English

Razumijevanje SPAN, RSPAN i ERSPAN: Tehnike za nadzor mrežnog prometa

SPAN, RSPAN i ERSPANsu tehnike koje se koriste u umrežavanju za hvatanje i praćenje prometa za analizu. Evo kratkog pregleda svakog od njih:

SPAN (analizator komutiranih priključaka)

Svrha: Koristi se za zrcaljenje prometa s određenih portova ili VLAN-ova na preklopniku na drugi port za praćenje.

Slučaj upotrebe: Idealno za analizu lokalnog prometa na jednom prekidaču. Promet se zrcali na određeni port gdje ga mrežni analizator može uhvatiti.

RSPAN (udaljeni SPAN)

Svrha: Proširuje SPAN mogućnosti na više preklopnika u mreži.

Slučaj upotrebe: Omogućuje praćenje prometa od jednog preklopnika do drugog preko glavne veze. Korisno za scenarije u kojima se uređaj za nadzor nalazi na drugom prekidaču.

ERSPAN (inkapsulirani udaljeni SPAN)

Svrha: Kombinira RSPAN s GRE (Generic Routing Encapsulation) za enkapsulaciju zrcaljenog prometa.

Slučaj upotrebe: Omogućuje praćenje prometa preko usmjerenih mreža. Ovo je korisno u složenim mrežnim arhitekturama gdje promet treba uhvatiti preko različitih segmenata.

Analizator porta prekidača (SPAN)je učinkovit sustav za nadzor prometa visokih performansi. Usmjerava ili zrcali promet s izvorišnog porta ili VLAN-a na odredišni port. Ovo se ponekad naziva praćenje sesije. SPAN se koristi za rješavanje problema s povezivanjem i izračunavanje iskorištenosti mreže i performansi, između mnogih drugih. Postoje tri vrste SPAN-ova podržanih na Cisco proizvodima…

a. SPAN ili lokalni SPAN.

b. Udaljeni SPAN (RSPAN).

c. Enkapsulirani udaljeni SPAN (ERSPAN).

Da znam: "Mylinking™ mrežni paketni posrednik sa značajkama SPAN, RSPAN i ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / zrcaljenje prometa / zrcaljenje porta koristi se u mnoge svrhe, au nastavku su navedene neke.

- Implementacija IDS/IPS u promiskuitetnom načinu rada.

- Rješenja za snimanje VOIP poziva.

- Razlozi usklađenosti sa sigurnosnim propisima za praćenje i analizu prometa.

- Rješavanje problema s vezom, praćenje prometa.

Bez obzira na pokrenutu vrstu SPAN-a, izvor SPAN-a može biti bilo koja vrsta porta, tj. usmjereni port, fizički port komutatora, pristupni port, trunk, VLAN (svi aktivni portovi se nadziru komutatoru), EtherChannel (bilo port ili cijeli port -kanalna sučelja) itd. Imajte na umu da port konfiguriran za SPAN odredište NE MOŽE biti dio izvornog SPAN VLAN-a.

SPAN sesije podržavaju praćenje ulaznog prometa (ingress SPAN), izlaznog prometa (egress SPAN) ili prometa koji teče u oba smjera.

- Ingress SPAN (RX) kopira promet koji primaju izvorni portovi i VLAN-ovi na odredišni port. SPAN kopira promet prije bilo kakve izmjene (na primjer prije bilo kakvog VACL ili ACL filtera, QoS-a ili nadzora ulaza ili izlaza).

- Izlazni SPAN (TX) kopira promet koji se prenosi s izvorišnih portova i VLAN-ova na odredišni port. Sve relevantne radnje filtriranja ili modifikacije pomoću VACL ili ACL filtera, QoS-a ili nadzora ulaza ili izlaza poduzimaju se prije nego što sklopka proslijedi promet na SPAN odredišni port.

- Kada se koristi oba ključna riječ, SPAN kopira mrežni promet koji primaju i prenose izvorni portovi i VLAN-ovi na odredišni port.

- SPAN/RSPAN obično zanemaruje CDP, STP BPDU, VTP, DTP i PAgP okvire. Međutim, ove se vrste prometa mogu proslijediti ako je konfigurirana naredba repliciranja enkapsulacije.

SPAN ili lokalni SPAN

SPAN zrcali promet s jednog ili više sučelja na preklopniku na jedno ili više sučelja na istom preklopniku; stoga se SPAN uglavnom naziva LOKALNI SPAN.

Smjernice ili ograničenja za lokalni SPAN:

- I Layer 2 komutirani portovi i Layer 3 portovi mogu se konfigurirati kao izvorišni ili odredišni portovi.

- Izvor može biti jedan ili više priključaka ili VLAN, ali ne i njihova kombinacija.

- Glavni priključci su valjani izvorni priključci pomiješani s izvornim priključcima koji nisu glavni.

- Na preklopniku se može konfigurirati do 64 SPAN odredišna porta.

- Kada konfiguriramo odredišni priključak, njegova se izvorna konfiguracija prebriše. Ako se SPAN konfiguracija ukloni, vraća se izvorna konfiguracija na tom priključku.

- Kada konfigurirate odredišni priključak, priključak se uklanja iz bilo kojeg skupa EtherChannel ako je bio dio njega. Ako je to bio preusmjereni port, konfiguracija SPAN odredišta nadjačava konfiguraciju preusmjerenog priključka.

- Odredišni priključci ne podržavaju sigurnost priključnica, 802.1x autentifikaciju ili privatne VLAN-ove.

- Port može djelovati kao odredišni port za samo jednu SPAN sesiju.

- Port se ne može konfigurirati kao odredišni port ako je izvorni port span sesije ili dio izvornog VLAN-a.

- Sučelja kanala porta (EtherChannel) mogu se konfigurirati kao izvorni portovi, ali ne i odredišni port za SPAN.

- Smjer prometa je prema zadanim postavkama "oba" za SPAN izvore.

- Odredišni priključci nikada ne sudjeluju u instanci razapinjućeg stabla. Ne može podržati DTP, CDP itd. Lokalni SPAN uključuje BPDU-ove u nadzirani promet, tako da se svi BPDU-ovi koji se vide na odredišnom priključku kopiraju iz izvorišnog priključka. Stoga nikada ne spajajte prekidač na ovu vrstu SPAN jer bi to moglo uzrokovati mrežnu petlju.

- Kada je VLAN konfiguriran kao SPAN izvor (uglavnom se naziva VSPAN) s konfiguriranim ulaznim i izlaznim opcijama, prosljeđujte duplicirane pakete s izvornog porta samo ako se paketi prebacuju u istom VLAN-u. Jedna kopija paketa je iz ulaznog prometa na ulaznom portu, a druga kopija paketa je iz izlaznog prometa na izlaznom portu.

- VSPAN nadzire samo promet koji napušta ili ulazi na portove sloja 2 u VLAN-u.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN i ERSPAN su tehnike koje se koriste u umrežavanju za hvatanje i praćenje prometa za analizu. Evo kratkog pregleda svakog od njih:

SPAN (analizator komutiranih priključaka)

  • Svrha: Koristi se za zrcaljenje prometa s određenih portova ili VLAN-ova na preklopniku na drugi port za praćenje.
  • Slučaj upotrebe: Idealno za analizu lokalnog prometa na jednom prekidaču. Promet se zrcali na određeni priključak gdje ga mrežni analizator može uhvatiti.

RSPAN (udaljeni SPAN)

  • Svrha: Proširuje SPAN mogućnosti na više preklopnika u mreži.
  • Slučaj upotrebe: Omogućuje praćenje prometa od jednog preklopnika do drugog preko glavne veze. Korisno za scenarije u kojima se uređaj za nadzor nalazi na drugom prekidaču.

ERSPAN (inkapsulirani udaljeni SPAN)

  • Svrha: Kombinira RSPAN s GRE (Generic Routing Encapsulation) za enkapsulaciju zrcaljenog prometa.
  • Slučaj upotrebe: Omogućuje praćenje prometa preko usmjerenih mreža. Ovo je korisno u složenim mrežnim arhitekturama gdje promet treba uhvatiti preko različitih segmenata.

Udaljeni SPAN (RSPAN)

Udaljeni SPAN (RSPAN) sličan je SPAN-u, ali podržava izvorne priključke, izvorne VLAN-ove i odredišne ​​priključke na različitim preklopnicima, koji omogućuju daljinsko nadgledanje prometa s izvornih priključnica raspoređenih na više preklopnika i omogućuju odredišnim centraliziranim mrežnim uređajima za snimanje. Svaka RSPAN sesija prenosi SPAN promet preko korisnički određenog namjenskog RSPAN VLAN-a u svim uključenim preklopnicima. Ovaj VLAN se zatim povezuje s drugim preklopnicima, dopuštajući da se promet RSPAN sesije transportira preko više preklopnika i isporuči odredišnoj stanici za snimanje. RSPAN se sastoji od RSPAN izvorne sesije, RSPAN VLAN-a i RSPAN odredišne ​​sesije.

Smjernice ili ograničenja za RSPAN:

- Određeni VLAN mora biti konfiguriran za SPAN odredište koje će prelaziti preko međusklopki preko trunk veza prema odredišnom portu.

- Može stvoriti istu vrstu izvora – barem jedan priključak ili barem jedan VLAN, ali ne može biti kombinacija.

- Odredište za sesiju je RSPAN VLAN, a ne jedan port u prekidaču, tako da će svi portovi u RSPAN VLAN-u primiti zrcaljeni promet.

- Konfigurirajte bilo koji VLAN kao RSPAN VLAN sve dok svi uključeni mrežni uređaji podržavaju konfiguraciju RSPAN VLAN-ova i koristite isti RSPAN VLAN za svaku RSPAN sesiju

- VTP može širiti konfiguraciju VLAN-ova s ​​brojevima od 1 do 1024 kao RSPAN VLAN-ove, mora ručno konfigurirati VLAN-ove s brojevima većim od 1024 kao RSPAN VLAN-ove na svim izvorišnim, posredničkim i odredišnim mrežnim uređajima.

- Učenje MAC adrese je onemogućeno u RSPAN VLAN-u.

SPAN, RSPAN, ERSPAN 2

Enkapsulirani udaljeni SPAN (ERSPAN)

Enkapsulirani udaljeni SPAN (ERSPAN) donosi generičku enkapsulaciju usmjeravanja (GRE) za sav snimljeni promet i omogućuje njegovo proširenje preko domena sloja 3.

ERSPAN je aCiscovo vlasništvoznačajka i do danas je dostupan samo za platforme Catalyst 6500, 7600, Nexus i ASR 1000. ASR 1000 podržava ERSPAN izvor (nadzor) samo na Fast Ethernet, Gigabit Ethernet i sučeljima port-channel.

Smjernice ili ograničenja za ERSPAN:

- ERSPAN izvorne sesije ne kopiraju ERSPAN GRE-inkapsulirani promet s izvornih portova. Svaka ERSPAN izvorna sesija može imati ili portove ili VLAN kao izvore, ali ne oboje.

- Bez obzira na bilo koju konfiguriranu MTU veličinu, ERSPAN stvara pakete sloja 3 koji mogu biti dugi čak 9.202 bajta. ERSPAN promet može prekinuti bilo koje sučelje u mreži koje nameće MTU veličinu manju od 9202 bajta.

- ERSPAN ne podržava fragmentaciju paketa. Bit "ne fragmentiraj" postavljen je u IP zaglavlju ERSPAN paketa. ERSPAN odredišne ​​sesije ne mogu ponovno sastaviti fragmentirane ERSPAN pakete.

- ERSPAN ID razlikuje ERSPAN promet koji stiže na istu odredišnu IP adresu iz raznih različitih ERSPAN izvornih sesija; konfigurirani ERSPAN ID mora odgovarati na izvornim i odredišnim uređajima.

- Za izvorni port ili izvorni VLAN, ERSPAN može nadzirati ulazni, izlazni ili i ulazni i izlazni promet. Prema zadanim postavkama, ERSPAN prati sav promet, uključujući multicast i okvire Bridge Protocol Data Unit (BPDU).

- Sučelje tunela podržano kao izvorni priključci za ERSPAN izvornu sesiju su GRE, IPinIP, SVTI, IPv6, IPv6 preko IP tunela, Multipoint GRE (mGRE) i Secure Virtual Tunnel Interfaces (SVTI).

- Opcija VLAN filtera nije funkcionalna u ERSPAN sesiji nadzora na WAN sučeljima.

- ERSPAN na usmjerivačima serije Cisco ASR 1000 podržava samo sučelja sloja 3. Ethernet sučelja nisu podržana na ERSPAN-u kada su konfigurirana kao Layer 2 sučelja.

- Kada je sesija konfigurirana putem ERSPAN konfiguracijskog CLI-a, ID sesije i vrsta sesije ne mogu se promijeniti. Da biste ih promijenili, prvo morate upotrijebiti oblik no konfiguracijske naredbe za uklanjanje sesije i zatim ponovno konfigurirati sesiju.

- Cisco IOS XE Release 3.4S: - Praćenje paketa tunela koji nisu zaštićeni IPsecom podržano je na sučeljima IPv6 i IPv6 preko IP tunela samo za ERSPAN izvorne sesije, ne i za ERSPAN odredišne ​​sesije.

- Cisco IOS XE Release 3.5S, dodana je podrška za sljedeće vrste WAN sučelja kao izvorne portove za izvornu sesiju: ​​serijski (T1/E1, T3/E3, DS0), paket preko SONET-a (POS) (OC3, OC12) i Multilink PPP (multilink, pos i serial ključne riječi dodane su naredbi izvornog sučelja).

SPAN, RSPAN, ERSPAN 3

Korištenje ERSPAN-a kao lokalnog SPAN-a:

Da bismo koristili ERSPAN za praćenje prometa kroz jedan ili više portova ili VLAN-ova na istom uređaju, moramo stvoriti ERSPAN izvor i ERSPAN odredišnu sesiju na istom uređaju, protok podataka odvija se unutar usmjerivača, što je slično onom u lokalnom SPAN-u.

Sljedeći čimbenici su primjenjivi kada koristite ERSPAN kao lokalni SPAN:

- Obje sesije imaju isti ERSPAN ID.

- Obje sesije imaju istu IP adresu. Ova IP adresa je vlastita IP adresa usmjerivača; to jest povratna IP adresa ili IP adresa konfigurirana na bilo kojem priključku.

(config)# nadgledajte sesiju 10 tipa erspan-source
(config-mon-erspan-src)# izvorno sučelje Gig0/0/0
(config-mon-erspan-src)# odredište
(config-mon-erspan-src-dst)# ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# izvorna ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Vrijeme objave: 28. kolovoza 2024
Pritisnite Enter za pretraživanje ili ESC za zatvaranje