Span, RSPan i Erspan to techniki stosowane w sieci do przechwytywania i monitorowania ruchu do analizy. Oto krótki przegląd każdego:
Span (przełączany analizator portów)
Cel: Służy do odzwierciedlenia ruchu z określonych portów lub VLAN w przełączniku do innego portu w celu monitorowania.
Przypadek użycia: Idealny do lokalnej analizy ruchu na jednym przełączniku. Ruch jest odzwierciedlony do wyznaczonego portu, w którym analizator sieci może go uchwycić.
RSPan (rozpiętość zdalna)
Cel: Rozszerza możliwości rozpiętości na wiele przełączników w sieci.
Przypadek użycia: umożliwia monitorowanie ruchu z jednego przełącznika do drugiego przez link bagażnika. Przydatne w scenariuszach, w których urządzenie monitorujące znajduje się na innym przełączniku.
ERSPAN (kapsułkowane zdalne rozpiętość)
CEL: Łączy RSPAN z GRE (ogólne enkapsulacja routingu), aby zawrzeć lustrzany ruch.
Przypadek użycia: pozwala na monitorowanie ruchu w sieciach rozmiarowych. Jest to przydatne w złożonych architekturach sieciowych, w których ruch należy przechwytywać w różnych segmentach.
Switch Port Analyzer (Span) to wydajny system monitorowania ruchu o wysokiej wydajności. Kieruje lub odzwierciedla ruch z portu źródłowego lub VLAN do portu docelowego. Jest to czasami określane jako monitorowanie sesji. Span jest używany do rozwiązywania problemów z łącznością oraz obliczania wykorzystania i wydajności sieci, między innymi. Istnieją trzy rodzaje rozpiętości obsługiwanych na produktach Cisco…
A. Rozpiętość lub lokalna rozpiętość.
B. Remote Span (RSPAN).
C. Zakapulowany zdalny rozpiętość (ERSPAN).
Wiedzieć: "Mylinking ™ Network Packet Broker z funkcjami Span, RSPan i"
Lustra / lustrzanie portów w zakresie rozpiętości / ruchu jest używane do wielu celów, poniżej obejmuje niektóre.
- Wdrażanie IDS/IPS w trybie rozwiązłego.
- Rozwiązania nagrywania połączeń VoIP.
- Przyczyny zgodności bezpieczeństwa do monitorowania i analizy ruchu.
- Rozwiązywanie problemów z problemami z połączeniem, monitorowanie ruchu.
Niezależnie od uruchomionego typu rozpiętości, źródło rozpiętości może być dowolnym rodzajem portu, tj. Port ROUTED, fizyczny port przełącznika, port dostępu, bagażnik, VLAN (wszystkie aktywne porty są monitorowane w przełączniku), etherChannel (albo port lub całe interfejsy kanału portu) itp.
Sesje rozpiętości obsługują monitorowanie ruchu wnikania (rozpiętość wnikania), ruch wyjścia (rozpiętość wyjścia) lub ruch przepływający w obu kierunkach.
- Ingress Span (RX) Kopiowanie ruchu odbierane przez porty źródłowe i VLAN do portu docelowego. Rozpiętości kopie ruch przed jakąkolwiek modyfikacją (na przykład przed filtrem Vacl lub ACL, QoS lub ingress lub egress policjant).
- Egress Span (TX) kopiuje ruch przesyłany z portów źródłowych i VLAN do portu docelowego. Wszystkie odpowiednie filtrowanie lub modyfikacja przez filtr VACL lub ACL, QoS lub Ingress lub Egress Policing Actions są podejmowane przed przełącznikiem przełączania ruchu do portu docelowego.
- Gdy używane jest oba słowo kluczowe, przepanuje ruch sieciowy odbierany i przesyłany przez porty źródłowe i VLAN do portu docelowego.
- Span/Rspan zwykle ignoruje ramki CDP, STP BPDU, VTP, DTP i PAGP. Jednak te typy ruchu można przekazać, jeśli skonfigurowane zostanie polecenie replikowania enkapsulacji.
Rozpiętość lub lokalna rozpiętość
Span odzwierciedla ruch z jednego lub więcej interfejsu na przełączniku do jednego lub więcej interfejsów na tym samym przełączniku; Stąd rozpiętość jest głównie określana jako lokalna rozpiętość.
Wytyczne lub ograniczenia dotyczące rozpiętości lokalnych:
- Zarówno porty przełączane warstwy 2, jak i porty warstwy 3 można skonfigurować jako porty źródłowe lub docelowe.
- źródłem może być jeden lub więcej portów lub VLAN, ale nie ich mieszanka.
- Porty bagażnika to prawidłowe porty źródłowe zmieszane z portów źródłowych innych niż bagażnik.
- Do 64 portów docelowych można skonfigurować na przełączniku.
- Po konfiguracji portu docelowego jego oryginalna konfiguracja jest zastąpiona. Jeśli konfiguracja rozpiętości zostanie usunięta, oryginalna konfiguracja tego portu jest przywrócona.
- Po skonfigurowaniu portu docelowego port jest usuwany z dowolnego pakietu EtherChannel, jeśli był on częścią jednego. Jeśli byłby to port ROUTED, konfiguracja docelowa Span zastępuje konfigurację portu kierowanego.
- Porty docelowe nie obsługują bezpieczeństwa portów, uwierzytelniania 802.1x ani prywatnych VLAN.
- Port może działać jako port docelowy tylko dla jednej sesji spanów.
- Port nie może być skonfigurowany jako port docelowy, jeśli jest to port źródłowy sesji spanowania lub części źródła VLAN.
- Interfejsy kanału portu (EtherChannel) można skonfigurować jako porty źródłowe, ale nie port docelowy dla Span.
- Kierunek ruchu jest domyślnie „oba” dla źródeł rozpiętości.
- Porty docelowe nigdy nie biorą udziału w instancji drzewa rozprzestrzeniania się. Nie można obsługiwać DTP, CDP itp. Lokalne rozpiętość obejmuje BPDU w monitorowanym ruchu, więc każdy BPDU obserwowany w porcie docelowym jest kopiowany z portu źródłowego. Dlatego nigdy nie podłącz przełącznika do tego rodzaju rozpiętości, ponieważ może to spowodować pętlę sieciową. Narzędzia AI poprawi wydajność pracy iniewykrywalny AIObsługa może poprawić jakość narzędzi AI.
- Gdy VLAN jest skonfigurowana jako źródło rozpiętości (zwane głównie VSPAN) z skonfigurowanymi opcjami Ingress i Egress, przekazuj zduplikowane pakiety z portu źródłowego tylko wtedy, gdy pakiety zostaną przełączone w tej samej VLAN. Jedna kopia pakietu pochodzi z ruchu wnikowego na porcie Ingress, a druga kopia pakietu pochodzi z ruchu wyjścia na porcie wyjściowym.
- VSPAN monitoruje tylko ruch, który opuszcza lub wchodzi do portów warstwy 2 w VLAN.
Remote Span (RSPan)
Remote Span (RSPAN) jest podobny do Span, ale obsługuje porty źródłowe, sieci VLAN i porty docelowe na różnych przełącznikach, które zapewniają ruch zdalny z portów źródłowych dystrybuowanych na wielu przełącznikach i umożliwia docelową centralizację urządzeń przechwytywania sieci. Każda sesja RSPAN przenosi ruch rozprzestrzeniania się nad dedykowanym przez użytkownikiem dedykowanym VLAN RSPAN we wszystkich uczestniczących przełącznikach. Ta VLAN jest następnie bagażona na inne przełączniki, umożliwiając transport ruchu sesji RSPAN przez wiele przełączników i dostarczenie do stacji przechwytywania miejsca docelowego. RSPan składa się z sesji źródłowej RSPAN, RSPAN VLAN i sesji docelowej RSPAN.
Wytyczne lub ograniczenia dla RSPAN:
- Dokonany przeznaczenia VLAN należy skonfigurować dla miejsca docelowego, który przechodzi przez przełączniki pośrednie za pośrednictwem linków bagażnika w kierunku portu docelowego.
- Może utworzyć ten sam typ źródła - co najmniej jeden port lub przynajmniej jeden VLAN, ale nie może być mieszanką.
- Ideal sesji jest RSPAN VLAN, a nie pojedynczy port w przełączniku, więc wszystkie porty w RSPan VLAN otrzymają lustrzany ruch.
- Skonfiguruj dowolną VLAN jako VLAN RSPAN, o ile wszystkie uczestniczące urządzenia sieciowe obsługują konfigurację RSPan VLAN i użyj tego samego RSPAN VLAN dla każdej sesji RSPAN
- VTP może propagować konfigurację VLAN ponumerowanych od 1 do 1024 jako RSPAN VLAN, musi ręcznie skonfigurować VLAN o numerach wyższych niż 1024 jako RSPAN VLAN na wszystkich urządzeniach sieciowych, pośrednich i docelowych.
- Uczenie się adresu MAC jest wyłączone w RSPAN VLAN.
Zakapulowany zdalny rozpiętość (Erspan)
Zakapulowane zdalne rozpiętość (ERSPAN) zapewnia ogólne enkapsulacja routingu (GRE) dla całego przechwyconego ruchu i pozwala na rozszerzenie go na domeny warstwy 3.
Erspan jestCisco zastrzeżoneFunkcja i jest dostępna tylko dla platform Catalyst 6500, 7600, Nexus i ASR 1000. ASR 1000 obsługuje źródło ERSPAN (monitorowanie) tylko na szybkich interfejsach Ethernet, Gigabit Ethernet i ankietach portowych.
Wytyczne lub ograniczenia dla Erspan:
- Sesje źródłowe Erspan nie kopiują ruchu z zasypaniami Erspan z portów źródłowych. Każda sesja źródłowa ERSPAN może mieć porty lub VLAN jako źródła, ale nie oba.
- Niezależnie od skonfigurowanego rozmiaru MTU, Erspan tworzy pakiety warstwy 3, które mogą być tak długie jak 9 202 bajtów. Ruch ERSPAN może być upuszczony według dowolnego interfejsu w sieci, który wymusza rozmiar MTU mniejszy niż 9 202 bajtów.
- ERSPAN nie obsługuje fragmentacji pakietów. Bit „Not Fragment” jest ustawiony w nagłówku IP pakietów Ersan. Sesje docelowe ERSPAN nie mogą ponownie złożyć fragmentarycznych pakietów Erspan.
- Identyfikator ERSPAN wyróżnia ruch ERSPAN, który przybywa na ten sam docelowy adres IP z różnych sesji źródłowych ERSPAN; Skonfigurowany identyfikator ERSPAN musi pasować do urządzeń źródłowych i docelowych.
- W przypadku portu źródłowego lub VLAN źródłowego ERSPan może monitorować wnikanie, wyjście lub ruch wnikowy i wyjściowy. Domyślnie Erspan monitoruje cały ruch, w tym ramki danych multiemisji i protokołu mostowego (BPDU).
- Interfejs tunelu obsługiwany jako porty źródłowe dla sesji źródłowej ERSPAN to GRE, IPINIP, SVTI, IPv6, IPv6 przez tunel IP, wielopunktowy GRE (MGRE) i bezpieczne interfejsy tunelowe (SVTI).
- Opcja Filtr VLAN nie działa w sesji monitorowania ERSPAN na interfejsach WAN.
- Erspan na routerach Cisco ASR 1000 obsługuje tylko interfejsy warstwy 3. Interfejsy Ethernet nie są obsługiwane na ERSPan, gdy są skonfigurowane jako interfejsy warstwy 2.
- Gdy sesja jest skonfigurowana za pomocą CLI konfiguracji ERSPAN, identyfikatora sesji i typu sesji nie można zmienić. Aby je zmienić, musisz najpierw użyć formularza No for Configuration Command, aby usunąć sesję, a następnie ponownie skonfiguruj sesję.
- Cisco IOS XE Release 3.4S:- Monitorowanie pakietów tunelowych spoza IPSEC jest obsługiwane na interfejsach IPv6 i IPv6 przez interfejsy tunelowe IP tylko do sesji źródłowych Erspan, a nie do sesji docelowych ERSPAN.
- Cisco IOS XE Release 3.5S dodano obsługę dla następujących typów interfejsów WAN jako porty źródłowe dla sesji źródłowej: szeregowe (T1/E1, T3/E3, DS0), Pakiet Sonet (POS) (OC3, OC12) i MultiLink PPP (MultiLink, POS i Słowa kluczowe dla interfejsu źródłowego).
Korzystanie z erspan jako lokalnego rozpiętości:
Aby korzystać z Erspan do monitorowania ruchu przez jeden lub więcej portów lub VLAN w tym samym urządzeniu, musimy utworzyć sesje docelowe źródła Erspan i Erspan w tym samym urządzeniu, przepływ danych odbywa się wewnątrz routera, który jest podobny do tego w zakresie lokalnym.
Następujące czynniki mają zastosowanie podczas korzystania z ERSPAN jako lokalnego rozpiętości:
- Obie sesje mają ten sam identyfikator ERSPAN.
- Obie sesje mają ten sam adres IP. Ten adres IP jest własnym adresem IP routerów; Oznacza to, że adres IP LOPBACK lub adres IP skonfigurowany w dowolnym porcie.
| (config)# Sesja monitorująca 10 Typ erspan-source |
| (Config-Mon-Erspan-Src)# interfejs źródłowy GIG0/0/0 |
| (Config-Mon-Erspan-Src)# miejsce docelowe |
| (Config-Mon-Erspan-Src-Dst)# adres IP 10.10.10.1 |
| (Config-Mon-Erspan-Src-Dst)# Origin IP Adres 10.10.10.1 |
| (Config-Mon-Erspan-Src-Dst)# erspan-ID 100 |
Czas po: 28-2024 sierpnia
