Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mirror SPAN Cisco
Mirror SPAN Cisco
Contenidos
Introduccin Requisitos previos Switches Catalyst que son compatibles con SPAN, RSPAN y ERSPAN Requisitos Componentes utilizados Convenciones Antecedentes Descripcin abreviada de SPAN Terminologa de SPAN Caractersticas del puerto de origen Caractersticas de la VLAN de origen Caractersticas del puerto de destino Caractersticas del puerto reflector SPAN en Catalyst Express serie 500 SPAN en los switches Catalyst 2900XL/3500XL Funciones disponibles y restricciones Ejemplo de configuracin SPAN en Catalyst 2948G-L3 y 4908G-L3 SPAN en Catalyst 8500 SPAN en los switches Catalyst de las series 2900, 4500/4000, 5500/5000 y 6500/6000 que ejecutan CatOS SPAN local SPAN remoto Limitaciones y resumen de las funciones SPAN en los switches Catalyst de las series 2940, 2950, 2955, 2970, 3550, 3560 y 3750 SPAN en los switches Catalyst de las series 4500/4000 y Catalyst 6500/6000 que ejecutan el software del sistema Cisco IOS Ejemplo de configuracin Limitaciones y resumen de funciones Impacto en el rendimiento de SPAN en las diferentes plataformas Catalyst Catalyst series 2900XL/3500XL Catalyst series 4500/4000 Catalyst de las series 5500/5000 y 6500/6000 Preguntas ms frecuentes y problemas comunes Problemas de conectividad debido a la configuracin incorrecta de SPAN Puerto de destino SPAN activado/desactivado Por qu la sesin SPAN crea un bucle de conexin en puente? Influye SPAN en el rendimiento? Se puede configurar SPAN en un puerto EtherChannel? Se pueden tener varias sesiones SPAN ejecutndose al mismo tiempo? Error "% Local Session Limit Has Been Exceeded" No es posible eliminar una sesin SPAN en el mdulo de servicio VPN con el error "% Session [Session No:] Used by Service Module" Por qu no se pueden capturar paquetes corruptos con SPAN? El puerto reflector descarta paquetes La sesin SPAN siempre se utiliza con un FWSM en el chasis de Catalyst 6500 Pueden una sesin SPAN y una RSPAN tener el mismo ID dentro del mismo switch? Puede una sesin RSPAN funcionar en diferentes dominios VTP? Puede una sesin RSPAN funcionar en WAN o en diferentes redes? Pueden una sesin de origen RSPAN y la sesin de destino existir en el mismo switch Catalyst?
Introduccin
La funcin de analizador de puerto conmutado (SPAN), que a veces se denomina duplicacin o supervisin de puertos, selecciona trfico de la red para analizarlo con un analizador de red. El analizador de red puede ser un dispositivo SwitchProbe de Cisco u otra sonda de control remoto (RMON). Previamente, SPAN era una funcin relativamente bsica en los switches de la serie Cisco Catalyst. Sin embargo, las versiones ms
recientes de Catalyst OS (CatOS) han introducido mejoras importantes y una gran cantidad de nuevas posibilidades que actualmente estn a disposicin del usuario. No se pretende que este documento sea una gua de configuracin alternativa para la funcin SPAN; sino ms bien una introduccin a las funciones recientes de SPAN que se han implementado. Este documento responde las preguntas ms comunes sobre SPAN, tales como: Qu es SPAN y cmo se configura? Cules son las diferentes funciones disponibles (especialmente varias sesiones SPAN simultneas) y qu nivel de software se necesita para ejecutarlas? La funcin SPAN tiene efecto en el rendimiento de un switch?
Requisitos previos
Switches Catalyst que son compatibles con SPAN, RSPAN y ERSPAN
Switches Catalyst Catalyst Express serie 500 Compatibilidad Compatibilidad con con SPAN RSPAN S No Compatibilidad con ERSPAN No S Supervisor 720 con PFC3B o PFC3BXL que ejecuta el software Cisco IOS versin 12.2(18)SXE o superior. Supervisor 720 con PFC3B que tiene una versin de hardware 3.2 o superior y que ejecuta el software Cisco IOS versin 12.2(18)SXE o superior. No
Catalyst series 5500/5000 Catalyst serie 4900 Catalyst series 4500/4000 (incluye 4912G) Catalyst serie 3750 Metro Catalyst serie 3750 Catalyst serie 3560 Catalyst serie 3550 Catalyst serie 3500 XL
No
No
No
No
No
No
No
No
No
Catalyst serie 2970 Catalyst serie 2960 Catalyst serie 2955 Catalyst serie 2950 Catalyst serie 2940 Catalyst 2948GL3 Catalyst 2948GL2, 2948G-GETX, 2980G-A Catalyst serie 2900XL Catalyst serie 1900
No
No
No
No
No
No
No
No
No
No
No
No
Requisitos
No hay requisitos especficos para este documento.
Componentes utilizados
Este documento usa CatOS 5.5 como referencia para los switches de las series 4500/4000, 5500/5000 y 6500/6000. En los switches Catalyst de las series 2900XL/3500XL, se utiliza la versin 12.0(5)XU del software Cisco IOS. A pesar de que este documento se actualiza para incorporar los cambios al SPAN, consulte las notas de la versin de la documentacin de su plataforma del switch para conocer los ltimos desarrollos de la funcin SPAN. La informacin que contiene este documento se cre a partir de los dispositivos en un ambiente de laboratorio especfico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuracin despejada (predeterminada). Si la red est en produccin, asegrese de comprender el impacto que pueda tener cualquier comando.
Convenciones
Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos tcnicos de Cisco) para obtener ms informacin sobre las convenciones del documento.
Antecedentes
Descripcin abreviada de SPAN
Qu es SPAN y por qu es necesario? La funcin SPAN se incorpor a los switches dada la diferencia fundamental que presentan con respecto a los concentradores. Cuando un concentrador recibe un paquete en un puerto, enva una copia de este paquete a todos los puertos salvo aquel en el que el concentrador recibi el paquete. Despus de que el switch se reinicie, empieza a crear una tabla de reenvo de capa 2 en base a la direccin MAC de origen de los diferentes paquetes que el switch recibe. Una vez que se ha elaborado esta tabla de reenvo, el switch reenva el trfico destinado a una direccin MAC directamente al puerto correspondiente. Por ejemplo, si desea capturar el trfico Ethernet enviado por el host A al host B y ambos estn conectados a un concentrador, slo tiene que conectar un rastreador (sniffer) a este concentrador. Todos los dems puertos ven el trfico entre los hosts A y B:
En un switch, despus de conocer la direccin MAC B del host, el trfico de unidifusin de A a B slo se enva al puerto B. Por consiguiente, el rastreador no detecta este trfico:
En esta configuracin, el rastreador slo captura el trfico que se transmite a todos los puertos, por ejemplo: Trfico de difusin Trfico de multidifusin con CGMP o indagacin del Protocolo de administracin de grupos de Internet (IGMP) inhabilitado Trfico de unidifusin desconocido La saturacin de la unidifusin ocurre cuando el switch no tiene la MAC de destino en su tabla de memoria direccionable por contenido (CAM). El switch no sabe dnde enviar el trfico. El switch inunda de paquetes todos los puertos de la VLAN de destino. Se necesita una funcin adicional que copie artificialmente los paquetes de unidifusin que el host A enva al puerto del rastreador o sniffer:
En este diagrama, el rastreador est conectado al puerto que se ha configurado para que reciba una copia de cada paquete que enva el host A. Este puerto se denomina puerto SPAN. Las dems secciones de este documento describen cmo se puede ajustar esta funcin con mayor precisin para que no se limite simplemente a supervisar un puerto.
Terminologa de SPAN
Trfico de ingreso: trfico que entra en el switch. Trfico de egreso: trfico que sale del switch. Puerto de origen (SPAN) : un puerto que se supervisa mediante el uso de la funcin SPAN. VLAN de origen (SPAN) : una VLAN cuyo trfico se supervisa mediante el uso de la funcin SPAN.
Puerto de destino (SPAN) : un puerto que supervisa los puertos de origen, generalmente donde se conecta un analizador de red. Puerto reflector : un puerto que copia paquetes en una VLAN RSPAN. Puerto de supervisin: un puerto de control es tambin un puerto de destino SPAN segn la terminologa de Catalyst 2900XL/3500XL/2950.
SPAN local: la funcin SPAN es local cuando los puertos supervisados se ubican en el mismo switch que el puerto de destino. Esta funcin, a diferencia del SPAN remoto (RSPAN), tambin se define en esta lista. SPAN remoto (RSPAN): algunos puertos de origen no se ubican en el mismo switch que el puerto de destino. RSPAN es una funcin avanzada que requiere una VLAN especial para transportar el trfico que SPAN supervisa entre los switches. No todos los switches soportan RSPAN. Compruebe las respectivas notas de la versin o la gua de configuracin para ver si puede utilizarlo en el switch que implementa. SPAN basado en puerto (PSPAN): el usuario especifica uno o varios puertos de origen en el switch y un puerto de destino. SPAN basado en VLAN (VSPAN): en un switch determinado, el usuario puede elegir supervisar todos los puertos pertenecientes a una VLAN especfica con un nico comando. ESPAN: significa versin SPAN mejorada. Durante la evolucin del SPAN se ha utilizado varias veces este trmino para designar las funciones adicionales. Por consiguiente, el trmino no es muy claro. Se evita su uso en este documento. Fuente administrativa: una lista de puertos de origen o VLAN que se han configurado para ser supervisados. Fuente operacional: una lista de los puertos que se supervisan de forma efectiva. Esta lista de puertos puede diferir de la fuente administrativa. Por ejemplo, un puerto que est en modo apagado puede aparecer en la fuente administrativa, pero no se controla de manera efectiva.
Filtrado de VLAN Cuando se supervisa un puerto troncal como puerto origen, todas las VLAN activas en un troncal se supervisan de forma predeterminada. Se puede utilizar el filtrado de VLAN para limitar la supervisin de trfico SPAN en los puertos troncales de origen a VLAN especficas. El filtrado de VLAN se aplica slo a puertos troncales o puertos de voz VLAN. El filtrado de VLAN se aplica slo a sesiones basadas en puertos y no se permiten en sesiones con orgenes VLAN. Cuando se especifica una lista de filtros VLAN, slo las VLAN de la lista se supervisan en los puertos troncales o en los puertos de voz de acceso VLAN. El trfico SPAN procedente de otros tipos de puerto no se ve afectado por el filtrado VLAN, lo que significa que se permiten todas las VLAN en los dems puertos. El filtrado VLAN afecta slo al trfico reenviado al puerto de destino SPAN y no influye en la conmutacin del trfico normal. No se pueden mezclar VLAN de origen y VLAN de filtro dentro de una sesin. Se pueden tener VLAN de origen o de filtro, pero no ambas al mismo tiempo.
El puerto de destino no participa en el rbol de expansin mientras la sesin SPAN est activa. Cuando se trata de un puerto de destino, no participa en ninguno de los protocolos de la capa 2 (STP, VTP, CDP, DTP, PagP). El puerto de destino que pertenece a una VLAN de origen de cualquier sesin SPAN se excluye de la lista de origen y no se supervisa. El puerto de destino recibe copias del trfico enviado y recibido para todos los puertos de origen supervisados. Si el puerto de destino tiene un exceso de suscriptores, se puede congestionar. Esta congestin puede afectar al reenvo de trfico en uno o varios de los puertos de origen.
4. Haga clic en cualquier interfaz en la que tenga previsto conectar el PC para capturar los seguimientos del rastreador (sniffer).
5. Haga clic en Modify. Aparece un pequeo cuadro emergente. 6. Seleccione la funcin Diagnostics del puerto. 7. Elija el puerto de origen y seleccione la VLAN que tenga previsto supervisar. Si no selecciona ninguna, el puerto slo recibe el trfico. La VLAN de ingreso permite que el PC conectado al puerto de diagnstico enve paquetes a la red que utiliza dicha VLAN.
8. Haga clic en OK para cerrar el cuadro emergente. 9. Haga clic en OK y, a continuacin, en Apply para adoptar la configuracin. 10. Puede utilizar cualquier software rastreador para seguir el trfico una vez configurado el puerto de diagnstico.
VLAN en puertos de supervisin y en puertos controlados. Un puerto de supervisin no puede ser un puerto de acceso dinmico ni un puerto troncal. Sin embargo, un puerto de acceso esttico puede supervisar una VLAN en un troncal, una VLAN mltiple o un puerto de acceso dinmico. La VLAN supervisada es la que est asociada al puerto de acceso esttico. La supervisin de puertos no funciona si tanto el puerto de supervisin como el supervisado son puertos protegidos. Consulte la seccin Managing Configuration Conflicts (Gestin de los conflictos de configuracin) de Managing Switches (Gestin de switches) (Catalyst 2900XL/3500XL) para obtener ms informacin sobre los conflictos de la funcin. Tenga cuidado de que un puerto en el estado de supervisin no ejecute el Protocolo de rbol de expansin (STP) mientras el puerto pertenezca a la VLAN de los puertos que refleja. El puerto de supervisin puede formar parte de un bucle si, por ejemplo, lo conecta a un concentrador o a un puente y se origina un bucle con otra parte de la red. En tal caso, es posible que termine en una condicin de bucle de conexin en puente catastrfico porque ya no est protegido por el STP. Consulte la seccin Por qu la sesin SPAN crea un bucle de conexin en puente? de este documento para obtener un ejemplo de cmo puede suceder esta condicin.
Ejemplo de configuracin
Este ejemplo crea dos sesiones SPAN simultneas. El puerto Fast Ethernet 0/1 (Fa0/1) supervisa el trfico que los puertos Fa0/2 y Fa0/5 envan y reciben. El puerto Fa0/1 tambin supervisa el trfico hacia la VLAN 1 de la interfaz de administracin y desde ella. El puerto Fa0/4 supervisa los puertos Fa0/3 y Fa0/6. Los puertos Fa0/3, Fa0/4 y Fa0/6 estn todos configurados en la VLAN 2. Los dems puertos y la interfaz de administracin estn configurados en la VLAN 1 predeterminada. Diagrama de la red
!--- Resultado suprimido. ! interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5
! interface FastEthernet0/6 switchport access vlan 2 ! !--- Resultado suprimido. ! interface VLAN1 ip address 10.200.8.136 255.255.252.0 no ip directed-broadcast no ip route-cache ! !--- Resultado suprimido.
Explicacin sobre los pasos de la configuracin Para configurar el puerto Fa0/1 como puerto de destino, los puertos de origen Fa0/2 y Fa0/5 y la interfaz de administracin (VLAN 1), seleccione la interfaz Fa0/1 en el modo de configuracin:
Switch(config)#interface fastethernet 0/1
Con este comando, cada paquete que estos dos puertos recibe o transmite tambin se copia en el puerto Fa0/1. Ejecute una variacin del comando port monitor para configurar la supervisin en la interfaz administrativa:
Switch(config-if)#port monitor vlan 1
Nota: este comando no significa que el puerto Fa0/1 supervise la VLAN 1 completa. La palabra clave vlan 1 simplemente hace referencia a la interfaz administrativa del switch. Este comando de ejemplo muestra que la supervisin de un puerto en una VLAN diferente es imposible:
Switch(config-if)#port monitor fastethernet 0/3 FastEthernet0/1 and FastEthernet0/3 are in different vlan
Para finalizar la configuracin, configure otra sesin. Esta vez, utilice Fa0/4 como puerto de destino SPAN:
Switch(config-if)#interface fastethernet 0/4 Switch(config-if)#port monitor fastethernet 0/3 Switch(config-if)#port monitor fastethernet 0/6 Switch(config-if)#^Z
Ejecute un comando show running o utilice el comando show port monitor para verificar la configuracin:
Switch# show port monitor Monitor Port Port Being Monitored --------------------- --------------------FastEthernet0/1 VLAN1 FastEthernet0/1 FastEthernet0/2 FastEthernet0/1 FastEthernet0/5 FastEthernet0/4 FastEthernet0/3 FastEthernet0/4 FastEthernet0/6
Nota: los Catalyst 2900XL y 3500XL no admiten SPAN slo en la direccin de recepcin (Rx) (Rx SPAN o SPAN de ingreso) o slo en la direccin de transmisin (Tx) (Tx SPAN o SPAN de egreso). Todos los puertos SPAN se han diseado para capturar tanto el trfico Rx como Tx.
Los Catalyst 2948G-L3 y 4908G-L3 son routers con configuracin de conmutacin fija o switches de capa 3. La funcin SPAN del switch de capa 3 se denomina indagacin de puerto. Sin embargo, estos switches no admiten la indagacin de puerto. Consulte la seccin Features Not Supported (Funciones no admitidas) del documento Release Notes for Catalyst 2948G-L3 and Catalyst 4908G-L3 for Cisco IOS Release 12.0(10)W5(18g) (Notas de la versin para Catalyst 2948G-L3 y Catalyst 4908G-L3 para la versin 12.0(10)W5(18g) de Cisco IOS).
La variable source_port hace referencia al puerto supervisado. La variable snoop_direction es la direccin del trfico en el puerto de origen o puertos supervisados: recibir, transmitir o ambos.
8500CSR#configure terminal 8500CSR(config)#interface fastethernet 12/0/15 8500CSR(config-if)#shutdown 8500CSR(config-if)#snoop interface fastethernet 0/0/1 direction both 8500CSR(config-if)#no shutdown
Nota: este comando no se admite en los puertos Ethernet en un Catalyst 8540 si ejecuta una imagen de router switch ATM multiservicio (MSR), como 8540m-in-mz. En su lugar, debe utilizar una imagen de router switch de campus (CSR), como 8540c-in-mz. Al ejecutar una imagen MSR, la indagacin slo se admite en las interfaces ATM si se ejecutan los siguientes comandos: atm snoop atm snoop-vp atm snoop-vc
SPAN en los switches Catalyst de las series 2900, 4500/4000, 5500/5000 y 6500/6000 que ejecutan CatOS
Nota: esta seccin slo se aplica a los siguientes switches Cisco Catalyst de la serie 2900: Switch Cisco Catalyst 2948G-L2 Switch Cisco Catalyst 2948G-GE-TX
Switch Cisco Catalyst 2980G-A Nota: esta seccin slo se aplica a los switches Cisco Catalyst de la serie 4000 que incluyen: Switches de chasis modular: Switch Cisco Catalyst 4003 Switch Cisco Catalyst 4006 Switches de chasis fijo: Switch Cisco Catalyst 4912G
SPAN local
Las funciones SPAN han sido agregadas de una en una en CatOS y la configuracin SPAN est compuesta de un nico comando set span. Ahora existe una amplia gama de opciones disponibles para el comando:
switch (enable) set span Usage: set span disable [dest_mod/dest_port|all] set span <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both] [inpkts <enable|disable>] [learning <enable|disable>] [multicast <enable|disable>] [filter <vlans...>] [create]
El siguiente diagrama de red presenta las diferentes posibilidades de SPAN utilizando variaciones:
Este diagrama representa una parte de una tarjeta de lnea individual que se encuentra en la ranura 6 de un switch Catalyst 6500/6000. En esta situacin: Los puertos 6/1 y 6/2 pertenecen a la VLAN 1 El puerto 6/3 pertenece a la VLAN 2 Los puertos 6/4 y 6/5 pertenecen a la VLAN 3 Conecte un rastreador al puerto 6/2 y utilcelo como puerto de supervisin en varios casos diferentes. PSPAN, VSPAN: Controle algunos puertos o una VLAN completa Ejecute la forma ms sencilla del comando set span para controlar un solo puerto. La sintaxis es set span source_port destination_port . Supervisin de un solo puerto con SPAN
switch (enable) set span 6/1 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
Con esta configuracin, cada paquete que el puerto 6/1 recibe o enva se copia en el puerto 6/2. Se muestra una descripcin clara de ello al introducir la configuracin. Ejecute el comando show span para recibir un resumen de la configuracin SPAN actual:
switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active Total local span sessions: 1
El comando set span source_ports destination_port permite al usuario especificar ms de un puerto de origen. Slo incluya en la lista todos los puertos en los que desee implementar SPAN y separe los puertos por comas. El interpretador de lneas de comando tambin le permite utilizar el guin para especificar un rango de puertos. Este ejemplo ilustra esta capacidad de especificar ms de un puerto. El ejemplo utiliza SPAN en el puerto 6/1 y un rango de tres puertos, del 6/3 al 6/5: Nota: nicamente puede haber un puerto de destino. Especifique siempre el puerto de destino despus del origen de SPAN.
switch (enable) set span 6/1,6/3-5 6/2 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1,6/3-5 Oper Source : Port 6/1,6/3-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
Nota: a diferencia de los switches Catalyst 2900XL/3500XL, los Catalyst 4500/4000, 5500/5000 y 6500/6000 pueden supervisar los puertos que pertenecen a varias VLAN distintas con las versiones de CatOS anteriores a 5.1. Aqu los puertos duplicados se han asignado a las VLAN 1, 2 y 3. Supervisin de VLAN con SPAN Finalmente, el comando set span permite configurar un puerto para que supervise el trfico local de toda una VLAN. El comando es set span
source_vlan(s) destination_port .
Utilice una lista de una o ms redes VLAN como origen, en vez de una lista de puertos:
switch (enable) set span 2,3 6/2 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : VLAN 2-3 Oper Source : Port 6/3-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
Con esta configuracin, cada paquete que entra o sale de la VLAN 2 o 3 se duplica en el puerto 6/2. Nota: el resultado es exactamente el mismo que si se implementa SPAN individualmente en todos los puertos que pertenecen a las VLAN que el comando especifica. Compare el campo Oper Source y el campo Admin Source . El campo Admin Source bsicamente crea una lista de todos los puertos que ha configurado para la sesin SPAN y el campo Oper Source enumera los puertos que utilizan SPAN. SPAN de ingreso/SPAN de egreso En el ejemplo de la seccin Supervisin de VLAN con SPAN, se supervisa el trfico que entra y sale de los puertos especificados. El campo Direction: transmit/receive muestra esto. Los switches Catalyst de las series 4500/4000, 5500/5000 y 6500/6000 permiten recopilar nicamente el trfico de egreso (salida) o nicamente de ingreso (entrada) en un puerto determinado. Agregue la palabra clave rx (recibir) o tx (transmitir) al final del comando. El valor predeterminado es both (ambos, tx y rx).
En este ejemplo, la sesin captura todo el trfico entrante para las VLAN 1 y 3, y lo duplica en el puerto 6/2:
switch (enable) set span 1,3 6/2 rx 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : VLAN 1,3 Oper Source : Port 1/1,6/1,6/4-5,15/1 Direction : receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
Las conexiones troncales son un caso especial en un switch debido a que son puertos que transportan varias VLAN. Si se selecciona conexin troncal como puerto de origen, se supervisa el trfico de todas las VLAN. Supervisin de un subconjunto de VLAN que pertenece a una conexin troncal En el siguiente diagrama, el puerto 6/5 es ahora una conexin troncal que transporta todas las VLAN. Imagine que desea utilizar SPAN para el trfico de la VLAN 2 para los puertos 6/4 y 6/5. Slo debe ejecutar el siguiente comando:
switch (enable) set span 6/4-5 6/2
En este caso, el trfico que se recibe en el puerto SPAN es una mezcla de trfico deseado y de todas las VLAN que transporta la conexin troncal 6/5. Por ejemplo, no hay manera de distinguir en el puerto de destino si un paquete proviene del puerto 6/4 en la VLAN 2 o del puerto 6/5 en la VLAN 1. Otra posibilidad consiste en utilizar SPAN en toda la VLAN 2:
switch (enable) set span 2 6/2
Con esta configuracin, al menos slo controla el trfico que pertenece a la VLAN 2 de la conexin troncal. El problema radica en que ahora tambin se recibe el trfico no deseado del puerto 6/3. El CatOS incluye otra palabra clave que permite seleccionar algunas VLAN para que se supervisen desde una conexin troncal:
switch (enable) set span 6/4-5 6/2 filter 2 2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : 2 Status : active
Este comando alcanza el objetivo porque se selecciona la VLAN 2 en todas las conexiones troncales supervisadas. Puede especificar varias VLAN con esta opcin de filtro. Nota: nicamente los switches Catalyst 4500/4000 y Catalyst 6500/6000 admiten esta opcin de filtro. El Catalyst 5500/5000 no admite la opcin de filtro disponible con el comando set span. Conexin troncal en el puerto de destino
Si tiene puertos de origen que pertenecen a diferentes VLAN o si utiliza SPAN en varias VLAN de un puerto troncal, es posible que desee identificar a qu VLAN pertenece un paquete que se recibe en el puerto de destino SPAN. Esta identificacin es posible si habilita la conexin troncal en el puerto de destino antes de configurar el puerto para SPAN. De esta forma, todos los paquetes reenviados al rastreador tambin se etiquetan con sus correspondientes ID de VLAN. Nota: el rastreador (sniffer) necesita reconocer la encapsulacin correspondiente.
switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5 2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 switch (enable) set trunk 6/2 nonegotiate isl Port(s) 6/2 trunk mode set to nonegotiate. Port(s) 6/2 trunk type set to isl. switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk switch (enable) set span 6/4-5 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active 2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2
Creacin de varias sesiones simultneas Hasta ahora, se ha creado una sola sesin SPAN. Cada vez que ejecute un comando nuevo set span, la configuracin anterior queda anulada. El CatOS ahora tiene la capacidad de ejecutar varias sesiones simultneamente, por lo que puede tener diferentes puertos de destino a la vez. Ejecute el comando set span source destination create para agregar una sesin SPAN adicional. En esta sesin, se supervisa el puerto 6/1 a 6/2, y al mismo tiempo, se supervisa VLAN 3 en el puerto 6/3:
switch (enable) set span 6/1 6/2 2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 switch (enable) set span 3 6/3 create Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/3
Ahora ejecute el comando show span para determinar si dispone de dos sesiones a la vez:
switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active -----------------------------------------------------------------------Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : Status : active Total local span sessions: 2
Se han creado sesiones adicionales. Es necesario que elimine algunas sesiones. El comando es el siguiente:
Se identifica una sesin por su puerto de destino, ya que slo puede haber un puerto de destino por sesin. Elimine la primera sesin que se cre, que es la que utiliza el puerto 6/2 como destino:
switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1 2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2
Ejecute el comando siguiente para inhabilitar todas las sesiones actuales de una sola vez:
switch (enable) set span disable all This command will disable all span session(s). Do you want to continue (y/n) [n]?y Disabled all local span sessions 2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/3 switch (enable) show span No span session configured
switch (enable) set span Usage: set span disable [dest_mod/dest_port|all] set span <src_mod/src_ports...|src_vlans...|sc0> <dest_mod/dest_port> [rx|tx|both] [inpkts <enable|disable>] [learning <enable|disable>] [multicast <enable|disable>] [filter <vlans...>] [create]
En esta seccin se proporciona una breve introduccin a las opciones que describe este documento: sc0: se especifica la palabra clave sc0 en una configuracin SPAN cuando se requiere supervisar el trfico hacia la interfaz de administracin sc0. Esta funcin est disponible en los switches Catalyst 5500/5000 y 6500/6000, versin de cdigo CatOS 5.1 o posterior. inpkts enable/disable : esta opcin es extremadamente importante. Tal como se afirma en este documento, un puerto configurado como destino SPAN contina perteneciendo a la VLAN original. Los paquetes recibidos en un puerto de destino entran luego a la VLAN, como si este puerto fuera un puerto de acceso normal. Es posible que se desee este comportamiento. Si utiliza un PC como rastreador (sniffer), es posible que desee que este PC est completamente conectado a la VLAN. Sin embargo, la conexin puede ser peligrosa si conecta el puerto de destino a otro equipo en red que crea un bucle en la red. El puerto SPAN de destino no ejecuta el STP, lo cual puede dar lugar a una situacin de bucle de conexin peligrosa. Consulte la seccin Por qu la sesin SPAN crea un bucle de conexin en puente? de este documento para comprender cmo puede suceder esta situacin. La configuracin predeterminada para esta opcin es inhabilitar, lo que significa que el puerto de destino SPAN descarta los paquetes que recibe el puerto. De esta forma, protege el puerto contra los bucles de conexin en puente. Esta opcin se encuentra en CatOS 4.2. learning enable/disable : esta opcin permite inhabilitar el aprendizaje en el puerto de destino. El aprendizaje est habilitado de manera predeterminada y el puerto de destino aprende las direcciones MAC de los paquetes entrantes que recibe. Esta funcin se encuentra en CatOS 5.2 en los Catalyst 4500/4000 y 5500/5000, y en CatOS 5.3 en el Catalyst 6500/6000. multicast enable/disable : como su nombre sugiere, esta opcin permite habilitar o inhabilitar la supervisin de los paquetes multidifusin. El valor predeterminado es habilitar. Esta funcin tambin est disponible en los Catalyst 5500/5000 y 6500/6000, CatOS 5.1 y versiones posteriores. spanning port 15/1: en el Catalyst 6500/6000, puede utilizar el puerto 15/1 (o 16/1) como origen SPAN. El puerto puede controlar el trfico reenviado a la tarjeta de funcin del switch multicapa (MSFC). El puerto captura el trfico que es router o dirigido por el software a la MSFC.
SPAN remoto
Informacin general sobre RSPAN RSPAN le permite supervisar los puertos de origen distribuidos en una red conmutada, no slo de forma local en un switch con SPAN. Esta funcin se encuentra en CatOS 5.3 en los switches Catalyst de las series 6500/6000 y se ha agregado en los switches Catalyst de las series 4500/4000 en CatOS 6.3 y versiones posteriores. La funcionalidad tiene un funcionamiento exactamente igual a una sesin SPAN normal. El trfico supervisado por SPAN, no se copia directamente en el puerto de destino, sino que es llevado a una VLAN de RSPAN especial. El puerto de destino puede ubicarse en cualquier lugar de esta VLAN RSPAN. Pueden haber incluso varios puertos de destino. Este diagrama ilustra la estructura de una sesin RSPAN:
En este ejemplo, se configura una RSPAN para que supervise el trfico que enva un host A. Cuando A genera una trama dirigida a B, se copia el paquete mediante un circuito integrado de aplicacin especfica (ASIC) de la tarjeta de funcin de poltica (PFC) de Catalyst 6500/6000 en una VLAN RSPAN predefinida. Desde all, el paquete se transmite por todos los puertos que pertenecen a la VLAN RSPAN. Todos los enlaces entre switches que se muestran aqu son troncales, ya que es un requisito de RSPAN. Los nicos puertos de acceso son los puertos de destino, en los que se conectan los rastreadores (en este caso, S4 y S5). A continuacin, algunos comentarios sobre el diseo: S1 se conoce como switch de origen. Los paquetes slo entran en la VLAN RSPAN en switches configurados como RSPAN de origen. Actualmente, un switch slo puede ser origen de una sesin RSPAN, es decir que un switch de origen slo puede alimentar una VLAN RSPAN a la vez. S2 y S3 son switches intermedios. No son RSPAN de origen y no tienen puertos de destino. Un switch puede actuar como intermediario para cualquier nmero de sesiones RSPAN. Los switches S4 y S5 son switches de destino. Algunos de sus puertos estn configurados para ser destino para una sesin RSPAN. Actualmente, Catalyst 6500/6000 puede tener hasta 24 puertos de destino RSPAN, para una o varias sesiones diferentes. Podr notar tambin que S4 es un switch de destino e intermedio. Como puede ver, los paquetes RSPAN se transportan a la RSPAN VLAN. Incluso los switches que no se encuentran en la ruta hacia un puerto de destino, como el S2, reciben el trfico de RSPAN VLAN. Es posible que le parezca til recortar esta VLAN en esos enlaces S1S2. La saturacin se consigue mediante la inhabilitacin del aprendizaje en la VLAN RSPAN. Para evitar bucles, el STP se ha conservado en la VLAN RSPAN. Por lo tanto, RSPAN no puede supervisar las unidades de datos del protocolo de puente (BDPU). Ejemplo de configuracin de RSPAN La informacin que se describe en esta seccin ilustra la configuracin de estos elementos diferentes con un diseo muy simple de RSPAN. S1 y S2 son dos switches Catalyst 6500/6000. Para supervisar algunos puertos S1 o VLAN de S2, debe configurar una VLAN RSPAN dedicada. El resto de los comandos posee una sintaxis muy similar a la que se utiliza en una sesin SPAN tpica.
Configuracin troncal ISL entre los dos switches S1 y S2 Para comenzar, coloque el mismo dominio de Protocolo de troncal VLAN (VTP) en cada switch y configure un lado como conexin troncal deseable. La negociacin VTP hace el resto. Ejecute este comando en S1:
S1> (enable) set vtp domain cisco VTP domain cisco modified
Creacin de la VLAN RSPAN Una sesin RSPAN requiere una VLAN RSPAN especfica. Debe crear esta VLAN. No es posible convertir una VLAN existente en una VLAN RSPAN. Este ejemplo utiliza la VLAN 100:
S2> (enable) set vlan 100 rspan Vlan 100 configuration successful
Ejecute este comando en un switch configurado como servidor VTP. El conocimiento de RSPAN VLAN 100 se propaga automticamente en todo el dominio VTP. Configuracin del puerto 5/2 de S2 como puerto de destino RSPAN
S2> (enable) set rspan destination 5/2 100 Rspan Type : Destination Destination : Port 5/2 Rspan Vlan : 100 Admin Source : Oper Source : Direction : Incoming Packets: disabled Learning : enabled Multicast : Filter : Status : active 2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session active for destination port 5/2
Configuracin de puerto de origen RSPAN en S1 En este ejemplo, se controla el trfico que entra en S1 por el puerto 6/2. Ejecute este comando:
S1> (enable) set rspan source 6/2 100 rx Rspan Type : Source Destination : Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2
Direction : receive Incoming Packets: Learning : Multicast : enabled Filter : Status : active S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span source session active for remote span vlan 100
Todos los paquetes entrantes en el puerto 6/2 ahora se transportan a la RSPAN VLAN 100 y llegan al puerto de destino configurado en S1 mediante el troncal. Verificacin de la configuracin El comando show rspan proporciona un resumen de la configuracin RSPAN actual en el switch. Nuevamente, slo puede haber una sesin RSPAN de origen a la vez.
S1> (enable) show rspan Rspan Type : Source Destination : Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2 Direction : receive Incoming Packets: Learning : Multicast : enabled Filter : Status : active Total remote span sessions: 1
Otras configuraciones posibles con el comando set rspan Consulte set rspan para obtener una lista completa de las opciones del comando set rspan. Se utilizan varias lneas de comandos para configurar el origen y el destino con RSPAN. Aparte de esta diferencia, SPAN y RSPAN realmente se comportan de la misma manera. Incluso puede utilizar RSPAN localmente, en un solo switch, si desea tener varios puertos SPAN de destino. Consulte la seccin RSPAN Configuration Guidelines (Pautas para la configuracin de RSPAN) de Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) para obtener una lista de las restricciones que se aplican a la configuracin de RSPAN.
Esta tabla ofrece un resumen de las restricciones actuales sobre la cantidad de posibles sesiones de SPAN: Rangos de switches Catalyst Rangos de switches Catalyst
Funcin
5500/5000 2 4
No admitidos
No admitidos
5 5
No admitidos 5
Consulte los siguientes documentos para conocer las restricciones adicionales y las pautas de configuracin: Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 4500/4000) Configuring SPAN (Configuracin de SPAN) (Catalyst 5500/5000) Configuring SPAN, RSPAN and the Mini Protocol Analyzer (Configuracin de SPAN, RSPAN y el analizador de miniprotocolos) (Catalyst 6500/6000)
SPAN en los switches Catalyst de las series 2940, 2950, 2955, 2970, 3550, 3560 y 3750
A continuacin, se describen las pautas para configurar la funcin SPAN en los switches Catalyst de las series 2940, 2950, 2955, 2970, 3550, 3560 y 3750: Los switches Catalyst 2950 slo pueden tener una sesin SPAN activa a la vez y pueden supervisar nicamente puertos de origen. Estos switches no pueden supervisar VLAN. Los switches Catalyst 2950 y 3550 pueden reenviar trfico en un puerto de destino SPAN en la versin 12.1(13)EA1 y posteriores del software Cisco IOS. Los switches Catalyst 3550, 3560 y 3750 pueden admitir hasta dos sesiones SPAN a la vez y pueden supervisar tantos puertos de origen como VLAN. Los switches Catalyst 2970, 3560 y 3750 no requieren la configuracin de un puerto reflector al configurar una sesin RSPAN. Los switches Catalyst 3750 admiten la configuracin de sesin mediante el uso de puertos de origen y destino que residen en cualquiera de los miembros de pila del switch. Slo se permite un puerto de destino por sesin SPAN y un mismo puerto no puede ser un puerto de destino para sesiones SPAN distintas. Por lo tanto, no puede tener dos sesiones SPAN que utilicen el mismo puerto de destino. Los comandos de configuracin de la funcin SPAN son similares en los Catalyst 2950 y Catalyst 3550. Sin embargo, el Catalyst 2950 no puede supervisar las VLAN. Puede configurar el SPAN, como se muestra en este ejemplo:
C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastethernet 0/2 !--- Esto configura la interfaz Fast Ethernet 0/2 como puerto de origen. C2950(config)#monitor session 1 destination interface fastethernet 0/3
!--- Esto configura la interfaz Fast Ethernet 0/3 como puerto de destino. C2950(config)# C2950#show monitor session 1 Session 1 --------Source Ports: RX Only: None TX Only: None Both: Fa0/2 Destination Ports: Fa0/3 C2950#
Tambin puede configurar un puerto como destino para el SPAN y RSPAN local del mismo trfico de VLAN. Para supervisar el trfico de una VLAN determinada que reside en dos switches directamente conectados, configure estos comandos en el switch que tiene el puerto de destino. En este ejemplo, supervisamos el trfico de VLAN 5 que se propaga a dos switches:
c3750(config)#monitor session 1 source vlan < Remote RSPAN VLAN ID > c3750(config)#monitor session 1 source vlan 5 c3750(config)#monitor session 1 destination fastethernet 0/3 !--- Esto configura la interfaz FastEthernet 0/3 como puerto de destino.
En el ejemplo anterior, se configur un puerto como puerto de destino tanto para el SPAN como RSPAN local a fin de supervisar el trfico de la misma VLAN que reside en los dos switches. Nota: a diferencia de los switches de las series 2900XL y 3500XL, los switches Catalyst de las series 2940, 2950, 2955, 2970, 3550, 3560 y 3750 admiten SPAN en el trfico del puerto de origen, slo en la direccin Rx (Rx SPAN o SPAN de ingreso), slo en la direccin Tx (Tx SPAN o SPAN de egreso) o en ambas. Nota: los comandos de la configuracin no se admiten en los switches Catalyst 2950 con la versin 12.0(5.2)WC(1) del software Cisco IOS o cualquier software anterior a la versin 12.1(6)EA2 del software Cisco IOS. Consulte la seccin Enabling Switch Port Analyzer (Habilitacin del Analizador de puerto conmutado) de Managing Switches (Administracin de switches) para configurar SPAN en un Catalyst 2950 con software anterior a la versin 12.1(6)EA2 del software Cisco IOS. Nota: los switches Catalyst 2950 que utilizan la versin 9(12.1)EA1 del software Cisco IOS y versiones anteriores a la versin 12.1 del software Cisco IOS admiten SPAN. Sin embargo, todos los paquetes que se ven en el puerto de destino SPAN (conectado al dispositivo rastreador o PC) tienen una etiqueta IEEE 802.1Q, an cuando el puerto de origen SPAN (puerto supervisado) no es un puerto troncal 802.1Q. Si el dispositivo rastreador o la tarjeta de interfaz de red (NIC) del PC no entiende los paquetes etiquetados 802.1Q, es posible que el dispositivo descarte los paquetes o tenga dificultades al intentar descodificarlos. La capacidad de ver las tramas etiquetadas 802.1Q nicamente es importante cuando el puerto de origen SPAN es un puerto troncal. Con la versin 12.1(11)EA1 y posteriores del software Cisco IOS, puede habilitar e inhabilitar el etiquetado de los paquetes en el puerto de destino SPAN. Ejecute el comando monitor session session_number destination interface interface_id encapsulation dot1q para habilitar la encapsulacin de los paquetes en el puerto de destino. Si no especifica la palabra clave de la encapsulacin, los paquetes se envan sin etiquetado, lo cual est predeterminado en la versin 12.1(11)EA1 y posteriores del software Cisco IOS. Funcin Opcin de ingreso (inpkts) enable/disable RSPAN Catalyst 2950/3550 Versin 12.1(12c)EA1 del software Cisco IOS Versin 12.1(12c)EA1 del software Cisco IOS
Funcin
3560, 3750 Rx o ambas sesiones SPAN Sesiones Tx SPAN Rx, Tx o ambas sesiones de origen RSPAN Destino RSPAN Total de sesiones 2 2 2 2 2
Los switches Catalyst 2940 slo admiten el SPAN local. RSPAN no es compatible con esta plataforma.
Consulte las guas de configuracin si desea obtener ms informacin sobra la configuracin de SPAN y RSPAN: Configuring SPAN (Configuracin de SPAN) (Catalyst 2940) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 2950 y 2955) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 2970) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 3550) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 3560) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 3750)
SPAN en los switches Catalyst de las series 4500/4000 y Catalyst 6500/6000 que ejecutan el software del sistema Cisco IOS
Los switches Catalyst de las series 4500/4000 y Catalyst 6500/6000 que ejecutan el software de sistema de Cisco IOS admiten la funcin SPAN. Las dos plataformas de estos switches utilizan la misma interfaz de lnea de comando (CLI) y una configuracin que es similar a la configuracin que se describe en la seccin SPAN en los switches Catalyst de las series 2940, 2950, 2955, 2970, 3550, 3560 y 3750. Consulte los siguientes documentos para obtener informacin sobre la configuracin relacionada: Configuring Local SPAN and RSPAN (Configuracin de SPAN y RSPAN de forma local) (Catalyst 6500 y 6000) Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 4500/4000)
Ejemplo de configuracin
Puede configurar el SPAN, como se muestra en este ejemplo:
4507R#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 4507R(config)#monitor session 1 source interface fastethernet 4/2 !--- Esto configura la interfaz Fast Ethernet 4/2 como puerto de origen. 4507R(config)#monitor session 1 destination interface fastethernet 4/3 !--- Esto configura la interfaz Fast Ethernet 0/3 como puerto de destino.
4507R#show monitor session 1 Session 1 --------Type : Local Session Source Ports : Both : Fa4/2
Opcin de ingreso (inpkts) Versin 12.1(19)EW del enable/disable software Cisco IOS RSPAN Versin 12.1(20)EW del software Cisco IOS
La funcin no est disponible actualmente y la disponibilidad de estas funciones generalmente no se publica hasta el lanzamiento.
Nota: la funcin SPAN de los switches Cisco Catalyst de las series 6500/6000 tienen una limitacin con respecto al protocolo PIM. Cuando se configura un switch tanto para PIM como para SPAN, el analizador de red/rastreador conectado al puerto de destino SPAN puede ver los paquetes PIM que no forman parte del puerto de origen SPAN/trfico de VLAN. Este problema se produce por una limitacin en la arquitectura de reenvo de paquetes del switch. El puerto de destino SPAN no realiza ninguna comprobacin para verificar el origen de los paquetes. Este problema tambin se documenta en el ID de error CSCdy57506 ( slo para clientes registrados) de Cisco. En esta tabla se ofrece un breve resumen de las restricciones actuales en la cantidad de posibles sesiones SPAN y RSPAN: Funcin Rx o ambas sesiones SPAN Sesiones Tx SPAN Rx, Tx o ambas sesiones de origen RSPAN Destino RSPAN Total de sesiones Catalyst 4500/4000 (software Cisco IOS) 2 4 2 (Rx, Tx o ambos) y hasta 4 para Tx nicamente 2 6
Consulte Local SPAN, RSPAN, and ERSPAN Session Limits (Lmites de las sesiones locales SPAN, RSPAN y ERSPAN) para los switches Catalyst 6500/6000 que ejecutan el software Cisco IOS. Consulte los siguientes documentos para conocer las restricciones adicionales y las pautas de configuracin: Configuring SPAN and RSPAN (Configuracin de SPAN y RSPAN) (Catalyst 4500/4000) Configuring Local SPAN, Remote SPAN (RSPAN), and Encapsulated RSPAN (Configuracin de SPAN local, SPAN (RSPAN) remoto y RSPAN encapsulado) (Catalyst 6500/6000)
Los puertos del switch estn conectados a satlites que se comunican con una estructura de conmutacin mediante canales radiales. En la parte superior, todos los satlites se interconectan a travs de un anillo notificador de alta velocidad, dedicado al trfico de sealizacin. Cuando un satlite recibe un paquete de un puerto, lo divide en celdas y lo enva a la estructura de conmutacin a travs de uno o ms canales. Luego se almacena el paquete en la memoria compartida. Cada satlite tiene conocimiento de los puertos de destino. En el diagrama de esta seccin, el satlite 1 sabe que los satlites 3 y 4 recibirn el paquete X. El satlite 1 enva un mensaje a los dems satlites mediante el anillo notificador. A continuacin, los satlites 3 y 4 pueden empezar a recuperar las celdas de la memoria compartida mediante su canal radial y, en caso necesario, reenviar el paquete. Debido a que el satlite de origen conoce el destino, este satlite tambin transmite un ndice que especifica la cantidad de veces que los dems satlites descargan ese paquete. Cada vez que un satlite recupera el paquete de la memoria compartida, este ndice disminuye. Cuando el ndice llega a cero, se puede liberar la memoria compartida. Impacto en el rendimiento Para supervisar algunos puertos con SPAN, debe copiarse un paquete del bfer de datos a un satlite una vez ms. El impacto en la estructura de conmutacin de alta velocidad es despreciable. El puerto de supervisin recibe copias del trfico transmitido y recibido para todos los puertos supervisados. En esta arquitectura, un paquete con mltiples destinos es almacenado en memoria hasta que se hayan reenviado todas las copias. Si el puerto de supervisin tiene un exceso de suscriptores del 50 por ciento durante un periodo de tiempo continuado, es probable que el puerto se congestione y se quede parte de la memoria compartida. Existe la posibilidad de que uno o ms puertos supervisados tambin experimenten una cada.
En un Catalyst 4500/4000, puede distinguir el trayecto de los datos. El trayecto de los datos corresponde a la transferencia real de datos dentro del switch, desde el trayecto de control, donde se toman todas las decisiones. Cuando un paquete entra en el switch, se asigna un bfer a la memoria bfer del paquete (una memoria compartida). La estructura de un paquete que apunta a este bfer se inicializa en la Tabla descriptora del paquete (PDT). Mientras se copian los datos en la memoria compartida, el trayecto de control determina donde conmutar el paquete. Para llevar a cabo esta determinacin, se computa un valor de hash a partir de esta informacin: La direccin de origen del paquete Direccin de destino VLAN Tipo de protocolo Puerto de entrada Clase de servicio (CoS) (etiqueta IEEE 802.1p o puerto predeterminado) Este valor se utiliza para encontrar el ndice de trayecto virtual (VPI) de una estructura de trayecto en la tabla de trayecto virtual (VPT). Esta entrada de trayecto virtual en el VPT contiene varios campos relacionados con este flujo particular. Este campo incluye los puertos de destino. La estructura de paquetes en la PDT es actualizada con una referencia al trayecto virtual y al contador. En el ejemplo que se muestra en esta seccin, se debe transmitir el paquete a dos puertos diferentes, de manera que el contador se inicializa en 2. Finalmente, la estructura del paquete se agrega a la cola de salida de los dos puertos de destino. Desde all, los datos se copian desde la memoria compartida al bfer de salida del puerto y el contador de estructura del paquete disminuye. Cuando llega a cero, el bfer de la memoria compartida se libera. Impacto en el rendimiento Con el uso de la funcin SPAN, se debe enviar un paquete a dos puertos diferentes, como se muestra en el ejemplo de la seccin Descripcin general de la arquitectura. El envo del paquete a dos puertos no es un problema porque el entramado de conmutacin es no bloqueante. Si el puerto SPAN de destino est congestionado, los paquetes se colocan en la cola de salida y se liberan correctamente de la memoria compartida. Por lo tanto, la operacin del switch no se ve afectada.
Impacto del rendimiento Ya sea que uno o varios puertos transmitan finalmente el paquete, no influye en absoluto sobre la operacin del switch. Por lo tanto, si se tiene en cuenta esta arquitectura, la funcin SPAN no tiene efecto en el rendimiento.
Hay dos switches de ncleo que estn enlazados mediante un troncal. En este ejemplo, cada switch tiene varios servidores, clientes u otros puentes conectados a ellos. El administrador desea controlar la VLAN 1, que aparece en varios puentes con SPAN. El administrador crea una sesin SPAN que controla toda la VLAN 1 en cada switch de ncleo y, para fusionar estas dos sesiones, conecta el puerto de destino al mismo concentrador (o al mismo switch, utilizando otra sesin SPAN). De esta manera, el administrador consigue su objetivo. Cada paquete individual que recibe el switch de ncleo en la VLAN 1 se duplica en el puerto SPAN y se reenva al concentrador. Finalmente un rastreador captura el trfico. El nico problema es que el trfico tambin entra de nuevo en el ncleo 2 a travs del puerto de destino SPAN. Esto crea un bucle de conexin en puente en la VLAN 1. Recuerde que un puerto de destino SPAN no ejecuta el STP y no puede prevenir ese bucle.
Nota: debido a la introduccin de las opciones inpkts (paquetes de entrada) en CatOS, un puerto de destino SPAN descarta todos los paquetes entrantes de manera predeterminada; por lo tanto, evita esta situacin de fallo. Sin embargo, el problema potencial sigue todava presente en los switches Catalyst de las series 2900XL/3500XL. Nota: aun cuando la opcin inpkts impide el bucle, la configuracin que muestra esta seccin puede provocar algunos problemas en la red. Los problemas en la red se pueden producir debido a los problemas de aprendizaje de la direccin MAC que estn asociados con la habilitacin del aprendizaje en el puerto de destino.
Channel port cannot be a Monitor Destination Port Failed to configure span feature
Los Supervisor Engine tienen un lmite de sesiones SPAN. Consulte la seccin Local SPAN, RSPAN, and ERSPAN Session Limits (Lmites de las sesiones locales SPAN, RSPAN y ERSPAN) de Configuring Local SPAN, RSPAN, and ERSPAN (Configuracin local de SPAN, RSPAN y ERSPAN) para obtener ms informacin.
No es posible eliminar una sesin SPAN en el mdulo de servicio VPN con el error "% Session [Session No:] Used by Service Module"
Ante este problema, el mdulo de Red virtual privada (VPN) se inserta en el chasis, en el que ya se ha introducido un mdulo de entramado del switch. El software Cisco IOS crea automticamente una sesin SPAN para el mdulo de servicio VPN para gestionar el trfico multidifusin. Ejecute este comando para eliminar la sesin SPAN que crea el software para el mdulo de servicio VPN:
Switch(config)#no monitor session session_number service-module
Si el switch recibe un paquete corrupto, el puerto de ingreso, por lo general, lo descarta. Por lo tanto, no se ve el paquete en el puerto de egreso. Un switch no es totalmente transparente en lo que se refiere a la captura de trfico. De manera similar, cuando se ve un paquete corrupto en el dispositivo de rastreo (sniffer) en la situacin descrita en esta seccin, podr reconocer que los errores fueron generados en el paso 3 en el segmento de egreso. Si cree que un dispositivo enva paquetes corruptos, puede optar por colocar el host remitente y el dispositivo de rastreo en un concentrador. El concentrador no realiza ninguna comprobacin de errores. Por lo tanto, a diferencia del switch, el concentrador no descarta los paquetes. De esta manera, puede visualizar los paquetes.
Cuando hay una tarjeta de firewall en el chasis de Catalyst 6500, esta sesin se instala automticamente para soporte de la replicacin multidifusin de hardware, ya que un FWSM no puede replicar secuencias de multidifusin. Si las secuencias de multidifusin con origen detrs del FWSM deben replicarse en la capa 3 a varias tarjetas de lnea, la sesin automtica copia el trfico en el supervisor a travs de un canal de estructura. Si tiene un origen de multidifusin que genera una secuencia de multidifusin de detrs de FWSM, necesita el reflector SPAN reflector. Si coloca el origen de multidifusin en la VLAN externa, el reflector SPAN no es necesario. Este reflector no es compatible con BPDU en puente a travs de FWSM. Puede utilizar el comando no monitor session service module para inhabilitar el reflector SPAN.
Pueden una sesin SPAN y una RSPAN tener el mismo ID dentro del mismo switch?
No, no es posible utilizar el mismo ID de sesin para una sesin SPAN normal y una sesin RSPAN de destino. Cada sesin SPAN y RSPAN deben tener un ID de sesin distinto.
Pueden una sesin de origen RSPAN y la sesin de destino existir en el mismo switch Catalyst?
No. RSPAN no funciona cuando la sesin de origen RSPAN y la sesin de destino RSPAN se encuentran en el mismo switch. Si una sesin de origen RSPAN se configura con una determinada VLAN RSPAN y se configura en el mismo switch una sesin de destino RSPAN para VLAN RSPAN, el puerto de destino de la sesin de destino RSPAN no transmitir los paquetes capturados de la sesin de origen RSPAN debido a limitaciones de hardware. Esto no se admite en los switches de las series 4500 y 3750. Este problema tambin se documenta en el ID de error de funcionamiento CSCeg08870 ( slo para clientes registrados) de Cisco. A continuacin se muestra un ejemplo:
1 1 2 2
source interface Gi6/44 destination remote vlan 666 destination interface Gi6/2 source remote vlan 666
1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generacin del PDF: 23 Junio 2008 http://www.cisco.com/cisco/web/support/LA/7/73/73714_41.html