端口转发分析工具（SPAN）

交换端口分析器（SPAN）这是一种特定于交换机的工具，它能够复制通过交换机端口传输的以太网帧，并将这些帧发送到底部特定的端口上。 交换机本身并不分析这些被复制的帧，而是将这些帧通过特定的端口发送到网络分析器。 网络分析工具可以是专门设计的硬件设备，也可以是在主机上运行的应用程序。 对这些帧的分析是为了排除网络中的故障。 有时，也会对帧进行分析，以找出隐藏在帧中的任何恶意内容。实际上，你也可以在自己的电脑上安装网络分析工具来做到这一点。 使用 Wireshark 网络分析工具，可以分别从以太网网卡和无线网卡中捕获以太网帧以及 802.11 帧。Span的工作原理：请参考下图所示。图中展示了交换机、服务器、PC以及网络分析器。在交换机上未配置SPAN功能之前，数据帧会正常地从PC传输到服务器，反之亦然。但在交换机上配置了SPAN功能后，交换机开始复制通过其端口传输的数据帧，并将这些副本发送给网络分析器。图 –在 SPAN 中，帧的复制与转发过程如下：首先，交换机在将帧从端口传输出去之后，会将这些帧复制到本地，然后再将这些帧发送给网络分析器。 “从哪些端口复制帧，以及将复制后的帧发送到哪些端口”这一规则是在 SPAN 会话中定义的。 你可以在交换机上定义多个SPAN会话。 在 SPAN 会话中，可能存在多个源端口，但目标端口则只有一个。 用于复制帧的端口被称为源端口，而将从该源端口发送出去的复制后的帧所经过的端口则被称为目标端口。 SPAN会话可以在端口上定义，以处理双向或单向传输的数据流量。 在VLAN上也可以定义跨会话功能。此时，交换机会将该VLAN中所有端口上的帧进行复制。 但是，你无法定义同时包含多个端口和VLAN的会话。 一个跨会话必须只包含纯端口或纯VLAN。远程 SPAN 与封装式远程 SPAN：请考虑一下这种情况：如果目标端口不在配置SPAN的交换机上，该怎么办呢？Cisco提供了两种解决方案来解决这个问题，分别是RSPAN和ERSPAN。RSPAN利用VLAN技术，将帧封装在802.1Q帧头中（该帧头用于标识帧属于哪个VLAN），然后将这些帧通过网络传输。而ERSPAN则适用于第3层交换机，它会将SPAN传输的数据包封装在GRE隧道中，然后再将这些数据包转发到网络中。关于SPAN的一些重要规则：

• 一次 SPAN 会话中，只包含一个目标端口。
• 没有两个 SPAN 会话会具有相同的目标端口。
• 目的端口不能用作源端口。
• 目标端口无法正常工作了，它已经无法识别MAC地址了。
• 一个 SPAN 会话可以包含多个源端口。
• 在 SPAN 会话中，无法同时使用不同的端口和 VLAN。