在实际的网络环境中，当网络出现故障，或者是某些时候我们要对整个网络流入流出的数据流进行抓包分析的时候，在以前，可能我们都会用到HUB（集线器）这个设备连接到网络中进行数据抓包，因为我们如果直接接到内网的交换机上进行数据抓包，无法抓取组播和单播的流量，所以通过HUB这么一条设备连接，因为HUB收到数据以后会进行泛洪，这样，所有连接到HUB上的设备都可以收到流入流出的数据，但是这样一个操作太过于麻烦，因为在连接HUB的过程中，需要改变物理连接，实际的网络环境中通常是不被接受的；另一方面，无法基于自己想要抓取的数据做限制，比如，我只想抓取流入或者是流出的数据流的时候，HUB显然是做不到的，这个时候就可以用到一个交换技术--Remote SPAN（远程端口镜像），如图所示：

网络拓扑

GW设备上起环回口模拟外网，并且配置telnet用于登录测试，交换机上创建vlan10，该vlan用于承载流入流出的数据流，任何接口不能划分进此vlan，de PC4是内网的一台主机，用路由器模拟，PC5是运行wareshark抓包软件的主机，用于抓取PC4到GW设备间流经流出的数据流量。

第一步，如图规划各设备ip地址

第二步，做关于SPAN的配置，SPAN里面会涉及源目端口的概念：

源端口：数据流入流出的端口

目的端口：接收数据流量的端口

拓扑

接下来做配置：

SW1(config)#vlan 10--创建vlan

SW1(config-vlan)#remote-span---设置为承载端口镜像流量端口

SW1(config-vlan)#exit---退出

SW1(config)#monitor session 1 source interface e0/0 - 1----创建一个会话，指定源端口为e0/0和e0/1端口（可以单独指定一个）后面还可以跟其他的参数：

SW1(config)#monitor session 1 source interface e0/0 - 1 ?

, Specify another range of interfaces

both Monitor received and transmitted traffic-----流入流出的流量

rx Monitor received traffic only-----接收的流量

tx Monitor transmitted traffic only----发出的流量

交换机间连接的接口打trunk

SW1：

SW1(config)#int e0/2

SW1(config-if)#switchport trunk encapsulation dot1q

SW1(config-if)#switchport mode trunk

SW1(config-if)#exit

SW3：

SW3(config)#int range e0/0 - 1

SW3(config-if-range)#switchport trunk encapsulation dot1q

SW3(config-if-range)#switchport mode trunk

SW3(config-if-range)#exit

SW2：

SW2(config)#int e0/1

SW2(config-if)#switchport trunk encapsulation dot1q

SW2(config-if)#switchport mode trunk

然后SW2上做配置：

SW2(config)#monitor session 1 source remote vlan 10---接收vlan10的流量

SW2(config)#monitor session 1 destination interface e0/0---将流量注入连接wareshark主机的E0/0接口

GW上配置telnet

GW(config)#username thinkmo password thinkmo

GW(config)#line vty 0 4

GW(config-line)#login local

GW(config-line)#transport input telnet

GW(config-line)#exit

最后在PC5的E0/0口打开抓包，用PC4去telnet GW抓包测试

抓包1

抓包2

抓包3

抓包4

抓包5

抓包6

抓包7

登录界面

追踪流

以上就是关于远程端口镜像（remote-span）的配置，但是需要注意，当数据流量比较大的时候，应考虑到接收端口的负载能力，一旦超出接口负载能力，可能会导致网络崩溃，谢谢！