English

Zrozumienie SPAN, RSPAN i ERSPAN: Techniki monitorowania ruchu sieciowego

SPAN, RSPAN i ERSPANto techniki stosowane w sieciach do przechwytywania i monitorowania ruchu w celu analizy. Oto krótki przegląd każdego z nich:

SPAN (analizator przełączanych portów)

Cel: Służy do odzwierciedlania ruchu z określonych portów lub sieci VLAN na przełączniku do innego portu w celu monitorowania.

Zastosowanie: Idealny do analizy ruchu lokalnego na jednym przełączniku. Ruch jest odzwierciedlany do wyznaczonego portu, gdzie analizator sieci może go przechwycić.

RSPAN (zdalny SPAN)

Cel: Rozszerza możliwości SPAN na wiele przełączników w sieci.

Przypadek użycia: Umożliwia monitorowanie ruchu z jednego przełącznika do drugiego za pośrednictwem łącza trunkingowego. Przydatne w scenariuszach, w których urządzenie monitorujące znajduje się na innym przełączniku.

ERSPAN (Enkapsulowany zdalny SPAN)

Cel: Łączy RSPAN z GRE (Generic Routing Encapsulation) w celu enkapsulacji ruchu lustrzanego.

Przypadek użycia: umożliwia monitorowanie ruchu w sieciach routowanych. Jest to przydatne w złożonych architekturach sieci, w których ruch musi być przechwytywany w różnych segmentach.

Analizator portu przełącznika (SPAN)to wydajny i wydajny system monitorowania ruchu. Kieruje lub odzwierciedla ruch z portu źródłowego lub sieci VLAN do portu docelowego. Nazywa się to czasami monitorowaniem sesji. SPAN służy między innymi do rozwiązywania problemów z łącznością oraz obliczania wykorzystania i wydajności sieci. Istnieją trzy typy SPAN obsługiwane w produktach Cisco…

A. SPAN lub lokalny SPAN.

B. Zdalny SPAN (RSPAN).

C. Hermetyzowany zdalny SPAN (ERSPAN).

Aby wiedzieć: „Broker pakietów sieciowych Mylinking™ z funkcjami SPAN, RSPAN i ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / dublowanie ruchu / dublowanie portów jest używane do wielu celów, poniżej opisano niektóre.

- Implementacja IDS/IPS w trybie mieszanym.

- Rozwiązania do nagrywania rozmów VOIP.

- Powody zgodności z bezpieczeństwem w celu monitorowania i analizowania ruchu.

- Rozwiązywanie problemów z połączeniem, monitorowanie ruchu.

Niezależnie od uruchomionego typu SPAN, źródłem SPAN może być dowolny typ portu, tj. port routowany, port przełącznika fizycznego, port dostępowy, łącze trunkingowe, sieć VLAN (wszystkie aktywne porty są monitorowane przez przełącznik), kanał EtherChannel (port lub cały port -channel interfejsy) itp. Należy pamiętać, że port skonfigurowany dla miejsca docelowego SPAN NIE MOŻE być częścią źródłowej sieci VLAN SPAN.

Sesje SPAN obsługują monitorowanie ruchu przychodzącego (ingress SPAN), ruchu wychodzącego (egress SPAN) lub ruchu przepływającego w obu kierunkach.

- Ingress SPAN (RX) kopiuje ruch odebrany przez porty źródłowe i sieci VLAN do portu docelowego. SPAN kopiuje ruch przed jakąkolwiek modyfikacją (na przykład przed jakimkolwiek filtrem VACL lub ACL, QoS lub kontrolą ruchu przychodzącego lub wychodzącego).

- Egress SPAN (TX) kopiuje ruch przesyłany z portów źródłowych i sieci VLAN do portu docelowego. Wszystkie istotne filtrowania lub modyfikacje za pomocą filtra VACL lub ACL, QoS lub kontroli ruchu przychodzącego i wychodzącego są podejmowane przed przekierowaniem ruchu do portu docelowego SPAN przez przełącznik.

- Gdy użyte zostanie słowo kluczowe oba, SPAN kopiuje ruch sieciowy odebrany i przesłany przez porty źródłowe i sieci VLAN do portu docelowego.

- SPAN/RSPAN zwykle ignoruje ramki CDP, STP BPDU, VTP, DTP i PAgP. Jednakże te typy ruchu mogą być przekazywane dalej, jeśli skonfigurowano polecenie replikacji enkapsulacji.

SPAN lub lokalny SPAN

SPAN odzwierciedla ruch z jednego lub większej liczby interfejsów na przełączniku do jednego lub większej liczby interfejsów na tym samym przełączniku; stąd SPAN jest najczęściej określany jako LOCAL SPAN.

Wytyczne lub ograniczenia dotyczące lokalnego SPAN:

- Zarówno porty przełączane warstwy 2, jak i porty warstwy 3 można skonfigurować jako porty źródłowe lub docelowe.

- Źródłem może być jeden lub więcej portów lub sieć VLAN, ale nie ich kombinacja.

- Porty trunk to prawidłowe porty źródłowe zmieszane z portami źródłowymi niebędącymi trunkami.

- Na przełączniku można skonfigurować do 64 portów docelowych SPAN.

- Kiedy konfigurujemy port docelowy, jego pierwotna konfiguracja zostaje nadpisana. Jeśli konfiguracja SPAN zostanie usunięta, przywrócona zostanie pierwotna konfiguracja na tym porcie.

- Podczas konfigurowania portu docelowego port jest usuwany z dowolnego pakietu EtherChannel, jeśli był jego częścią. Jeśli był to port routowany, konfiguracja docelowa SPAN zastępuje konfigurację portu routowanego.

— Porty docelowe nie obsługują zabezpieczeń portów, uwierzytelniania 802.1x ani prywatnych sieci VLAN.

- Port może działać jako port docelowy tylko dla jednej sesji SPAN.

- Portu nie można skonfigurować jako portu docelowego, jeśli jest portem źródłowym sesji rozpiętej lub częścią źródłowej sieci VLAN.

- Interfejsy kanałów portów (EtherChannel) można skonfigurować jako porty źródłowe, ale nie jako port docelowy dla SPAN.

- Kierunek ruchu domyślnie to „oba” dla źródeł SPAN.

- Porty docelowe nigdy nie uczestniczą w instancji drzewa opinającego. Nie obsługuje DTP, CDP itp. Lokalny SPAN uwzględnia jednostki BPDU w monitorowanym ruchu, więc wszelkie jednostki BPDU widoczne na porcie docelowym są kopiowane z portu źródłowego. Dlatego nigdy nie podłączaj przełącznika do tego typu SPAN, ponieważ może to spowodować pętlę sieci.

- Gdy sieć VLAN jest skonfigurowana jako źródło SPAN (zwykle określana jako VSPAN) ze skonfigurowanymi opcjami zarówno wejścia, jak i wyjścia, przesyłaj zduplikowane pakiety z portu źródłowego tylko wtedy, gdy pakiety są przełączane w tej samej sieci VLAN. Jedna kopia pakietu pochodzi z ruchu przychodzącego na porcie wejściowym, a druga kopia pakietu pochodzi z ruchu wychodzącego na porcie wyjściowym.

- VSPAN monitoruje tylko ruch wychodzący lub przychodzący do portów warstwy 2 w sieci VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN i ERSPAN to techniki stosowane w sieciach do przechwytywania i monitorowania ruchu w celu analizy. Oto krótki przegląd każdego z nich:

SPAN (analizator przełączanych portów)

  • Zamiar: Służy do odzwierciedlania ruchu z określonych portów lub sieci VLAN na przełączniku do innego portu w celu monitorowania.
  • Przypadek użycia: Idealny do analizy ruchu lokalnego na jednym przełączniku. Ruch jest odzwierciedlany do wyznaczonego portu, gdzie analizator sieci może go przechwycić.

RSPAN (zdalny SPAN)

  • Zamiar: Rozszerza możliwości SPAN na wiele przełączników w sieci.
  • Przypadek użycia: Umożliwia monitorowanie ruchu między przełącznikami za pośrednictwem łącza trunkingowego. Przydatne w scenariuszach, w których urządzenie monitorujące znajduje się na innym przełączniku.

ERSPAN (Enkapsulowany zdalny SPAN)

  • Zamiar: Łączy RSPAN z GRE (Generic Routing Encapsulation) w celu enkapsulacji ruchu lustrzanego.
  • Przypadek użycia: Umożliwia monitorowanie ruchu w sieciach routowanych. Jest to przydatne w złożonych architekturach sieci, w których ruch musi być przechwytywany w różnych segmentach.

Zdalny SPAN (RSPAN)

Remote SPAN (RSPAN) jest podobny do SPAN, ale obsługuje porty źródłowe, źródłowe sieci VLAN i porty docelowe na różnych przełącznikach, co zapewnia zdalne monitorowanie ruchu z portów źródłowych rozproszonych na wielu przełącznikach i umożliwia centralizację docelowych urządzeń przechwytujących sieć. Każda sesja RSPAN przenosi ruch SPAN przez określoną przez użytkownika dedykowaną sieć VLAN RSPAN we wszystkich uczestniczących przełącznikach. Ta sieć VLAN jest następnie łączona z innymi przełącznikami, umożliwiając transport ruchu sesji RSPAN przez wiele przełączników i dostarczanie do docelowej stacji przechwytującej. RSPAN składa się z sesji źródłowej RSPAN, sieci RSPAN VLAN i sesji docelowej RSPAN.

Wytyczne lub ograniczenia dotyczące RSPAN:

- Należy skonfigurować konkretną sieć VLAN dla miejsca docelowego SPAN, która będzie przechodzić przez przełączniki pośrednie za pośrednictwem łączy trunkingowych w kierunku portu docelowego.

- Można utworzyć ten sam typ źródła – co najmniej jeden port lub co najmniej jedną sieć VLAN, ale nie może to być kombinacja.

- Miejscem docelowym sesji jest RSPAN VLAN, a nie pojedynczy port w przełączniku, więc wszystkie porty w RSPAN VLAN będą odbierać ruch lustrzany.

- Skonfiguruj dowolną sieć VLAN jako RSPAN VLAN, o ile wszystkie uczestniczące urządzenia sieciowe obsługują konfigurację sieci RSPAN VLAN i używaj tej samej sieci RSPAN VLAN dla każdej sesji RSPAN

— VTP może propagować konfiguracje sieci VLAN o numerach od 1 do 1024 jako sieci VLAN RSPAN, należy ręcznie skonfigurować sieci VLAN o numerach wyższych niż 1024 jako sieci VLAN RSPAN na wszystkich źródłowych, pośrednich i docelowych urządzeniach sieciowych.

— Uczenie się adresów MAC jest wyłączone w sieci VLAN RSPAN.

SPAN, RSPAN, ERSPAN 2

Hermetyzowany zdalny SPAN (ERSPAN)

Enkapsulowany zdalny SPAN (ERSPAN) zapewnia ogólną enkapsulację routingu (GRE) dla całego przechwytywanego ruchu i umożliwia jego rozszerzenie na domeny warstwy 3.

ERSPAN jestwłasność Ciscoi jest obecnie dostępna tylko dla platform Catalyst 6500, 7600, Nexus i ASR 1000. ASR 1000 obsługuje źródło ERSPAN (monitorowanie) tylko w interfejsach Fast Ethernet, Gigabit Ethernet i kanał portowy.

Wytyczne lub ograniczenia dla ERSPAN:

- Sesje źródłowe ERSPAN nie kopiują ruchu kapsułkowanego w ERSPAN GRE z portów źródłowych. Każda sesja źródłowa ERSPAN może mieć jako źródła porty lub sieci VLAN, ale nie oba.

- Niezależnie od skonfigurowanego rozmiaru MTU, ERSPAN tworzy pakiety warstwy 3, które mogą mieć długość nawet 9202 bajtów. Ruch ERSPAN może zostać porzucony przez dowolny interfejs w sieci, który wymusza rozmiar MTU mniejszy niż 9202 bajty.

- ERSPAN nie obsługuje fragmentacji pakietów. Bit „nie fragmentuj” jest ustawiony w nagłówku IP pakietów ERSPAN. Sesje docelowe ERSPAN nie mogą ponownie składać pofragmentowanych pakietów ERSPAN.

- Identyfikator ERSPAN odróżnia ruch ERSPAN przychodzący pod ten sam docelowy adres IP od różnych sesji źródłowych ERSPAN; skonfigurowany identyfikator ERSPAN musi być zgodny na urządzeniach źródłowych i docelowych.

- W przypadku portu źródłowego lub źródłowej sieci VLAN ERSPAN może monitorować ruch przychodzący i wychodzący lub ruch przychodzący i wychodzący. Domyślnie ERSPAN monitoruje cały ruch, w tym ramki multiemisji i ramki danych protokołu mostu (BPDU).

- Interfejs tunelowy obsługiwany jako porty źródłowe sesji źródłowej ERSPAN to GRE, IPinIP, SVTI, IPv6, IPv6 over IP Tunel, Multipoint GRE (mGRE) i Secure Virtual Tunnel Interfaces (SVTI).

- Opcja filtrowania VLAN nie działa w sesji monitorowania ERSPAN na interfejsach WAN.

- ERSPAN na routerach Cisco ASR 1000 Series obsługuje tylko interfejsy warstwy 3. Interfejsy Ethernet nie są obsługiwane w systemie ERSPAN, jeśli są skonfigurowane jako interfejsy warstwy 2.

- Gdy sesja jest konfigurowana za pomocą interfejsu CLI konfiguracji ERSPAN, nie można zmienić identyfikatora sesji ani typu sesji. Aby je zmienić, należy najpierw użyć formy no polecenia konfiguracyjnego w celu usunięcia sesji, a następnie ponownie skonfigurować sesję.

- Cisco IOS XE wydanie 3.4S: - Monitorowanie pakietów tunelowych niechronionych protokołem IPsec jest obsługiwane w interfejsach tunelowych IPv6 i IPv6 over IP tylko dla sesji źródłowych ERSPAN, a nie dla sesji docelowych ERSPAN.

- Cisco IOS XE Release 3.5S, dodano obsługę następujących typów interfejsów WAN jako portów źródłowych dla sesji źródłowej: Szeregowy (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) i Multilink PPP (do polecenia interfejsu źródłowego dodano słowa kluczowe multilink, pos i serial).

SPAN, RSPAN, ERSPAN 3

Używanie ERSPAN jako lokalnego SPAN:

Aby używać ERSPAN do monitorowania ruchu przez jeden lub więcej portów lub sieci VLAN w tym samym urządzeniu, musimy utworzyć sesje źródłowe ERSPAN i docelowe ERSPAN w tym samym urządzeniu. Przepływ danych odbywa się wewnątrz routera, podobnie jak w lokalnym SPAN.

Podczas używania ERSPAN jako lokalnego SPAN obowiązują następujące czynniki:

- Obie sesje mają ten sam identyfikator ERSPAN.

- Obie sesje mają ten sam adres IP. Ten adres IP jest adresem IP routera; to znaczy adres IP pętli zwrotnej lub adres IP skonfigurowany na dowolnym porcie.

(config) # monitoruj sesję 10 wpisz erspan-source
(config-mon-erspan-src)# interfejs źródłowy Gig0/0/0
(config-mon-erspan-src)# miejsce docelowe
(config-mon-erspan-src-dst)# adres IP 10.10.10.1
(config-mon-erspan-src-dst)# początkowy adres IP 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Czas publikacji: 28 sierpnia 2024 r
Naciśnij Enter, aby wyszukać lub ESC, aby zamknąć