Span, RSPAN și Erspan sunt tehnici utilizate în rețele pentru captarea și monitorizarea traficului pentru analiză. Iată o scurtă privire de ansamblu a fiecăruia:
Span (Analizator de port comutat)
Scop: utilizat pentru a oglindește traficul din anumite porturi sau VLAN -uri pe un comutator către un alt port pentru monitorizare.
Utilizați cazul: ideal pentru analiza traficului local pe un singur comutator. Traficul este oglindit într -un port desemnat în care un analizor de rețea îl poate captura.
RSPAN (distanță de la distanță)
Scop: extinde capacitățile de întindere pe mai multe comutatoare dintr -o rețea.
Case de utilizare: permite monitorizarea traficului de la un comutator la altul pe o legătură de trunchi. Util pentru scenarii în care dispozitivul de monitorizare este amplasat pe un comutator diferit.
ErSpan (Spanul de la distanță încapsulat)
Scop: combină RSPAN cu GRE (Encapsulare de rutare generică) pentru a încapsula traficul oglindit.
Cazul de utilizare: permite monitorizarea traficului pe rețelele rutate. Acest lucru este util în arhitecturi complexe de rețea, unde traficul trebuie să fie capturat pe diferite segmente.
Switch Port Analyzer (SPAN) este un sistem eficient de monitorizare a traficului de înaltă performanță. Direcționează sau oglindește traficul de la un port sursă sau VLAN către un port de destinație. Aceasta este uneori denumită monitorizare a sesiunii. Spanul este utilizat pentru depanarea problemelor de conectivitate și calcularea utilizării și performanței rețelei, printre multe altele. Există trei tipuri de distanțe acceptate pe produsele Cisco ...
o. Interval sau interval local.
b. Interval de la distanță (RSPAN).
C. Spanul de la distanță încapsulat (erSpan).
A ști: "Broker de pachete de rețea MyLinking ™ cu funcții Span, RSPAN și ERSPAN"
Oglindirea span / trafic / oglindirea portului este utilizată în mai multe scopuri, mai jos include unele.
- Implementarea ID -urilor/IP -urilor în modul promiscu.
- Soluții de înregistrare a apelurilor VoIP.
- Motive de conformitate a securității pentru monitorizarea și analizarea traficului.
- Probleme de conectare la probleme, monitorizarea traficului.
Indiferent de tipul de span care rulează, sursa de span poate fi orice tip de port, adică un port rutat, un port de comutare fizică, un port de acces, trunchi, VLAN (toate porturile active sunt monitorizate de comutator), un etherChannel (fie un port sau întregul interfețe de port-canal) etc. Rețineți că un port configurat pentru destinația span nu poate face parte dintr-o sursă VLAN sursă.
Ședințele de span acceptă monitorizarea traficului de intrare (intervalul de intrare), traficul de ieșire (Egress Span) sau traficul care curge în ambele direcții.
- Ingress Span (RX) Copie traficul primit de porturile sursă și VLAN -urile în portul de destinație. Span copiază traficul înainte de orice modificare (de exemplu, înainte de orice filtru VACL sau ACL, QoS sau intrare sau poliție de ieșire).
- Egress Span (TX) copiază traficul transmis din porturile sursă și VLAN -urile către portul de destinație. Toate filtrurile sau modificarea relevantă prin filtru VACL sau ACL, QoS sau intrare sau acțiuni de poliție de ieșire sunt luate înainte de comutarea traficului de transfer către portul de destinație.
- Când este utilizat ambele cuvinte cheie, Span copiază traficul de rețea primită și transmisă de porturile sursă și VLAN -urile către portul de destinație.
- Span/RSPAN ignoră de obicei cadre CDP, STP BPDU, VTP, DTP și PAGP. Cu toate acestea, aceste tipuri de trafic pot fi transmise dacă este configurată comanda de replicare de încapsulare.
Span sau Span local
Spanglinzi oglindește traficul de la una sau mai multe interfețe de pe comutator la una sau mai multe interfețe de pe același comutator; Prin urmare, Spanul este denumit în cea mai mare parte interval local.
Orientări sau restricții la intervalul local:
- Ambele porturi comutate de strat 2, cât și porturi strat 3 pot fi configurate ca porturi sursă sau de destinație.
- Sursa poate fi unul sau mai multe porturi sau un VLAN, dar nu un amestec dintre acestea.
- Porturile trunchiului sunt porturi sursă valide amestecate cu porturi sursă non-trunchi.
- Până la 64 de porturi de destinație pot fi configurate pe un comutator.
- Când configuram un port de destinație, configurația inițială este suprascrisă. Dacă configurația Span este eliminată, configurația originală de pe portul respectiv este restabilită.
- Când configurați un port de destinație, portul este eliminat din orice pachet EtherChannel dacă a făcut parte dintr -unul. Dacă ar fi un port rutat, configurația de destinație Span trece peste configurația portului rutat.
- Porturile de destinație nu acceptă securitatea portului, autentificarea 802.1x sau VLAN -urile private.
- Un port poate acționa ca port de destinație pentru o singură sesiune de interval.
- Un port nu poate fi configurat ca port de destinație dacă este un port sursă al unei sesiuni de span sau o parte a sursei VLAN.
- Interfețele de canal port (EtherChannel) pot fi configurate ca porturi sursă, dar nu un port de destinație pentru span.
- Direcția traficului este „ambele” în mod implicit pentru surse span.
- Porturile de destinație nu participă niciodată la o instanță de arbore spanning. Nu poate suporta DTP, CDP etc. Local SPANCT include BPDU în traficul monitorizat, astfel încât orice BPDU văzută pe portul de destinație este copiat din portul sursă. Prin urmare, nu conectați niciodată un comutator la acest tip de interval, deoarece ar putea provoca o buclă de rețea. Instrumentele AI vor îmbunătăți eficiența muncii șiAI nedetectabilServiciul poate îmbunătăți calitatea instrumentelor AI.
- Când VLAN este configurat ca sursă de span (denumită în cea mai mare parte VSPAN) atât cu opțiuni de intrare, cât și cu opțiuni de ieșire configurate, înainte, pachete duplicate înainte de portul sursă numai dacă pachetele sunt comutate în același VLAN. O copie a pachetului este din traficul de intrare în portul de intrare, iar cealaltă copie a pachetului este din traficul de ieșire din portul Egress.
- VSPAN monitorizează doar traficul care lasă sau intră în porturile stratului 2 în VLAN.
Interval de la distanță (RSPAN)
Spanul de la distanță (RSPAN) este similar cu Span, dar acceptă porturi sursă, VLAN -uri sursă și porturi de destinație de pe diferite comutatoare, care asigură traficul de monitorizare la distanță din porturile sursă distribuite pe mai multe întrerupătoare și permite centralizarea dispozitivelor de captare a rețelei. Fiecare sesiune RSPAN poartă traficul de span peste un RSPAN VLAN dedicat utilizator specificat de utilizator în toate întrerupătoarele participante. Acest VLAN este apoi pornit la alte comutatoare, permițând transportul traficului de sesiune RSPAN pe mai multe comutatoare și livrat la stația de captare a destinației. RSPAN este format dintr -o sesiune sursă RSPAN, un RSPAN VLAN și o sesiune de destinație RSPAN.
Orientări sau restricții la RSPAN:
- Un VLAN specific trebuie să fie configurat pentru destinația SPAN, care va traversa întrerupătoarele intermediare prin legături de trunchi către portul de destinație.
- Poate crea același tip de sursă - cel puțin un port sau cel puțin un VLAN, dar nu poate fi mixul.
- Destinația pentru sesiune este RSPAN VLAN, mai degrabă decât portul unic din Switch, astfel încât toate porturile din RSPAN VLAN vor primi traficul oglindit.
- Configurați orice VLAN ca RSPAN VLAN atâta timp cât toate dispozitivele de rețea participante acceptă configurația RSPAN VLAN -uri și utilizați același RSPAN VLAN pentru fiecare sesiune RSPAN
- VTP poate propaga configurația VLAN -urilor numerotate 1 până la 1024 ca VLAN -uri RSPAN, trebuie să configureze manual VLAN -urile numerotate mai mari de 1024 ca VLAN -uri RSPAN pe toate dispozitivele de rețea sursă, intermediare și de destinație.
- Învățarea adresei MAC este dezactivată în RSPAN VLAN.
Spanul de la distanță încapsulat (erSpan)
Spanul de la distanță încapsulat (ERSPAN) aduce încapsulare de rutare generică (GRE) pentru tot traficul capturat și îi permite să fie extins pe domeniile stratului 3.
Erspan este unProprietarul CiscoCaracteristici și este disponibil numai pentru platformele Catalyst 6500, 7600, Nexus și ASR 1000 până în prezent. ASR 1000 acceptă sursa ERSPAN (monitorizare) numai pe interfețele rapide Ethernet, Gigabit Ethernet și port-canal.
Orientări sau restricții la ErSpan:
- Ședințele sursă erSPAN nu copiază traficul încapsulat GRE ERSPAN din porturile sursă. Fiecare sesiune sursă ERSPAN poate avea porturi sau VLAN -uri ca surse, dar nu ambele.
- Indiferent de orice dimensiune MTU configurată, ERSPAN creează pachete de strat 3 care pot fi până la 9.202 octeți. Traficul ERSPAN ar putea fi abandonat de orice interfață din rețea care aplică o dimensiune MTU mai mică de 9.202 octeți.
- Erspan nu acceptă fragmentarea pachetelor. Bitul „nu fragment” este setat în antetul IP al pachetelor ERSPAN. Ședințele de destinație erspan nu pot reasambla pachetele ERSPAN fragmentate.
- ID -ul ERSPAN diferențiază traficul ERSPAN care ajunge la aceeași adresă IP de destinație de la diferite sesiuni sursă ERSPAN diferite; ID -ul ERSPAN configurat trebuie să se potrivească pe dispozitivele sursă și destinație.
- Pentru un port sursă sau un VLAN sursă, ErSpan poate monitoriza traficul de intrare, ieșire sau atât trafic de intrare cât și de ieșire. În mod implicit, ERSPAN monitorizează tot traficul, inclusiv cadrele de date de protocol multicast și pod (BPDU).
- Interfața de tunel acceptată ca porturi sursă pentru o sesiune sursă ERSPAN sunt GRE, IPINIP, SVTI, IPv6, IPv6 peste Tunel IP, multipoint GRE (MGRE) și interfețe de tunel virtual securizat (SVTI).
- Opțiunea Filtru VLAN nu este funcțională într -o sesiune de monitorizare ERSPAN pe interfețele WAN.
- ErSpan pe routerele din seria Cisco ASR 1000 acceptă doar interfețele stratului 3. Interfețele Ethernet nu sunt acceptate pe erSpan atunci când sunt configurate ca interfețe Layer 2.
- Când o sesiune este configurată prin intermediul CLI -ului de configurare ERSPAN, ID -ul sesiunii și tipul de sesiune nu pot fi modificate. Pentru a le schimba, trebuie să utilizați mai întâi forma comandă de configurare pentru a elimina sesiunea și apoi reconfigurați sesiunea.
- Cisco IOS XE Release 3.4S:- Monitorizarea pachetelor de tunel neperformate IPSEC este acceptată pe IPv6 și IPv6 peste interfețele tunelului IP numai la sesiunile sursă ERSPAN, nu la sesiunile de destinație Erspan.
- Cisco iOS XE Release 3.5S, s -a adăugat suport pentru următoarele tipuri de interfețe WAN ca porturi sursă pentru o sesiune sursă: Serial (T1/E1, T3/E3, DS0), pachet peste sonet (POS) (OC3, OC12) și multi -PPP (Multilink, POS și cuvinte cheie seriale au fost adăugate la comanda de interfață sursă).
Utilizarea erspan ca interval local:
Pentru a utiliza erspan pentru a monitoriza traficul prin unul sau mai multe porturi sau VLAN -uri în același dispozitiv, trebuie să creăm o sursă ERSPAN și sesiuni de destinație ERSPAN în același dispozitiv, fluxul de date are loc în interiorul routerului, care este similar cu cel din intervalul local.
Următorii factori sunt aplicabili în timp ce se utilizează ERSPAN ca interval local:
- Ambele sesiuni au același ID erSpan.
- Ambele sesiuni au aceeași adresă IP. Această adresă IP este adresa IP a routerelor; Adică adresa IP Loopback sau adresa IP configurată pe orice port.
| (Config)# Monitor Sesiunea 10 Tip erSpan-Source |
| (config-mon-erpan-src)# interfață sursă GIG0/0/0 |
| (Config-Mon-Erpan-Src)# destinație |
| (Config-Mon-Erspan-Src-DST)# Adresa IP 10.10.10.1 |
| . |
| (config-mon-erpan-src-dst)# erspan-id 100 |
Timpul post: 28-2024 august
