本节书摘来自异步社区《CCNP TSHOOT 300-135认证考试指南》一书中的第2章,第2.5节在传输过程中收集信息,作者 【加】Raymond Lacoste , 【美】Kevin Wallace,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.5 在传输过程中收集信息
CCNP TSHOOT 300-135认证考试指南
故障检测与排除进程中收集的信息并不总是处于静止状态,有时还可能需要收集处于传输状态的信息,本节将讨论在网络中抓取流经交换机的数据包的方式。
2.5.1 执行抓包操作
可以利用运行了抓包软件的专用工具或PC来收集并存储流经网络链路的数据包。在执行故障检测与排除任务时,分析动态抓取的数据包能够深入了解网络处理数据流的方式。例如,抓包数据文件能够显示数据包是否被丢弃或者会话是否被重置,而且利用抓包应用软件还能查看二层、三层、四层包头信息,如通过查看数据包的三层包头信息就可以确定数据包的三层QoS(Quality of Service,服务质量)优先级标记。
不过抓取和分析数据包还存在两个难题。首先,从抓取的数据包中收集到的数据量太大,很难找出期望信息,因而必须掌握抓包软件提供的各种过滤功能。
2.5.2 SPAN
如果希望监控连接在同一台交换机上的两台网络设备之间的数据流,那么将会出现第二个难题。在默认情况下,抓包设备无法看到两台网络设备之间流过的数据包,这与交换机的设计原理有关。交换机被设计为按照帧的目的MAC地址来转发帧,交换机收到帧后,将查找MAC地址表并根据目的MAC地址来确定应该通过哪个接口向外转发帧。因此,如果运行了抓包软件的设备不是该帧的目的端(基于MAC地址),那么连接该设备的端口就不会收到该帧,这样就能保证终端用户设备不会看到非发送给它们的帧。
幸运的是,Cisco IOS支持SPAN(Switched Port Analyzer,交换式端口分析器)功能。SPAN可以让交换机将指定端口(或指定VLAN)上的数据包副本发送到另一个端口上,这样就可以将抓包设备连接到该端口上以完成抓包工作。
2.5.3 RSPAN
对于大型网络环境来说,连接在交换机上的抓包设备可能还需要捕获流经其他交换机的数据包,这时就要用到RSPAN(Remote SPAN,远程SPAN)功能。如图2-7所示,排障人员将运行了抓包程序的笔记本电脑连接在交换机SW2的端口Fast Ethernet 5/2上,服务器连接在交换机SW1的端口Gigabit Ethernet 0/1上,现在希望抓取进出该服务器的所有流量。
本例配置了一个VLAN,其作用是在交换机之间承载抓取的流量,因而交换机SW1与SW2之间的中继除了要承载用户数据VLAN之外,还要承载SPAN VLAN。例2-43显示了交换机SW1的RSPAN配置情况,该配置在SW1上创建了一个RSPAN VLAN(即VLAN 20),指定了RSPAN监控端口Gigabit Ethernet 0/1并将该端口的出站/入站数据包都发送到VLAN 20中的端口Gigabit Ethernet 0/3上(请注意,并不是所有交换机[如2960]都需要reflector-port参数),然后再使用show monitor命令来验证RSPAN源接口和目的接口。请注意,monitor session id source命令默认同时监控被监控端口的入站和出站流量。
