假设我有两个 Cisco 交换机,每个交换机都向 SPAN 端口输出一些网络流量,我需要将所有流量的总和发送到第三个设备,以便通过 libpcap 监控该流量。实现此目的的最简单方法是在目标设备中安装两个 NIC,并向每个 NIC 发送一个 SPAN 端口,但假设目标设备仅包含一个 NIC 并且不可扩展。
显然,我无法通过交换机或路由器路由 SPAN 流量,因为交换机不会无视 MAC、IP、ARP 等而将所有流量被动发送到我的监控设备。然而,这正是老式“被动”集线器所做的。
两个 SPAN 端口是否会“很好地”输出到单个集线器,还是它们会“互相干扰”并忽略资源争用等。我知道 SPAN 端口作为普通以太网设备运行,因为它无法接收任何流量、响应 ARP 请求等,但它是否保留了足够的以太网智能以与同一电路上的其他发射器共存,或者它是否需要成为线路上唯一的发射器?
答案1
交换机上的 SPAN 端口只会向外发送流量 - 它们会丢弃所有入站流量。请在实验室环境中尝试一下。
看看 RSPAN -http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/span.pdf- 它可以通过将您的 SPAN 流量中继到另一台交换机并通过单个 SPAN 端口来帮助您。