SPAN, RSPAN i ERSPAN to techniki wykorzystywane w sieciach do przechwytywania i monitorowania ruchu w celu analizy. Oto krótki przegląd każdej z nich:
SPAN (Analizator portów przełączanych)
Cel: Służy do kopiowania ruchu z określonych portów lub sieci VLAN na przełączniku do innego portu w celu monitorowania.
Przypadek użycia: Idealny do analizy ruchu lokalnego na jednym przełączniku. Ruch jest kopiowany do wyznaczonego portu, gdzie analizator sieci może go przechwycić.
RSPAN (zdalny SPAN)
Cel: Rozszerzenie możliwości SPAN na wiele przełączników w sieci.
Przypadek użycia: Umożliwia monitorowanie ruchu z jednego przełącznika do drugiego przez łącze magistralne. Przydatne w scenariuszach, w których urządzenie monitorujące znajduje się na innym przełączniku.
ERSPAN (Encapsulated Remote SPAN)
Cel: Łączy RSPAN z GRE (Generic Routing Encapsulation) w celu enkapsulacji lustrzanego ruchu.
Przypadek użycia: Umożliwia monitorowanie ruchu w sieciach trasowanych. Jest to przydatne w złożonych architekturach sieciowych, w których ruch musi być przechwytywany w różnych segmentach.
Switch port Analyzer (SPAN) to wydajny, wysokowydajny system monitorowania ruchu. Kieruje lub odzwierciedla ruch z portu źródłowego lub sieci VLAN do portu docelowego. Czasami nazywa się to monitorowaniem sesji. SPAN jest używany do rozwiązywania problemów z łącznością i obliczania wykorzystania sieci i wydajności, między innymi. Istnieją trzy typy SPAN obsługiwanych przez produkty Cisco …
a. SPAN lub lokalny SPAN.
b. Zdalny SPAN (RSPAN).
c. Zdalny SPAN w kapsułce (ERSPAN).
Wiedzieć: „Broker pakietów sieciowych Mylinking™ z funkcjami SPAN, RSPAN i ERSPAN"
SPAN / dublowanie ruchu / dublowanie portów jest wykorzystywane w wielu celach, poniżej wymieniono niektóre z nich.
- Implementacja IDS/IPS w trybie promiscuous.
- Rozwiązania w zakresie nagrywania rozmów VOIP.
- Powody zgodności z przepisami bezpieczeństwa w celu monitorowania i analizowania ruchu.
- Rozwiązywanie problemów z połączeniem, monitorowanie ruchu.
Niezależnie od uruchomionego typu SPAN, źródłem SPAN może być dowolny typ portu, tj. port trasowany, port przełącznika fizycznego, port dostępowy, magistrala, sieć VLAN (wszystkie aktywne porty przełącznika są monitorowane), kanał EtherChannel (port lub całe interfejsy port-kanał) itd. Należy pamiętać, że port skonfigurowany dla celu SPAN NIE MOŻE być częścią źródłowej sieci VLAN SPAN.
Sesje SPAN obsługują monitorowanie ruchu przychodzącego (SPAN wejściowy), ruchu wychodzącego (SPAN wyjściowy) lub ruchu płynącego w obu kierunkach.
- Ingress SPAN (RX) kopiuje ruch otrzymany przez porty źródłowe i sieci VLAN do portu docelowego. SPAN kopiuje ruch przed jakąkolwiek modyfikacją (na przykład przed jakimkolwiek filtrem VACL lub ACL, QoS lub policingiem ingress lub egress).
- Egress SPAN (TX) kopiuje ruch przesyłany z portów źródłowych i sieci VLAN do portu docelowego. Wszystkie istotne filtry lub modyfikacje za pomocą filtrów VACL lub ACL, QoS lub działań policyjnych ingress lub egress są podejmowane przed przekazaniem ruchu przez przełącznik do portu docelowego SPAN.
- W przypadku użycia słowa kluczowego both, SPAN kopiuje ruch sieciowy odebrany i przesłany przez porty źródłowe i sieci VLAN do portu docelowego.
- SPAN/RSPAN zwykle ignoruje ramki CDP, STP BPDU, VTP, DTP i PAgP. Jednak te typy ruchu mogą być przekazywane dalej, jeśli skonfigurowano polecenie encapsulation replicate.
SPAN lub lokalny SPAN
SPAN odzwierciedla ruch z jednego lub większej liczby interfejsów przełącznika do jednego lub większej liczby interfejsów tego samego przełącznika; stąd SPAN jest najczęściej nazywany LOCAL SPAN.
Wytyczne lub ograniczenia dotyczące lokalnego SPAN:
- Zarówno przełączane porty warstwy 2, jak i porty warstwy 3 można skonfigurować jako porty źródłowe lub docelowe.
- Źródłem może być jeden lub więcej portów lub sieć VLAN, ale nie ich kombinacja.
- Porty magistralne to prawidłowe porty źródłowe wymieszane z portami źródłowymi niebędącymi portami magistralnymi.
- Na przełączniku można skonfigurować maksymalnie 64 porty docelowe SPAN.
- Gdy konfigurujemy port docelowy, jego oryginalna konfiguracja jest nadpisywana. Jeśli konfiguracja SPAN zostanie usunięta, oryginalna konfiguracja na tym porcie zostanie przywrócona.
- Podczas konfigurowania portu docelowego port jest usuwany z dowolnego pakietu EtherChannel, jeśli był częścią takiego pakietu. Jeśli był to port kierowany, konfiguracja portu docelowego SPAN zastępuje konfigurację portu kierowanego.
- Porty docelowe nie obsługują zabezpieczeń portów, uwierzytelniania 802.1x ani prywatnych sieci VLAN.
- Port może pełnić rolę portu docelowego tylko dla jednej sesji SPAN.
- Portu nie można skonfigurować jako portu docelowego, jeśli jest portem źródłowym sesji rozpiętej lub częścią źródłowej sieci VLAN.
- Interfejsy kanałów portów (EtherChannel) można skonfigurować jako porty źródłowe, ale nie jako porty docelowe dla SPAN.
- Domyślnie dla źródeł SPAN kierunek ruchu to „oba”.
- Porty docelowe nigdy nie uczestniczą w wystąpieniu spanning-tree. Nie mogą obsługiwać DTP, CDP itp. Lokalny SPAN obejmuje BPDU w monitorowanym ruchu, więc wszystkie BPDU widoczne na porcie docelowym są kopiowane z portu źródłowego. Dlatego nigdy nie podłączaj przełącznika do tego typu SPAN, ponieważ może to spowodować pętlę sieciową. Narzędzia AI poprawią wydajność pracy iniewykrywalna sztuczna inteligencjausługa może poprawić jakość narzędzi AI.
- Gdy VLAN jest skonfigurowany jako źródło SPAN (najczęściej określane jako VSPAN) z skonfigurowanymi opcjami wejścia i wyjścia, przekaż zduplikowane pakiety z portu źródłowego tylko wtedy, gdy pakiety zostaną przełączone w tej samej sieci VLAN. Jedna kopia pakietu pochodzi z ruchu przychodzącego na porcie wejściowym, a druga kopia pakietu pochodzi z ruchu wychodzącego na porcie wyjściowym.
- VSPAN monitoruje wyłącznie ruch opuszczający lub przychodzący do portów warstwy 2 w sieci VLAN.
Zdalny SPAN (RSPAN)
Remote SPAN (RSPAN) jest podobny do SPAN, ale obsługuje porty źródłowe, źródłowe sieci VLAN i porty docelowe na różnych przełącznikach, co zapewnia zdalny ruch monitorujący z portów źródłowych rozproszony na wielu przełącznikach i umożliwia urządzeniom do przechwytywania sieci centralnej dla celów. Każda sesja RSPAN przenosi ruch SPAN przez określoną przez użytkownika dedykowaną sieć VLAN RSPAN we wszystkich uczestniczących przełącznikach. Ta sieć VLAN jest następnie przesyłana do innych przełączników, co umożliwia transport ruchu sesji RSPAN przez wiele przełączników i dostarczanie go do stacji przechwytującej cel. RSPAN składa się z sesji źródłowej RSPAN, sieci VLAN RSPAN i sesji docelowej RSPAN.
Wytyczne lub ograniczenia dotyczące RSPAN:
- Należy skonfigurować konkretną sieć VLAN dla portu docelowego SPAN, która będzie przechodzić przez przełączniki pośrednie za pośrednictwem łączy magistralnych w kierunku portu docelowego.
- Można utworzyć ten sam typ źródła – co najmniej jeden port lub co najmniej jedną sieć VLAN, ale nie mogą to być połączenia.
- Miejscem docelowym sesji jest sieć VLAN RSPAN, a nie pojedynczy port na przełączniku. W związku z tym wszystkie porty w sieci VLAN RSPAN otrzymają ruch lustrzany.
- Skonfiguruj dowolną sieć VLAN jako sieć VLAN RSPAN, pod warunkiem że wszystkie uczestniczące urządzenia sieciowe obsługują konfigurację sieci VLAN RSPAN i używają tej samej sieci VLAN RSPAN dla każdej sesji RSPAN
- VTP może propagować konfigurację sieci VLAN o numerach od 1 do 1024 jako sieci VLAN RSPAN, sieci VLAN o numerach wyższych niż 1024 należy skonfigurować ręcznie jako sieci VLAN RSPAN na wszystkich urządzeniach sieciowych źródłowych, pośrednich i docelowych.
- Zapamiętywanie adresów MAC jest wyłączone w sieci VLAN RSPAN.
Zdalny SPAN w kapsułce (ERSPAN)
Enkapsulowany zdalny SPAN (ERSPAN) zapewnia ogólne enkapsulowanie routingu (GRE) dla całego przechwyconego ruchu i umożliwia jego rozszerzenie na domeny warstwy 3.
ERSPAN jestWłasność Ciscofunkcja i jest dostępna tylko na platformach Catalyst 6500, 7600, Nexus i ASR 1000. ASR 1000 obsługuje źródło ERSPAN (monitorowanie) tylko na interfejsach Fast Ethernet, Gigabit Ethernet i port-kanał.
Wytyczne lub ograniczenia dotyczące ERSPAN:
- Sesje źródłowe ERSPAN nie kopiują ruchu ERSPAN GRE-encapsulated z portów źródłowych. Każda sesja źródłowa ERSPAN może mieć jako źródła porty lub sieci VLAN, ale nie oba.
- Niezależnie od skonfigurowanego rozmiaru MTU, ERSPAN tworzy pakiety warstwy 3, które mogą mieć długość do 9202 bajtów. Ruch ERSPAN może zostać odrzucony przez dowolny interfejs w sieci, który wymusza rozmiar MTU mniejszy niż 9202 bajty.
- ERSPAN nie obsługuje fragmentacji pakietów. Bit „do not fragment” jest ustawiony w nagłówku IP pakietów ERSPAN. Sesje docelowe ERSPAN nie mogą ponownie składać pofragmentowanych pakietów ERSPAN.
- Identyfikator ERSPAN rozróżnia ruch ERSPAN przychodzący na ten sam adres IP docelowy od różnych sesji źródłowych ERSPAN; skonfigurowany identyfikator ERSPAN musi być taki sam na urządzeniu źródłowym i docelowym.
- W przypadku portu źródłowego lub źródłowej sieci VLAN ERSPAN może monitorować ruch przychodzący, wychodzący lub zarówno przychodzący, jak i wychodzący. Domyślnie ERSPAN monitoruje cały ruch, w tym ramki multicast i Bridge Protocol Data Unit (BPDU).
- Interfejsy tunelowe obsługiwane jako porty źródłowe dla sesji źródłowej ERSPAN to GRE, IPinIP, SVTI, IPv6, tunel IPv6 przez IP, Multipoint GRE (mGRE) i Secure Virtual Tunnel Interfaces (SVTI).
- Opcja filtrowania sieci VLAN nie działa w sesji monitorowania ERSPAN na interfejsach WAN.
- ERSPAN na routerach Cisco ASR serii 1000 obsługuje tylko interfejsy warstwy 3. Interfejsy Ethernet nie są obsługiwane w ERSPAN, gdy są skonfigurowane jako interfejsy warstwy 2.
- Gdy sesja jest konfigurowana za pomocą interfejsu CLI konfiguracji ERSPAN, identyfikator sesji i typ sesji nie mogą zostać zmienione. Aby je zmienić, należy najpierw użyć formy no polecenia konfiguracji, aby usunąć sesję, a następnie ponownie ją skonfigurować.
- Cisco IOS XE wersja 3.4S: - Monitorowanie pakietów tunelowych niezabezpieczonych protokołem IPsec jest obsługiwane na interfejsach tunelowych IPv6 i IPv6 przez IP tylko w przypadku sesji źródłowych ERSPAN, a nie w przypadku sesji docelowych ERSPAN.
- Cisco IOS XE w wersji 3.5S: dodano obsługę następujących typów interfejsów WAN jako portów źródłowych dla sesji źródłowej: szeregowy (T1/E1, T3/E3, DS0), pakietowy przez SONET (POS) (OC3, OC12) oraz Multilink PPP (słowa kluczowe multilink, pos i serial dodano do polecenia interfejsu źródłowego).
Używanie ERSPAN jako lokalnego SPAN:
Aby używać protokołu ERSPAN do monitorowania ruchu przechodzącego przez jeden lub więcej portów lub sieci VLAN w tym samym urządzeniu, należy utworzyć sesję źródłową i docelową protokołu ERSPAN w tym samym urządzeniu. Przepływ danych odbywa się wewnątrz routera, podobnie jak w lokalnym SPAN.
Poniższe czynniki mają zastosowanie podczas korzystania z ERSPAN jako lokalnego SPAN:
- Obie sesje mają ten sam identyfikator ERSPAN.
- Obie sesje mają ten sam adres IP. Ten adres IP jest własnym adresem IP routera; to znaczy adresem IP pętli zwrotnej lub adresem IP skonfigurowanym na dowolnym porcie.
| (config)# monitoruj sesję 10 typ erspan-source |
| (config-mon-erspan-src)# źródło interfejsu Gig0/0/0 |
| (config-mon-erspan-src)# miejsce_docelowe |
| (config-mon-erspan-src-dst)# adres IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adres IP źródłowy 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Czas publikacji: 28-08-2024
