SPAN, RSPAN и ERSPANса техники, използвани в мрежите за улавяне и наблюдение на трафика за анализ. Ето кратък преглед на всеки:
SPAN (Анализатор на комутирани портове)
Цел: Използва се за отразяване на трафик от конкретни портове или VLAN на комутатор към друг порт за наблюдение.
Случай на употреба: Идеален за локален анализ на трафика на един комутатор. Трафикът се отразява към определен порт, където мрежов анализатор може да го улови.
RSPAN (отдалечен SPAN)
Цел: Разширява възможностите на SPAN в множество комутатори в мрежа.
Случай на използване: Позволява наблюдение на трафика от един комутатор към друг през магистрална връзка. Полезно за сценарии, при които устройството за наблюдение е разположено на различен превключвател.
ERSPAN (капсулиран отдалечен SPAN)
Цел: Комбинира RSPAN с GRE (Generic Routing Encapsulation), за да капсулира огледалния трафик.
Случай на употреба: Позволява наблюдение на трафика през маршрутизирани мрежи. Това е полезно при сложни мрежови архитектури, където трафикът трябва да бъде уловен през различни сегменти.
Анализатор на превключвателни портове (SPAN)е ефективна, високопроизводителна система за мониторинг на трафика. Той насочва или отразява трафика от порт източник или VLAN към порт местоназначение. Това понякога се нарича мониторинг на сесия. SPAN се използва за отстраняване на проблеми със свързаността и изчисляване на използването и производителността на мрежата, наред с много други. Има три вида SPAN, поддържани от продукти на Cisco...
а. SPAN или локален SPAN.
b. Отдалечен SPAN (RSPAN).
c. Капсулиран отдалечен SPAN (ERSPAN).
Да знаеш: "Mylinking™ Брокер на мрежови пакети с функции SPAN, RSPAN и ERSPAN"
SPAN / дублиране на трафик / дублиране на порт се използва за много цели, по-долу включва някои.
- Внедряване на IDS/IPS в безразборен режим.
- Решения за запис на VOIP разговори.
- Причини за съответствие със сигурността за наблюдение и анализ на трафика.
- Отстраняване на проблеми с връзката, наблюдение на трафика.
Независимо от работещия тип SPAN, източникът на SPAN може да бъде всякакъв тип порт, т.е. маршрутизиран порт, порт на физически комутатор, порт за достъп, магистрала, VLAN (всички активни портове се наблюдават на комутатора), EtherChannel (или порт, или цял порт -канални интерфейси) и т.н. Имайте предвид, че порт, конфигуриран за местоназначение на SPAN, НЕ МОЖЕ да бъде част от VLAN източник на SPAN.
SPAN сесиите поддържат наблюдение на входящ трафик (входящ SPAN), изходящ трафик (изходящ SPAN) или трафик, протичащ в двете посоки.
- Ingress SPAN (RX) копира трафика, получен от изходните портове и VLAN към целевия порт. SPAN копира трафика преди каквато и да е модификация (например преди всеки VACL или ACL филтър, QoS или контрол на входа или изхода).
- Egress SPAN (TX) копира трафика, предаван от изходните портове и VLAN към целевия порт. Всички съответни действия за филтриране или модификация чрез VACL или ACL филтър, QoS или контролни действия за вход или изход се предприемат преди превключвателят да препрати трафик към целевия порт на SPAN.
- Когато се използва ключовата дума both, SPAN копира мрежовия трафик, получен и предаден от изходните портове и VLAN към целевия порт.
- SPAN/RSPAN обикновено игнорира CDP, STP BPDU, VTP, DTP и PAgP рамки. Тези типове трафик обаче могат да бъдат препращани, ако е конфигурирана командата за репликация на капсулиране.
SPAN или локален SPAN
SPAN отразява трафика от един или повече интерфейси на комутатора към един или повече интерфейси на същия комутатор; следователно SPAN се нарича най-вече LOCAL SPAN.
Насоки или ограничения за локален SPAN:
- И двете превключвани портове на ниво 2 и портовете на ниво 3 могат да бъдат конфигурирани като портове източник или дестинация.
- Източникът може да бъде един или повече портове или VLAN, но не комбинация от тях.
- Трънк портовете са валидни изходни портове, смесени с не-трънк изходни портове.
- До 64 SPAN целеви порта могат да бъдат конфигурирани на комутатор.
- Когато конфигурираме дестинационен порт, оригиналната му конфигурация се презаписва. Ако конфигурацията на SPAN бъде премахната, оригиналната конфигурация на този порт се възстановява.
- Когато конфигурирате целеви порт, портът се премахва от всеки пакет EtherChannel, ако е бил част от такъв. Ако беше маршрутизиран порт, конфигурацията на местоназначението на SPAN отменя конфигурацията на маршрутизиран порт.
- Целевите портове не поддържат защита на портове, 802.1x удостоверяване или частни VLAN.
- Един порт може да действа като дестинационен порт само за една SPAN сесия.
- Порт не може да бъде конфигуриран като порт на местоназначение, ако е порт източник на сесия с обхват или част от VLAN източник.
- Интерфейсите на портовия канал (EtherChannel) могат да бъдат конфигурирани като портове източник, но не и порт местоназначение за SPAN.
- Посоката на трафика е "и двете" по подразбиране за SPAN източници.
- Дестинационните портове никога не участват в екземпляр на spanning-tree. Не може да поддържа DTP, CDP и т.н. Локалният SPAN включва BPDU в наблюдавания трафик, така че всички BPDU, които се виждат на целевия порт, се копират от порта източник. Затова никога не свързвайте комутатор към този тип SPAN, тъй като това може да причини мрежов цикъл.
- Когато VLAN е конфигуриран като източник на SPAN (най-често наричан VSPAN) с конфигурирани опции за вход и изход, препращайте дублиращи се пакети от порта източник само ако пакетите се превключват в една и съща VLAN. Едното копие на пакета е от входящия трафик на входния порт, а другото копие на пакета е от изходящия трафик на изходящия порт.
- VSPAN следи само трафика, който напуска или влиза в портове на слой 2 във VLAN.
SPAN, RSPAN и ERSPAN са техники, използвани в мрежите за улавяне и наблюдение на трафика за анализ. Ето кратък преглед на всеки:
SPAN (Анализатор на комутирани портове)
- Цел: Използва се за отразяване на трафик от конкретни портове или VLAN на комутатор към друг порт за наблюдение.
- Случай на употреба: Идеален за локален анализ на трафика на един комутатор. Трафикът се отразява към определен порт, където мрежов анализатор може да го улови.
RSPAN (отдалечен SPAN)
- Цел: Разширява възможностите на SPAN в множество комутатори в мрежа.
- Случай на употреба: Позволява наблюдение на трафика от един комутатор към друг през магистрална връзка. Полезно за сценарии, при които устройството за наблюдение е разположено на различен превключвател.
ERSPAN (капсулиран отдалечен SPAN)
- Цел: Комбинира RSPAN с GRE (Generic Routing Encapsulation), за да капсулира огледалния трафик.
- Случай на употреба: Позволява наблюдение на трафика през маршрутизирани мрежи. Това е полезно при сложни мрежови архитектури, където трафикът трябва да бъде уловен през различни сегменти.
Дистанционен SPAN (RSPAN)
Отдалеченият SPAN (RSPAN) е подобен на SPAN, но поддържа изходни портове, изходни VLAN и целеви портове на различни комутатори, които осигуряват отдалечен мониторинг на трафика от изходни портове, разпределени в множество комутатори, и позволява на дестинацията да централизира мрежовите устройства за улавяне. Всяка RSPAN сесия пренася SPAN трафик през определена от потребителя специална RSPAN VLAN във всички участващи комутатори. Тази VLAN след това се свързва към други комутатори, което позволява трафикът на RSPAN сесията да бъде транспортиран през множество комутатори и доставен до станцията за улавяне на местоназначението. RSPAN се състои от RSPAN изходна сесия, RSPAN VLAN и RSPAN дестинационна сесия.
Насоки или ограничения за RSPAN:
- Специфична VLAN трябва да бъде конфигурирана за SPAN местоназначение, което ще премине през междинните комутатори чрез магистрални връзки към целевия порт.
- Може да създава същия тип източник – поне един порт или поне една VLAN, но не може да бъде комбинация.
- Дестинацията за сесията е RSPAN VLAN, а не единичният порт в комутатора, така че всички портове в RSPAN VLAN ще получат огледалния трафик.
- Конфигурирайте всяка VLAN като RSPAN VLAN, стига всички участващи мрежови устройства да поддържат конфигурация на RSPAN VLAN и използвайте една и съща RSPAN VLAN за всяка RSPAN сесия
- VTP може да разпространява конфигурация на VLAN с номера от 1 до 1024 като RSPAN VLAN, трябва ръчно да конфигурира VLAN с номер над 1024 като RSPAN VLAN на всички изходни, междинни и целеви мрежови устройства.
- Обучаването на MAC адрес е деактивирано в RSPAN VLAN.
Капсулиран отдалечен SPAN (ERSPAN)
Encapsulated remote SPAN (ERSPAN) осигурява генерично капсулиране на маршрутизиране (GRE) за целия уловен трафик и позволява разширяването му в домейни на ниво 3.
ERSPAN е aСобственост на Ciscoфункция и е достъпна само за платформи Catalyst 6500, 7600, Nexus и ASR 1000 до момента. ASR 1000 поддържа ERSPAN източник (мониторинг) само на Fast Ethernet, Gigabit Ethernet и интерфейси порт-канал.
Насоки или ограничения за ERSPAN:
- ERSPAN изходните сесии не копират ERSPAN GRE-капсулиран трафик от изходните портове. Всяка сесия източник на ERSPAN може да има или портове, или VLAN като източници, но не и двете.
- Независимо от всеки конфигуриран размер на MTU, ERSPAN създава пакети от слой 3, които могат да бъдат дълги до 9202 байта. Трафикът на ERSPAN може да бъде пропуснат от всеки интерфейс в мрежата, който налага размер на MTU по-малък от 9202 байта.
- ERSPAN не поддържа фрагментиране на пакети. Битът "не фрагментирай" е зададен в IP заглавката на ERSPAN пакетите. ERSPAN целевите сесии не могат да сглобяват повторно фрагментирани ERSPAN пакети.
- ERSPAN ID разграничава ERSPAN трафика, пристигащ на същия целеви IP адрес от различни различни ERSPAN изходни сесии; конфигурираният ERSPAN ID трябва да съвпада на изходните и целевите устройства.
- За изходен порт или изходна VLAN, ERSPAN може да наблюдава входящия, изходящия или и входящия, и изходящия трафик. По подразбиране ERSPAN следи целия трафик, включително мултикаст и кадрите на Bridge Protocol Data Unit (BPDU).
- Поддържаните тунелни интерфейси като изходни портове за изходна сесия на ERSPAN са GRE, IPinIP, SVTI, IPv6, IPv6 през IP тунел, многоточков GRE (mGRE) и защитени виртуални тунелни интерфейси (SVTI).
- Опцията за филтриране на VLAN не е функционална в сесия за наблюдение на ERSPAN на WAN интерфейси.
- ERSPAN на рутери от серия Cisco ASR 1000 поддържа само интерфейси от слой 3. Ethernet интерфейсите не се поддържат от ERSPAN, когато са конфигурирани като интерфейси от ниво 2.
- Когато една сесия е конфигурирана чрез CLI за конфигурация на ERSPAN, идентификаторът на сесията и типът на сесията не могат да бъдат променяни. За да ги промените, първо трябва да използвате формата no на командата за конфигуриране, за да премахнете сесията и след това да конфигурирате отново сесията.
- Cisco IOS XE Release 3.4S: - Мониторингът на незащитени с IPsec тунелни пакети се поддържа на IPv6 и IPv6 през IP тунелни интерфейси само за ERSPAN сесии източник, не и за ERSPAN дестинационни сесии.
- Cisco IOS XE Release 3.5S, беше добавена поддръжка за следните типове WAN интерфейси като изходни портове за изходна сесия: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) и Multilink PPP (multilink, pos и serial ключови думи бяха добавени към командата на изходния интерфейс).
Използване на ERSPAN като локален SPAN:
За да използваме ERSPAN за наблюдение на трафика през един или повече портове или VLAN в едно и също устройство, трябва да създадем ERSPAN източник и ERSPAN дестинационни сесии в едно и също устройство, потокът от данни се осъществява вътре в рутера, който е подобен на този в локалния SPAN.
Следните фактори са приложими при използване на ERSPAN като локален SPAN:
- И двете сесии имат един и същ ERSPAN ID.
- И двете сесии имат един и същ IP адрес. Този IP адрес е собственият IP адрес на рутера; т.е. обратният IP адрес или IP адресът, конфигуриран на произволен порт.
| (config)# наблюдава сесия 10 тип erspan-source |
| (config-mon-erspan-src)# изходен интерфейс Gig0/0/0 |
| (config-mon-erspan-src)# дестинация |
| (config-mon-erspan-src-dst)# ip адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# произход ip адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Време на публикуване: 28 август 2024 г
