Sniffer怎么监听数据

在互换以太网的坏境下，通常两部服务中心中间的通信是不容易被小三侦听到的。在一些状况下，人们将会会必须开展那样的侦听，如：合同剖析、流量统计、入侵检测。因此人们能够设定Cisco交换机的SPAN (Switched Port Analyzer互换网关分析器)特点, 或初期的“端口镜像”、“监视器网关”作用。

侦听的成员变量能够是1个或好几个交换机网关，或是全部VLAN。假如要侦听的网关(“源网关”)或VLAN和联接监视器服务中心的网关(“目的网关”)在相同台交换机上，人们只需配备SPAN; 假如没有相同台交换机上，必须配备RSPAN (Remote SPAN)。不一样的交换机对SPAN有不一样的限定，如2900XL交换机中源网关和目的网关务必在相同VLAN、一些交换机不兼容RSPAN这些，附表设施word表格。 

在配备SPAN的当时，人们必须出示的叁数是源网关或VLAN号及其目的网关。 

4000/6000 CatOS 交换机: 

set span 6/17 6/19 //SPAN:源网关为6/17 目的网关为6/19 

2950/3550/4000IOS/6000IOS 交换机： 

monitor session 1 local //SPAN 

monitor session 1 source interface fastethernet 0/17 both //源网关，还可以是某一VLAN 

monitor session 1 destination interface fastethernet 0/19 //目的网关 

2900/3500XL 交换机： 

interface fastethernet 0/19 //目的网关 

port monitor fastethernet 0/17 //源网关 

1900 交换机: (或应用莱单 [M] Monitoring) 

monitor-port monitored 0/17 //源网关(0/17和0/18网关) 

monitor-port monitored 0/18 

monitor-port port 0/19 //目的网关 

monitor-port //开使监视器 

在配备RSPAN的当时，人们最先要界定1个种类为RSPAN的VLAN。在一般VLAN上假如源服务器和目的服务器都会相同台交换机上，则他们中间的单播通信不用根据TRUNK传送到其他交换机，而RSPAN VLAN必须在TRUNK上发送那样的通信，以确保监视器机可以侦听到。在源交换机上，需设定使被侦听的网关或VLAN把留量发送到RSPAN VLAN上(假如是运作IOS的交换机，必须另一个设定1个网关做为散射网关); 在目的交换机上，需设定把RSPAN VLAN中的消息发送到联接监控主机的目的网关。 

IOS交换机,如3550: 

3550(config)#vlan 900 //创建RSPAN VLAN 

3550(config-vlan)#remote-span 

monitor session 1 remote //源交换机 

monitor session 1 source interface fastethernet 0/17 both //源网关 

monitor session 1 destination remote vlan 900 reflector-port fastethernet 0/20 //目的RSPAN VLAN，散射网关 

monitor session 2 remote //目的交换机 

monitor session 2 source remote vlan 900 //RSPAN VLAN 

monitor session 2 destination interface fastethernet 0/19 //目的网关 

CatOS 交换机，如6500: 

set vlan 900 rspan //创建RSPAN VLAN 

set rspan source 4/1-2 900 //源交换机 

set rspan destination 4/19 900 //目的交换机 

近期多次配备完RSPAN以后，有客户体现：部位网段出現嚴重丢包状况。认真仔细，发觉部位交换机的上联网关负荷太重。再剖析，原先在两部管理局交换机上开启了1个RSPAN程序，RSPAN VLAN上的留量挺大，达300M。因为VTP 域中沒有开启Pruning 作用，这一RSPAN VLAN的留量出現在全部的TRUNK上，导致了堵塞。把RSPAN VLAN从这种TRUNK上剪修掉以后，互联网修复了没问题。 

SPAN作用的出現，使维护交换机不被不法操纵越来越至关重要。由于倘若黑