SPAN, RSPAN și ERSPANsunt tehnici utilizate în rețele pentru a capta și monitoriza traficul pentru analiză. Iată o scurtă prezentare generală a fiecăruia:
SPAN (Switched Port Analyzer)
Scop: Folosit pentru a oglindi traficul de la anumite porturi sau VLAN-uri de pe un comutator la alt port pentru monitorizare.
Caz de utilizare: Ideal pentru analiza traficului local pe un singur comutator. Traficul este reflectat într-un port desemnat de unde un analizor de rețea îl poate captura.
RSPAN (span la distanță)
Scop: Extinde capabilitățile SPAN pe mai multe switch-uri dintr-o rețea.
Caz de utilizare: Permite monitorizarea traficului de la un comutator la altul printr-o legătură trunchială. Util pentru scenariile în care dispozitivul de monitorizare este situat pe un alt comutator.
ERSPAN (SPAN la distanță încapsulată)
Scop: Combină RSPAN cu GRE (Generic Routing Encapsulation) pentru a încapsula traficul în oglindă.
Caz de utilizare: permite monitorizarea traficului prin rețelele direcționate. Acest lucru este util în arhitecturile complexe de rețea în care traficul trebuie captat pe diferite segmente.
Analizor de porturi de comutare (SPAN)este un sistem eficient de monitorizare a traficului de înaltă performanță. Acesta direcționează sau oglindește traficul de la un port sursă sau VLAN către un port de destinație. Aceasta este uneori denumită monitorizarea sesiunii. SPAN este utilizat pentru depanarea problemelor de conectivitate și pentru calcularea utilizării și performanței rețelei, printre multe altele. Există trei tipuri de SPAN acceptate pe produsele Cisco...
o. SPAN sau SPAN local.
b. SPAN la distanță (RSPAN).
c. SPAN la distanță încapsulată (ERSPAN).
A sti: "Mylinking™ Network Packet Broker cu caracteristici SPAN, RSPAN și ERSPAN"
SPAN / oglindirea traficului / oglindirea porturilor este folosită în mai multe scopuri, mai jos sunt incluse câteva.
- Implementarea IDS/IPS în mod promiscuu.
- Soluții de înregistrare a apelurilor VOIP.
- Motive de conformitate cu securitatea pentru a monitoriza și analiza traficul.
- Depanarea problemelor de conexiune, monitorizarea traficului.
Indiferent de tipul SPAN care rulează, sursa SPAN poate fi orice tip de port, adică un port rutat, un port de comutare fizic, un port de acces, trunchi, VLAN (toate porturile active sunt monitorizate de comutator), un EtherChannel (fie un port, fie un port întreg). -interfețe canal) etc. Rețineți că un port configurat pentru destinația SPAN NU POATE face parte dintr-un VLAN sursă SPAN.
Sesiunile SPAN acceptă monitorizarea traficului de intrare (ingress SPAN), a traficului de ieșire (egress SPAN) sau a traficului care circulă în ambele direcții.
- Ingress SPAN (RX) copiează traficul primit de porturile sursă și VLAN-uri în portul de destinație. SPAN copiază traficul înainte de orice modificare (de exemplu, înainte de orice filtru VACL sau ACL, QoS sau control de intrare sau ieșire).
- Egress SPAN (TX) copiează traficul transmis de la porturile sursă și VLAN-urile către portul de destinație. Toate acțiunile relevante de filtrare sau modificare prin filtru VACL sau ACL, QoS sau acțiuni de poliție de intrare sau ieșire sunt întreprinse înainte ca comutatorul să redirecționeze traficul către portul de destinație SPAN.
- Când se utilizează ambele cuvinte cheie, SPAN copiază traficul de rețea primit și transmis de porturile sursă și VLAN-uri în portul de destinație.
- SPAN/RSPAN ignoră de obicei cadrele CDP, STP BPDU, VTP, DTP și PAgP. Cu toate acestea, aceste tipuri de trafic pot fi redirecționate dacă este configurată comanda încapsulation replicate.
SPAN sau SPAN local
SPAN reflectă traficul de la una sau mai multe interfețe de pe switch la una sau mai multe interfețe de pe același switch; prin urmare, SPAN este denumit în mare parte ca SPAN LOCAL.
Instrucțiuni sau restricții pentru SPAN local:
- Atât porturile comutate Layer 2, cât și porturile Layer 3 pot fi configurate ca porturi sursă sau destinație.
- Sursa poate fi unul sau mai multe porturi sau un VLAN, dar nu o combinație a acestora.
- Porturile trunk sunt porturi sursă valide amestecate cu porturi sursă non-trunk.
- Până la 64 de porturi de destinație SPAN pot fi configurate pe un comutator.
- Când configurăm un port de destinație, configurația sa inițială este suprascrisă. Dacă configurația SPAN este eliminată, configurația originală de pe acel port este restaurată.
- Când configurați un port de destinație, portul este eliminat din orice pachet EtherChannel, dacă a făcut parte dintr-unul. Dacă ar fi un port rutat, configurația destinației SPAN suprascrie configurația portului rutat.
- Porturile de destinație nu acceptă securitatea portului, autentificarea 802.1x sau VLAN-urile private.
- Un port poate acționa ca port de destinație pentru o singură sesiune SPAN.
- Un port nu poate fi configurat ca port de destinație dacă este un port sursă al unei sesiuni span sau o parte a VLAN-ului sursă.
- Interfețele canalului de porturi (EtherChannel) pot fi configurate ca porturi sursă, dar nu și ca port de destinație pentru SPAN.
- Direcția de trafic este „ambele” în mod implicit pentru sursele SPAN.
- Porturile de destinație nu participă niciodată la o instanță spanning-tree. Nu poate suporta DTP, CDP etc. Local SPAN include BPDU-uri în traficul monitorizat, astfel încât orice BPDU văzute pe portul de destinație sunt copiate din portul sursă. Prin urmare, nu conectați niciodată un comutator la acest tip de SPAN, deoarece ar putea provoca o buclă de rețea.
- Când VLAN este configurat ca sursă SPAN (denumită mai ales VSPAN) cu ambele opțiuni de intrare și de ieșire configurate, redirecționați pachetele duplicate de la portul sursă numai dacă pachetele sunt comutate în același VLAN. O copie a pachetului provine din traficul de intrare pe portul de intrare, iar cealaltă copie a pachetului este din traficul de ieșire pe portul de ieșire.
- VSPAN monitorizează numai traficul care părăsește sau intră în porturile Layer 2 din VLAN.
SPAN, RSPAN și ERSPAN sunt tehnici utilizate în rețele pentru a capta și monitoriza traficul pentru analiză. Iată o scurtă prezentare generală a fiecăruia:
SPAN (Switched Port Analyzer)
- Scop: Folosit pentru a oglindi traficul de la anumite porturi sau VLAN-uri de pe un comutator la alt port pentru monitorizare.
- Caz de utilizare: Ideal pentru analiza traficului local pe un singur comutator. Traficul este reflectat într-un port desemnat de unde un analizor de rețea îl poate captura.
RSPAN (span la distanță)
- Scop: Extinde capabilitățile SPAN la mai multe switch-uri dintr-o rețea.
- Caz de utilizare: Permite monitorizarea traficului de la un comutator la altul printr-o conexiune trunk. Util pentru scenariile în care dispozitivul de monitorizare este situat pe un alt comutator.
ERSPAN (SPAN la distanță încapsulată)
- Scop: Combină RSPAN cu GRE (Generic Routing Encapsulation) pentru a încapsula traficul în oglindă.
- Caz de utilizare: Permite monitorizarea traficului prin rețelele direcționate. Acest lucru este util în arhitecturile complexe de rețea în care traficul trebuie captat pe diferite segmente.
SPAN la distanță (RSPAN)
Remote SPAN (RSPAN) este similar cu SPAN, dar acceptă porturi sursă, VLAN-uri sursă și porturi de destinație pe diferite switch-uri, care asigură monitorizarea de la distanță a traficului de la porturile sursă distribuite pe mai multe switch-uri și permite dispozitivelor de captare a rețelei de centralizare a destinației. Fiecare sesiune RSPAN transportă traficul SPAN printr-un VLAN RSPAN dedicat, specificat de utilizator, în toate switch-urile participante. Acest VLAN este apoi conectat la alte switch-uri, permițând traficului sesiunii RSPAN să fie transportat prin mai multe switch-uri și livrat la stația de captare destinație. RSPAN constă dintr-o sesiune sursă RSPAN, un VLAN RSPAN și o sesiune destinație RSPAN.
Orientări sau restricții pentru RSPAN:
- Trebuie configurat un anumit VLAN pentru destinația SPAN, care va traversa comutatoarele intermediare prin legături trunk către portul de destinație.
- Poate crea același tip de sursă – cel puțin un port sau cel puțin un VLAN, dar nu poate fi amestecul.
- Destinația sesiunii este RSPAN VLAN mai degrabă decât un singur port din switch, astfel încât toate porturile din RSPAN VLAN vor primi traficul în oglindă.
- Configurați orice VLAN ca VLAN RSPAN, atâta timp cât toate dispozitivele de rețea participante acceptă configurarea VLAN-urilor RSPAN și utilizați același VLAN RSPAN pentru fiecare sesiune RSPAN
- VTP poate propaga configurația VLAN-urilor numerotate de la 1 la 1024 ca VLAN-uri RSPAN, trebuie să configureze manual VLAN-urile numerotate mai mari de 1024 ca VLAN-uri RSPAN pe toate dispozitivele de rețea sursă, intermediară și de destinație.
- Învățarea adresei MAC este dezactivată în VLAN-ul RSPAN.
Telecomandă încapsulată SPAN (ERSPAN)
Încapsulated remote SPAN (ERSPAN) oferă încapsulare generică de rutare (GRE) pentru tot traficul capturat și permite extinderea acestuia pe domeniile de nivel 3.
ERSPAN este unProprietate Ciscoși este disponibilă până în prezent numai pentru platformele Catalyst 6500, 7600, Nexus și ASR 1000. ASR 1000 acceptă sursa ERSPAN (monitorizare) numai pe interfețe Fast Ethernet, Gigabit Ethernet și port-canal.
Orientări sau restricții pentru ERSPAN:
- Sesiunile sursă ERSPAN nu copiază traficul încapsulat în ERSPAN GRE din porturile sursă. Fiecare sesiune sursă ERSPAN poate avea ca surse fie porturi, fie VLAN-uri, dar nu ambele.
- Indiferent de dimensiunea MTU configurată, ERSPAN creează pachete de Layer 3 care pot avea o lungime de până la 9.202 octeți. Traficul ERSPAN poate fi eliminat de orice interfață din rețea care impune o dimensiune MTU mai mică de 9.202 de octeți.
- ERSPAN nu acceptă fragmentarea pachetelor. Bitul „nu fragmentați” este setat în antetul IP al pachetelor ERSPAN. Sesiunile de destinație ERSPAN nu pot reasambla pachetele ERSPAN fragmentate.
- ID-ul ERSPAN diferențiază traficul ERSPAN care sosește la aceeași adresă IP de destinație de diferite sesiuni sursă ERSPAN diferite; ID-ul ERSPAN configurat trebuie să se potrivească pe dispozitivele sursă și destinație.
- Pentru un port sursă sau un VLAN sursă, ERSPAN poate monitoriza intrarea, ieșirea sau atât traficul de intrare, cât și de ieșire. În mod implicit, ERSPAN monitorizează tot traficul, inclusiv cadrele multicast și Bridge Protocol Data Unit (BPDU).
- Interfața tunel acceptată ca porturi sursă pentru o sesiune sursă ERSPAN sunt GRE, IPinIP, SVTI, IPv6, IPv6 peste tunel IP, Multipoint GRE (mGRE) și Secure Virtual Tunnel Interfaces (SVTI).
- Opțiunea de filtrare VLAN nu este funcțională într-o sesiune de monitorizare ERSPAN pe interfețele WAN.
- ERSPAN pe routerele Cisco ASR seria 1000 acceptă numai interfețe Layer 3. Interfețele Ethernet nu sunt acceptate pe ERSPAN când sunt configurate ca interfețe de nivel 2.
- Când o sesiune este configurată prin CLI de configurare ERSPAN, ID-ul sesiunii și tipul de sesiune nu pot fi modificate. Pentru a le modifica, trebuie mai întâi să utilizați forma no a comenzii de configurare pentru a elimina sesiunea și apoi reconfigurați sesiunea.
- Cisco IOS XE Release 3.4S: - Monitorizarea pachetelor tunel care nu sunt protejate de IPsec este acceptată pe interfețele de tunel IPv6 și IPv6 prin IP numai pentru sesiunile sursă ERSPAN, nu pentru sesiunile de destinație ERSPAN.
- Cisco IOS XE Release 3.5S, a fost adăugat suport pentru următoarele tipuri de interfețe WAN ca porturi sursă pentru o sesiune sursă: Serial (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) și Multilink PPP (cuvinte cheie multilink, pos și seriale au fost adăugate la comanda interfeței sursă).
Folosind ERSPAN ca SPAN local:
Pentru a utiliza ERSPAN pentru a monitoriza traficul prin unul sau mai multe porturi sau VLAN-uri în același dispozitiv, trebuie să creăm o sursă ERSPAN și sesiuni de destinație ERSPAN în același dispozitiv, fluxul de date are loc în interiorul routerului, care este similar cu cel din SPAN local.
Următorii factori sunt aplicabili atunci când utilizați ERSPAN ca SPAN local:
- Ambele sesiuni au același ID ERSPAN.
- Ambele sesiuni au aceeași adresă IP. Această adresă IP este adresa IP proprie a routerului; adică adresa IP loopback sau adresa IP configurată pe orice port.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# interfață sursă Gig0/0/0 |
| (config-mon-erspan-src)# destinație |
| (config-mon-erspan-src-dst)# adresa IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adresa IP de origine 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Ora postării: 28-aug-2024
