Pochopenie SPAN, RSPAN a ERSPAN: Techniky pre monitorovanie sieťovej prevádzky

SPAN, RSPAN a ERSPAN sú techniky používané v sieti na zachytávanie a monitorovanie prevádzky na účely analýzy. Tu je stručný prehľad každého z nich:

SPAN (analyzátor prepínaných portov)

Účel: Používa sa na zrkadlenie prevádzky zo špecifických portov alebo sietí VLAN na prepínači na iný port na monitorovanie.

Prípad použitia: Ideálne na analýzu miestnej premávky na jednom prepínači. Prevádzka sa zrkadlí na určený port, kde ju môže sieťový analyzátor zachytiť.

RSPAN (vzdialené SPAN)

Účel: Rozširuje možnosti SPAN cez viacero prepínačov v sieti.

Prípad použitia: Umožňuje monitorovanie prevádzky z jedného prepínača do druhého cez hlavné spojenie. Užitočné pre scenáre, kde je monitorovacie zariadenie umiestnené na inom prepínači.

ERSPAN (Encapsulated Remote SPAN)

Účel: Kombinuje RSPAN s GRE (Generic Routing Encapsulation) na zapuzdrenie zrkadlenej prevádzky.

Prípad použitia: Umožňuje monitorovanie prevádzky naprieč smerovanými sieťami. To je užitočné v zložitých sieťových architektúrach, kde je potrebné zachytiť prevádzku v rôznych segmentoch.

Switch port Analyzer (SPAN) je efektívny, vysoko výkonný systém na monitorovanie prevádzky. Smeruje alebo zrkadlí prevádzku zo zdrojového portu alebo VLAN do cieľového portu. Toto sa niekedy označuje ako monitorovanie relácie. SPAN sa používa okrem iného na riešenie problémov s pripojením a na výpočet využitia a výkonu siete. Na produktoch Cisco sú podporované tri typy SPAN…

a. SPAN alebo miestne SPAN.

b. Vzdialený SPAN (RSPAN).

c. Zapuzdrený vzdialený SPAN (ERSPAN).

Vedieť: "Mylinking™ Network Packet Broker s funkciami SPAN, RSPAN a ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / zrkadlenie prevádzky / zrkadlenie portov sa používa na mnohé účely, niektoré z nich sú uvedené nižšie.

- Implementácia IDS/IPS v promiskuitnom režime.

- Riešenia nahrávania hovorov VOIP.

- Dôvody dodržiavania bezpečnosti na monitorovanie a analýzu prevádzky.

- Riešenie problémov s pripojením, sledovanie prevádzky.

Bez ohľadu na spustený typ SPAN, zdrojom SPAN môže byť akýkoľvek typ portu, tj smerovaný port, fyzický port prepínača, prístupový port, trunk, VLAN (všetky aktívne porty sú monitorované prepínačom), EtherChannel (port alebo celý port). -channel interfaces) atď. Všimnite si, že port nakonfigurovaný pre SPAN cieľ NEMÔŽE byť súčasťou SPAN zdroja VLAN.

Relácie SPAN podporujú monitorovanie vstupnej prevádzky (ingress SPAN), výstupnej prevádzky (egress SPAN) alebo prevádzky prúdiacej v oboch smeroch.

- Ingress SPAN (RX) kopíruje prevádzku prijatú zdrojovými portami a sieťami VLAN do cieľového portu. SPAN kopíruje prevádzku pred akoukoľvek úpravou (napríklad pred akýmkoľvek filtrom VACL alebo ACL, QoS alebo kontrolou vstupu alebo výstupu).

- Egress SPAN (TX) kopíruje prenos prenášaný zo zdrojových portov a VLAN do cieľového portu. Všetky relevantné filtrovanie alebo modifikácie pomocou VACL alebo ACL filtra, QoS alebo kontrolných akcií vstupu alebo výstupu sa vykonajú predtým, ako prepínač prepošle prevádzku na cieľový port SPAN.

- Keď sa použije kľúčové slovo both, SPAN skopíruje sieťovú prevádzku prijímanú a prenášanú zdrojovými portami a sieťami VLAN do cieľového portu.

- SPAN/RSPAN zvyčajne ignoruje rámce CDP, STP BPDU, VTP, DTP a PAgP. Tieto typy prevádzky však môžu byť presmerované, ak je nakonfigurovaný príkaz encapsulation replikácie.

SPAN alebo Local SPAN

SPAN zrkadlí prevádzku z jedného alebo viacerých rozhraní na prepínači do jedného alebo viacerých rozhraní na rovnakom prepínači; preto sa SPAN väčšinou označuje ako LOCAL SPAN.

Pokyny alebo obmedzenia pre miestny SPAN:

- Prepínané porty vrstvy 2 aj porty vrstvy 3 môžu byť nakonfigurované ako zdrojové alebo cieľové porty.

- Zdrojom môže byť jeden alebo viac portov alebo VLAN, ale nie ich kombinácia.

- Trunkové porty sú platné zdrojové porty zmiešané s nekufrovými zdrojovými portami.

- Na prepínači je možné nakonfigurovať až 64 cieľových portov SPAN.

- Keď nakonfigurujeme cieľový port, jeho pôvodná konfigurácia sa prepíše. Ak sa odstráni konfigurácia SPAN, obnoví sa pôvodná konfigurácia na tomto porte.

- Pri konfigurácii cieľového portu sa port odstráni z akéhokoľvek balíka EtherChannel, ak bol súčasťou nejakého balíka. Ak by išlo o smerovaný port, konfigurácia cieľa SPAN prepíše konfiguráciu smerovaného portu.

- Cieľové porty nepodporujú zabezpečenie portov, autentifikáciu 802.1x ani súkromné ​​siete VLAN.

- Port môže fungovať ako cieľový port iba pre jednu reláciu SPAN.

- Port nemôže byť nakonfigurovaný ako cieľový port, ak je zdrojovým portom span session alebo súčasťou zdrojovej VLAN.

- Rozhrania portových kanálov (EtherChannel) môžu byť nakonfigurované ako zdrojové porty, ale nie cieľové porty pre SPAN.

- Smer premávky je predvolene „obaja“ pre zdroje SPAN.

- Cieľové porty sa nikdy nezúčastňujú na inštancii spanning-tree. Nepodporuje DTP, CDP atď. Lokálny SPAN zahŕňa BPDU v monitorovanej prevádzke, takže všetky BPDU videné na cieľovom porte sa skopírujú zo zdrojového portu. Preto nikdy nepripájajte prepínač k tomuto typu SPAN, pretože by to mohlo spôsobiť sieťovú slučku. Nástroje AI zlepšia efektivitu práce anezistiteľná AImôže zlepšiť kvalitu nástrojov AI.

- Keď je VLAN nakonfigurovaná ako zdroj SPAN (väčšinou označovaná ako VSPAN) s nakonfigurovanými možnosťami vstupu aj výstupu, posielať duplicitné pakety zo zdrojového portu iba vtedy, ak sa pakety prepínajú v rovnakej VLAN. Jedna kópia paketu je zo vstupnej prevádzky na vstupnom porte a druhá kópia paketu je z výstupnej prevádzky na výstupnom porte.

- VSPAN monitoruje iba prevádzku, ktorá opúšťa alebo vstupuje do portov vrstvy 2 vo VLAN.

SPAN, RSPAN, ERSPAN 1

Vzdialený SPAN (RSPAN)

Vzdialený SPAN (RSPAN) je podobný SPAN, ale podporuje zdrojové porty, zdrojové siete VLAN a cieľové porty na rôznych prepínačoch, ktoré poskytujú vzdialené monitorovanie prevádzky zo zdrojových portov distribuovaných cez viacero prepínačov a umožňujú cieľovú centralizáciu zariadení na zachytávanie siete. Každá relácia RSPAN prenáša prevádzku SPAN cez užívateľom špecifikovanú vyhradenú RSPAN VLAN vo všetkých zúčastnených prepínačoch. Táto VLAN je potom združená do iných prepínačov, čo umožňuje prenos relácií RSPAN cez viacero prepínačov a ich doručenie do cieľovej zachytávacej stanice. RSPAN pozostáva zo zdrojovej relácie RSPAN, RSPAN VLAN a cieľovej relácie RSPAN.

Pokyny alebo obmedzenia RSPAN:

- Špecifická VLAN musí byť nakonfigurovaná pre SPAN cieľ, ktorý bude prechádzať cez medziľahlé prepínače cez hlavné linky smerom k cieľovému portu.

- Môže vytvoriť rovnaký typ zdroja - aspoň jeden port alebo aspoň jednu VLAN, ale nemôže to byť kombinácia.

- Cieľ pre reláciu je RSPAN VLAN a nie jeden port v prepínači, takže všetky porty v RSPAN VLAN budú prijímať zrkadlenú prevádzku.

- Nakonfigurujte akúkoľvek VLAN ako RSPAN VLAN, pokiaľ všetky zúčastnené sieťové zariadenia podporujú konfiguráciu RSPAN VLAN, a používajte rovnakú RSPAN VLAN pre každú reláciu RSPAN

- VTP môže šíriť konfiguráciu VLAN s číslom 1 až 1024 ako RSPAN VLAN, musí manuálne nakonfigurovať VLAN s číslom vyšším ako 1024 ako RSPAN VLAN na všetkých zdrojových, medziľahlých a cieľových sieťových zariadeniach.

- Učenie MAC adries je v RSPAN VLAN zakázané.

SPAN, RSPAN, ERSPAN 2

Zapuzdrený vzdialený SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) prináša generické zapuzdrenie smerovania (GRE) pre všetku zachytenú prevádzku a umožňuje jej rozšírenie v doménach 3. vrstvy.

ERSPAN je aVlastná spoločnosť Ciscoa je zatiaľ k dispozícii iba pre platformy Catalyst 6500, 7600, Nexus a ASR 1000. ASR 1000 podporuje zdroj ERSPAN (monitorovanie) iba na rozhraniach Fast Ethernet, Gigabit Ethernet a port-channel.

Pokyny alebo obmedzenia pre ERSPAN:

- Zdrojové relácie ERSPAN nekopírujú prevádzku zapuzdrenú v ERSPAN GRE zo zdrojových portov. Každá zdrojová relácia ERSPAN môže mať ako zdroj buď porty alebo siete VLAN, ale nie oboje.

- Bez ohľadu na akúkoľvek nakonfigurovanú veľkosť MTU, ERSPAN vytvára pakety vrstvy 3, ktoré môžu mať dĺžku až 9 202 bajtov. Prenos ERSPAN môže byť zrušený ktorýmkoľvek rozhraním v sieti, ktoré vynucuje veľkosť MTU menšiu ako 9 202 bajtov.

- ERSPAN nepodporuje fragmentáciu paketov. Bit "nefragmentovať" je nastavený v hlavičke IP paketov ERSPAN. Cieľové relácie ERSPAN nemôžu znova zostaviť fragmentované pakety ERSPAN.

- ERSPAN ID rozlišuje ERSPAN prevádzku prichádzajúcu na rovnakú cieľovú IP adresu z rôznych rôznych zdrojových ERSPAN relácií; nakonfigurované ERSPAN ID sa musí zhodovať na zdrojovom a cieľovom zariadení.

- Pre zdrojový port alebo zdrojovú VLAN môže ERSPAN monitorovať vstupný, výstupný alebo vstupný aj výstupný prenos. V predvolenom nastavení ERSPAN monitoruje všetku prevádzku, vrátane rámcov multicast a Bridge Protocol Data Unit (BPDU).

- Tunelové rozhranie podporované ako zdrojové porty pre zdrojovú reláciu ERSPAN sú GRE, IPinIP, SVTI, IPv6, IPv6 cez IP tunel, Multipoint GRE (mGRE) a Secure Virtual Tunnel Interfaces (SVTI).

- Možnosť filtrovania VLAN nie je funkčná v monitorovacej relácii ERSPAN na rozhraniach WAN.

- ERSPAN na smerovačoch Cisco ASR 1000 Series podporuje iba rozhrania 3. vrstvy. Rozhrania Ethernet nie sú podporované na ERSPAN, keď sú nakonfigurované ako rozhrania vrstvy 2.

- Keď je relácia nakonfigurovaná prostredníctvom konfiguračného CLI ERSPAN, ID relácie a typ relácie nemožno zmeniť. Ak ich chcete zmeniť, musíte najprv použiť no formu konfiguračného príkazu na odstránenie relácie a potom znova nakonfigurovať reláciu.

- Cisco IOS XE Release 3.4S: - Monitorovanie tunelových paketov nechránených protokolom IPsec je podporované na rozhraniach tunela IPv6 a IPv6 cez IP iba ​​pre zdrojové relácie ERSPAN, nie pre cieľové relácie ERSPAN.

- Cisco IOS XE Release 3.5S, bola pridaná podpora pre nasledujúce typy WAN rozhraní ako zdrojové porty pre zdrojovú reláciu: sériový (T1/E1, T3/E3, DS0), paket cez SONET (POS) (OC3, OC12) a Multilink PPP (kľúčové slová multilink, pos a serial boli pridané do príkazu zdrojového rozhrania).

SPAN, RSPAN, ERSPAN 3

Použitie ERSPAN ako lokálneho SPAN:

Ak chcete použiť ERSPAN na monitorovanie prevádzky cez jeden alebo viac portov alebo VLAN v tom istom zariadení, musíme vytvoriť ERSPAN zdrojovú a ERSPAN cieľovú reláciu v rovnakom zariadení, dátový tok prebieha vo vnútri smerovača, čo je podobné ako v lokálnom SPAN.

Pri používaní ERSPAN ako lokálneho SPAN platia nasledujúce faktory:

- Obe relácie majú rovnaké ERSPAN ID.

- Obe relácie majú rovnakú IP adresu. Táto IP adresa je vlastnou IP adresou smerovača; tj adresu IP spätnej slučky alebo adresu IP nakonfigurovanú na ľubovoľnom porte.

(config)# monitor session 10 typu erspan-source
(config-mon-erspan-src)# zdrojové rozhranie Gig0/0/0
(config-mon-erspan-src)# cieľ
(config-mon-erspan-src-dst)# adresa IP 10.10.10.1
(config-mon-erspan-src-dst)# pôvodná ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Čas odoslania: 28. augusta 2024