5. 配置 RSPAN
RSPAN 的配置策略
下面是配置 RSPAN 的配置策略。
由于 RSPAN 必须借助 RSPAN VLAN 才能实现,因此应该在网络中为 RSPAN VLAN
预留少量 VLAN,并且不要将端口指定至这些 VLAN。
可以将一个输出 ACL 应用到 SRPAN 通信,从而选择性地过滤或监控指定的数据包。
在 RSPAN 源交换机上的 RSPAN VLAN 中应用这些 ACL。
对 RSPAN 配置而言,源端口和目的端口可以跨越网络中的多个交换机。
RSPAN 不支持 BPDU 包监控或其他二层交换机协议。
RSPAN VLAN 只能在中继端口而不是访问端口配置。避免 RSPAN VLAN 中不必要
的通信,确保所有涉及到的交换机都能支持 VLAN 远程 SPAN 功能。
RSPAN VLAN 上的所有访问端口(包括语音 VLAN 端口)都被设置为非活动状态。
当源中继端口有激活的 RSPAN VLAN 时, RSPAN VLAN 被包含作为源的基于端口
的 RSPAN 会话中。 RSPAN VLAN 也可以成为在 SPAN 会话中的源。
所有交换机中同一 RSPAN VLAN 应用于一个 RSPAN 会话,就可以将 VLAN 配置为
RSPAN VLAN:。所有参与的交换机都支持 RSPAN。
配置 RSPAN 源或目的会话之前,先配置一个 RSPAN VLAN。
如果启用 VTP 和 VTP 修剪, SRPAN 通信就会在汇聚端口被剪除。
配置一个 VLAN 作为 RSPAN VLAN
在配置 RSPAN 之前,应当先创建一个新的 VLAN 作为 RSPAN VLAN,并且必须在所有参
与到 RSPAN 的交换机上创建 RSPAN VLAN。 如果 RSPAN VLAN-ID 在正常范围内(低于 1005)
并且 VTP( VLAN Trunk Protocol, VLAN 中继协议)在网络中是启用状态,就可以在一个交换
机上创建 RSPAN VLAN,这样在 VTP 域中,就可以创建多个 RSPAN VLAN 到其他交换机。
① 进入全局配置模式。
Switch # configure terminal
② 键入一个 VLAN 号创建一个 VLAN,或者键入一个已存在的 VLAN 号,并且进入 VLAN
配置模式。
Switch (config) # vlan vlan-id
③ 配置 VLAN 作为 RSPAN VLAN。
Switch (config) # remote-span
④ 返回特权 Exec 模式。
Switch (config) # end
⑤ 保存配置。
Switch# copy running-config startup-config
从一个 VLAN 中移除 RSPAN 特性,并且将其转为标准 VLAN,使用“ no remote-span”
VLAN 配置指令。
创建 RSPAN 源会话
借助以下操作,可以创建一个 RSPAN 源会话。
① 进入全局配置模式。
Switch# configure terminal
② 为会话移除所有存在的 RSPAN 配置。
Switch (config) # no monitor session {session_number |all |local | remote}
③ 指定 RSPAN 会话和源端口(被监视端口)。
Switch (config) # monitor session session_number source {interface interface-id
| vlan vlan-id} [,|-] [both |rx |tx]
④ 指定 RSPAN 会话和目的 RSPAN VLAN。
Switch (config) # monitor session session_number destination remote vlan vlan-id
⑤ 返回特权 Exec 模式。
Switch (config) # end
⑥ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑦ 保存配置。
Switch # copy running-config startup-config
删除一个 SPAN 会话,使用“ no monitor session session_number”全局配置命令。移除一
个源端口或者来自 SPAN 会话的 VLAN,使用“ no monitor session session_number source
{interface interface-id |vlan vlan-id}”全局配置命令。从会话中移除 RSPAN VLAN,使用“ no
monitor session session_number destination remote vlan vlan-id”。
删除一个 SPAN 会话,使用“ no monitor session session_number”全局配置指令。移除一
个源端口或者来自 SPAN 会话的 VLAN,使用“ no monitor session session_number source
{interface interface-id |vlan vlan-id}”全局配置指令。要从一个会话移除 RSPAN VLAN,使用
“ no monitor session session_number destination remote vlan vlan-id”。
创建 RSPAN 目的会话
在其他交换机或交换机堆栈上配置 RSPAN 目的会话,也就是说,不能在源对话交换机或
交换机堆栈上配置目的会话。在特权 Exec 模式下开始,执行下述操作可以在交换机上定义
RSPAN VLAN,创建一个 RSPAN 目的会话并指定源 RSPAN VLAN 和目的端口。
① 进入全局配置模式。
Switch # configure terminal
② 键入在源交换机上创建的 RSPAN VLAN 的 VLAN 号,并且进入 VLAN 配置模式。
Switch (config) # vlan vlan-id
③ 定义 VLAN 作为 RSPAN VLAN。
Switch (config) # remote-span
④ 返回全局配置模式。
Switch (config-if) # exit
⑤ 为会话移除所有存在的 RSPAN 配置。
Switch (config) # no monitor session {session_number |all |local| remote}
⑥ 指定 RSPAN 会话和源 RSPAN VLAN。
Switch (config) # monitor session session_number destination interface
interface-id
⑦ 指定 RSPAN 会话和目的接口。
Switch (config) # monitor session session_number destination interface
interace-id
⑧ 返回特权 Exec 模式。
Switch (config) # end
⑨ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑩ 保存配置。
Switch # copy running-config startup-config
要删除会话,使用“ no monitor session session_number”全局配置命令。移除来自 SPAN
会话的目的端口,使用“ no monitor session session_number destination interface interface-id”
全局配置指令。移除来自会话的 RSPAN VLAN,使用“ no monitor session session_number source
remote vlan vlan-id”。
创建 RSPAN 目的会话并配置流量
在特权 Exec 模式下开始,创建一个 RSPAN 目的会话,指定源 RSPAN VLAN 和目的端口,
并且在目的端口上为一个网络安全设备启用流量控制。
① 进入全局配置模式。
Switch # configure terminal
② 为会话移除所有存在的 SPAN 配置。
Switch (config) # no monitor session {session_number |all |local |remote}
③ 指定 RSPAN 会话和源 RSPAN VLAN。
Switch (config) # monitor session session_number source remote vlan vlan-id
④ 指定 SPAN 会话,目的端口,封装包和 VLAN 封装。
Switch (config) # monitor session session_number destination {interface
interface-id [,|-] [ingress {dot1q vlan vlan-id |isl |untagged vlan vlan-id |vlan
vlan-id}]}
⑤ 返回特权 Exec 模式。
Switch (config) # end
⑥ 校验配置。
Switch # show monitor [session session_number]
⑦ 保存配置。
Switch # copy running-config startup-config
删除一个 RSPAN 会话,使用“ no monitor session session_number”全局配置命令。移除
一个来自 RSPAN 会话的目的端口,使用“ no monitor session session_number destination
interface interface-id”全局配置命令。
指定过滤 VLANs
在特权 Exec 模式下开始,配置 RSPAN 源会话来限制 RSPAN 到指定 VLANs 的源流量。
① 进入全局配置模式。
Switch # configure terminal
② 为会话移除所有存在的 SPAN 配置。
Switch (config) # no monitor session {session_number |all |local | remote}
③ 指定源端口执行 SPAN 会话。
Switch (config) # monitor session session_number source interface interface-id
④ 限制 SPAN 源到指定 VLANs 的流量。
Switch (config) # monitor session session_number filter vlan vlan-id [,|-]
⑤ 指定 RSPAN 会话和目的远程 VLAN( RSPAN VLAN)。
Switch (config) # monitor session session_number destination remote vlan vlan-id
⑥ 返回特权 Exec 模式。
Switch (config) # end
⑦ 校验配置。
Switch # show monitor [session session_number]
Switch # show running-config
⑧ 保存配置。
Switch (config) # copy running-config startup-config
检测所有在中继端口上的 VLAN,使用“ no monitor session session_number filter vlan”
全局配置命令。
6. 显示 SPAN 和 RSPAN 状态
显示当前 SPAN 或者 RSPAN 的配置,使用“ show monitor”用户 Exec 指令。也可以使用
“ show running-config”特权 Exec 指令显示已配置的 SPAN 或者 RSPAN 会话。
第 8 章 路 由 协 议
路由协议是路由器软件中的重要组成部分。路由器为互连的网络之间选择最佳的通信路经都是通过这些路由协议来完成的。路由协议的作用还在于建立以及维护路由表。路由表用于
为每个 IP 包选择输出端口或下一跳地址。
8.1 静态路由与默认路由
8.1.1 直连路由
直接连接到路由器接口的子网称为直连子网。路由器自动将其路由加入路由表,称为直
连路由( Connected)。也就是说,当接口处于“ up up”状态时,该接口所在的本地直连子网
路由将被加入至路由表。图 8-1 所示为直连路由。
图 8-2 所示为 Router1 的路由表。可见,其路由表中只包含 2 条连接至对端路由器和交换机的直连路由( C – connected)。
路由器的路由表将列出路由器所有已知 IP 网络和子网,以及将数据包发往这些网络的出口,从而实现 IP 网络和子网间的路由。
8.1.2 静态路由
静态路由是在路由器中设置固定的路由表,即指定固定的传输路径,除非网络管理干预,否则将不会自动更改。所以当网络的拓扑结构或链路的状态发生变化时,需要手工修改路由表中相关的静态路由信息。静态路由信息在默认情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由是一种特殊的路由,它由管理员手工配置而成。通过静态路由的配置可建立一个互边的网络,但这种配置的问题在于:当一个网络故障发生后,静态路由不会自动发生改变,必须有管理员的介入。
在组网结构比较简单的网络中,只需配置静态路由就可以使路由器正常工作,仔细设置和使用静态路由可以改进网络的性能,并可为重要的应用保证带宽。静态路由还有如下的属性。
可达路由:正常的路由都属于这种情况,即 IP 报文按照目的地标识的路由被送往下一跳,这是静态路由的一般用法。
目的地不可达的路由:当到某一目的地的静态路由具有“丢弃”属性时,任何去往该目的地的 IP 报文都将被丢弃,并且通知源主机目的地不可达。
目的地为“黑洞”的路由:当到某一目的地的静态路由具有“黑洞”属性时,任何去往该目的地的 IP 报文都将被丢弃,并且不通知源主机。其中,“丢弃”和“黑洞”属性一般用来控制本路由器可达目的地的范围,辅助网络故障的诊断。
通过配置静态路由,可以人为地指定对某一网络访问时所要经过的路径。在网络结构比较简单,并且到达某一网络只有唯一路径时,均采用静态路由。静态路由的效率最高, 系统性能占用最少。对于企业网络而言,往往只有一条连接至 Internet 的链路,因此最适合使用静态路由。例如,在如图 8-3 所示的网络中,如果用户访问该网络时必须经过路由器 A 和路由器 B,则管理员可以在路由器 A 中设置一条指向路由器 B 的静态路由信息。这样做的好处是可以减少路由器 A 和路由器 B 之间 WAN 链路上的数据传输量,因为网络在使用静态路由后,路由器 A 和路由器 B 之间没有必要进行路由信息的交换。
以静态路由中的示例为例,若欲实现 LAN1 对 LAN2 的访问,则应当键入如下命令:
ip route 192.168.3.0 255.255.255.0 Ethernet0/0
即将对 LAN2 的访问全部路由至 Router1的 Ethernet0/0 接口。添加静态路由( S – static)后, Router1 的路由表如图 8-4 所示。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
