Razumevanje SPAN, RSPAN in ERSPAN: tehnike za spremljanje omrežnega prometa

SPAN, RSPAN in ERSPAN so tehnike, ki se uporabljajo v omrežju za zajemanje in spremljanje prometa za analizo. Tukaj je kratek pregled vsakega:

SPAN (analizator komutiranih vrat)

Namen: Uporablja se za zrcaljenje prometa iz določenih vrat ali VLAN na stikalu na druga vrata za spremljanje.

Primer uporabe: Idealno za lokalno analizo prometa na enem stikalu. Promet se zrcali na določena vrata, kjer ga lahko zajame omrežni analizator.

RSPAN (oddaljeni SPAN)

Namen: razširi zmogljivosti SPAN na več stikal v omrežju.

Primer uporabe: Omogoča spremljanje prometa od enega stikala do drugega prek glavne povezave. Uporabno za scenarije, kjer je nadzorna naprava nameščena na drugem stikalu.

ERSPAN (Encapsulated Remote SPAN)

Namen: združuje RSPAN z GRE (Generic Routing Encapsulation) za enkapsulacijo zrcaljenega prometa.

Primer uporabe: Omogoča spremljanje prometa v usmerjenih omrežjih. To je uporabno v kompleksnih omrežnih arhitekturah, kjer je treba promet zajeti v različnih segmentih.

Switch port Analyzer (SPAN) je učinkovit, visoko zmogljiv sistem za spremljanje prometa. Usmerja ali zrcali promet od izvornih vrat ali VLAN do ciljnih vrat. To se včasih imenuje spremljanje seje. SPAN se med mnogimi drugimi uporablja za odpravljanje težav s povezljivostjo ter izračun izkoriščenosti in zmogljivosti omrežja. Izdelki Cisco podpirajo tri vrste SPAN ...

a. SPAN ali lokalni SPAN.

b. Oddaljeni SPAN (RSPAN).

c. Enkapsuliran oddaljeni SPAN (ERSPAN).

Vedeti: "Mylinking™ Network Packet Broker s funkcijami SPAN, RSPAN in ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / zrcaljenje prometa / zrcaljenje vrat se uporablja za številne namene, spodaj so navedeni nekateri.

- Implementacija IDS/IPS v promiskuitetnem načinu.

- Rešitve za snemanje klicev VOIP.

- Razlogi za skladnost z varnostjo za spremljanje in analizo prometa.

- Odpravljanje težav s povezavo, spremljanje prometa.

Ne glede na vrsto delovanja SPAN je lahko izvor SPAN katera koli vrsta vrat, tj. preusmerjena vrata, vrata fizičnega stikala, dostopna vrata, trunk, VLAN (vsa aktivna vrata stikala so nadzorovana), EtherChannel (bodisi vrata ali celotna vrata -kanalni vmesniki) itd. Upoštevajte, da vrata, konfigurirana za cilj SPAN, NE MOREJO biti del izvornega VLAN-a SPAN.

Seje SPAN podpirajo spremljanje vhodnega prometa (ingress SPAN), izhodnega prometa (egress SPAN) ali prometa, ki teče v obe smeri.

- Ingress SPAN (RX) kopira promet, ki ga prejmejo izvorna vrata in omrežja VLAN, v ciljna vrata. SPAN kopira promet pred kakršno koli spremembo (na primer pred katerim koli filtrom VACL ali ACL, QoS ali vhodnim ali izhodnim nadzorom).

- Egress SPAN (TX) kopira promet, ki se prenaša iz izvornih vrat in VLAN v ciljna vrata. Vsa pomembna dejanja filtriranja ali spreminjanja s filtrom VACL ali ACL, QoS ali vhodnimi ali izhodnimi nadzornimi ukrepi se izvedejo, preden stikalo posreduje promet na ciljna vrata SPAN.

- Ko je uporabljena ključna beseda both, SPAN kopira omrežni promet, ki ga prejmejo in prenašajo izvorna vrata in omrežja VLAN, v ciljna vrata.

- SPAN/RSPAN običajno ignorira okvire CDP, STP BPDU, VTP, DTP in PAgP. Vendar je te vrste prometa mogoče posredovati, če je konfiguriran ukaz podvojitve enkapsulacije.

SPAN ali lokalni SPAN

SPAN zrcali promet z enega ali več vmesnikov na stikalu na enega ali več vmesnikov na istem stikalu; zato se SPAN večinoma imenuje LOKALNI SPAN.

Smernice ali omejitve za lokalni SPAN:

- Preklopna vrata ravni 2 in vrata plasti 3 je mogoče konfigurirati kot izvorna ali ciljna vrata.

- Vir je lahko ena ali več vrat ali VLAN, vendar ne kombinacija teh.

- Vrata glavnega kanala so veljavna izvorna vrata, pomešana z izvornimi vrati, ki niso vodilna.

- Na stikalu je mogoče konfigurirati do 64 ciljnih vrat SPAN.

- Ko konfiguriramo ciljna vrata, je njihova izvirna konfiguracija prepisana. Če je konfiguracija SPAN odstranjena, je prvotna konfiguracija na teh vratih obnovljena.

- Ko konfigurirate ciljna vrata, so vrata odstranjena iz katerega koli svežnja EtherChannel, če so bila del enega. Če bi šlo za usmerjena vrata, konfiguracija cilja SPAN preglasi konfiguracijo usmerjenih vrat.

- Ciljna vrata ne podpirajo varnosti vrat, preverjanja pristnosti 802.1x ali zasebnih omrežij VLAN.

- Vrata lahko delujejo kot ciljna vrata samo za eno sejo SPAN.

- Vrata ni mogoče konfigurirati kot ciljna vrata, če so izvorna vrata razponske seje ali del izvornega VLAN.

- Vmesnike vratnih kanalov (EtherChannel) je mogoče konfigurirati kot izvorna vrata, ne pa kot ciljna vrata za SPAN.

- Smer prometa je privzeto »oba« za vire SPAN.

- Ciljna vrata nikoli ne sodelujejo v primerku vpetega drevesa. Ne more podpirati DTP, CDP itd. Lokalni SPAN vključuje BPDU-je v nadzorovani promet, zato so vsi BPDU-ji, vidni na ciljnih vratih, kopirani iz izvornih vrat. Zato nikoli ne povežite stikala s to vrsto SPAN, saj lahko povzroči omrežno zanko. Orodja AI bodo izboljšala delovno učinkovitost innezaznaven AIstoritev lahko izboljša kakovost orodij AI.

- Ko je VLAN konfiguriran kot vir SPAN (večinoma imenovan VSPAN) s konfiguriranimi vhodnimi in izhodnimi možnostmi, posredujte podvojene pakete iz izvornih vrat samo, če se paketi preklopijo v istem VLAN-u. Ena kopija paketa je iz vhodnega prometa na vhodnih vratih, druga kopija paketa pa je iz izhodnega prometa na izhodnih vratih.

- VSPAN spremlja le promet, ki zapusti ali vstopi v vrata plasti 2 v VLAN.

SPAN, RSPAN, ERSPAN 1

Oddaljeni SPAN (RSPAN)

Oddaljeni SPAN (RSPAN) je podoben SPAN-u, vendar podpira izvorna vrata, izvorna VLAN-ja in ciljna vrata na različnih stikalih, ki zagotavljajo daljinsko spremljanje prometa iz izvornih vrat, porazdeljenih po več stikalih, in omogočajo centraliziranje ciljnih naprav za zajem omrežja. Vsaka seja RSPAN prenaša promet SPAN prek uporabniško določenega namenskega RSPAN VLAN v vseh sodelujočih stikalih. Ta VLAN se nato poveže z drugimi stikali, kar omogoča prenos prometa seje RSPAN prek več stikal in dostavo do ciljne postaje za zajemanje. RSPAN je sestavljen iz izvorne seje RSPAN, RSPAN VLAN in ciljne seje RSPAN.

Smernice ali omejitve za RSPAN:

- Poseben VLAN mora biti konfiguriran za cilj SPAN, ki bo prečkal vmesna stikala prek trunk povezav do ciljnih vrat.

- Lahko ustvari isto vrsto vira – vsaj ena vrata ali vsaj en VLAN, vendar ne more biti mešanica.

- Cilj za sejo je RSPAN VLAN in ne posamezna vrata v stikalu, tako da bodo vsa vrata v RSPAN VLAN prejela zrcaljeni promet.

- Konfigurirajte kateri koli VLAN kot RSPAN VLAN, če vse sodelujoče omrežne naprave podpirajo konfiguracijo RSPAN VLAN, in uporabite isti RSPAN VLAN za vsako sejo RSPAN

- VTP lahko širi konfiguracijo omrežij VLAN s številkami od 1 do 1024 kot RSPAN VLAN, mora ročno konfigurirati VLAN s številkami nad 1024 kot RSPAN VLAN na vseh izvornih, vmesnih in ciljnih omrežnih napravah.

- Učenje naslova MAC je onemogočeno v RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Enkapsuliran oddaljeni SPAN (ERSPAN)

Enkapsulirani oddaljeni SPAN (ERSPAN) prinaša generično enkapsulacijo usmerjanja (GRE) za ves zajeti promet in omogoča njegovo razširitev na domene 3. plasti.

ERSPAN je aLastniško Ciscofunkcijo in je do danes na voljo samo za platforme Catalyst 6500, 7600, Nexus in ASR 1000. ASR 1000 podpira vir ERSPAN (nadzor) samo na vmesnikih Fast Ethernet, Gigabit Ethernet in port-channel.

Smernice ali omejitve za ERSPAN:

- Izvorne seje ERSPAN ne kopirajo prometa, enkapsuliranega z ERSPAN GRE, iz izvornih vrat. Vsaka izvorna seja ERSPAN ima lahko bodisi vrata ali VLAN kot vire, vendar ne obojega.

- Ne glede na konfigurirano velikost MTU ERSPAN ustvari pakete plasti 3, ki so lahko dolgi do 9.202 bajtov. Promet ERSPAN lahko opusti kateri koli vmesnik v omrežju, ki uveljavlja velikost MTU, manjšo od 9202 bajtov.

- ERSPAN ne podpira fragmentacije paketov. Bit "ne fragmentiraj" je nastavljen v glavi IP paketov ERSPAN. Ciljne seje ERSPAN ne morejo znova sestaviti fragmentiranih paketov ERSPAN.

- ERSPAN ID razlikuje promet ERSPAN, ki prihaja na isti ciljni naslov IP iz različnih različnih izvornih sej ERSPAN; konfiguriran ID ERSPAN se mora ujemati na izvorni in ciljni napravi.

- Za izvorna vrata ali izvorni VLAN lahko ERSPAN spremlja vhodni in izhodni promet ali oba vhodna in izhodna prometa. ERSPAN privzeto spremlja ves promet, vključno z multicast in okvirji Bridge Protocol Data Unit (BPDU).

- Podprti vmesnik predora kot izvorna vrata za izvorno sejo ERSPAN so GRE, IPinIP, SVTI, IPv6, IPv6 prek tunela IP, večtočkovni GRE (mGRE) in varni vmesniki virtualnega predora (SVTI).

- Možnost filtra VLAN ne deluje v nadzorni seji ERSPAN na vmesnikih WAN.

- ERSPAN na usmerjevalnikih serije Cisco ASR 1000 podpira samo vmesnike 3. ravni. Vmesniki Ethernet niso podprti na ERSPAN, ko so konfigurirani kot vmesniki 2. ravni.

- Ko je seja konfigurirana prek konfiguracijskega CLI ERSPAN, ID-ja seje in vrste seje ni mogoče spremeniti. Če jih želite spremeniti, morate najprej uporabiti obliko no konfiguracijskega ukaza za odstranitev seje in nato znova konfigurirati sejo.

- Cisco IOS XE Release 3.4S: - Spremljanje paketov tunela, ki niso zaščiteni z IPsec, je podprto na vmesnikih tunela IPv6 in IPv6 prek IP samo za izvorne seje ERSPAN, ne pa za ciljne seje ERSPAN.

- Cisco IOS XE Release 3.5S, dodana je bila podpora za naslednje vrste vmesnikov WAN kot izvorna vrata za izvorno sejo: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) in Multilink PPP (multilink, pos in serial ključne besede so bile dodane ukazu izvornega vmesnika).

SPAN, RSPAN, ERSPAN 3

Uporaba ERSPAN kot lokalnega SPAN:

Za uporabo ERSPAN za spremljanje prometa prek enega ali več vrat ali VLAN v isti napravi moramo ustvariti izvorno in ciljno sejo ERSPAN v isti napravi, pretok podatkov poteka znotraj usmerjevalnika, kar je podobno kot v lokalnem SPAN.

Pri uporabi ERSPAN kot lokalnega SPAN veljajo naslednji dejavniki:

- Obe seji imata isti ERSPAN ID.

- Obe seji imata isti naslov IP. Ta naslov IP je lastni naslov IP usmerjevalnika; to je naslov IP povratne zanke ali naslov IP, konfiguriran na poljubnih vratih.

(config)# nadzorna seja 10 tip erspan-source
(config-mon-erspan-src)# izvorni vmesnik Gig0/0/0
(config-mon-erspan-src)# cilj
(config-mon-erspan-src-dst)# ip naslov 10.10.10.1
(config-mon-erspan-src-dst)# izvorni naslov ip 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Čas objave: 28. avgust 2024