的網路分析器/安全裝置

SPAN 目的地連接埠的基本特性是，它不會傳輸除 SPAN 作業階段所需流量以外的任何流量。 如果需要透過 SPAN 目的地連接埠到達（IP 連線能力）網路分析器/安全裝置，則需要啟用輸入流量轉送。

當啟用輸入時，SPAN 目的地連接埠接受傳入的封包，這些封包可能會根據指定的封裝模式受到標記，並正常切換它們。 設定 SPAN 目的地連接埠時，可以指定是否啟用輸入功能，以及使用哪個 VLAN 來切換未標記的輸入封包。

當設定了 ISL 封裝時，不需要指定輸入 VLAN，如同所有具有 VLAN 標記的 ISL 封裝封包。 雖然連接埠是 STP 轉送，但它不參與 STP，因此設定此功能時請謹慎小心，以免在網路中導入了跨距數狀目錄迴圈。 當在 SPAN 目的地連接埠上同時指定輸入和主幹封裝時，則在所有使用中的 VLAN 中，連接埠會執行轉送。 不允許將不存在的 VLAN 設定為輸入 VLAN。

monitor session session_number destination interface interface [encapsulation {isl | dot1q}] ingress [vlan vlan_IDs]

此範例示範如何使用 802.1q 封裝設定目的地連接埠，和使用原生 VLAN 7 設定輸入封包。

Switch(config)#monitor session 1 destination interface fastethernet 5/48
 encapsulation dot1q ingress vlan 7

透過此設定，來自與作業階段 1 關聯的 SPAN 來源的流量會以 802.1q 封裝從介面快速乙太網路 5/48 複製出去。

傳入流量被接受並交換，並將未標記的封包分類到 VLAN 7 中。

相關資訊

• 如何在執行 Cisco IOS 軟體的 Cisco Catalyst 4500 交換器上設定 SPAN 和 RSPAN
• SPAN 目的地連接埠顯示為「not connected」，且不與網路的其餘部分通訊
• 交換器產品支援
• LAN 交換技術支援
• 技術支援與文件 - Cisco Systems