Span, RSPAN и ERSPAN са техники, използвани в мрежата за улавяне и наблюдение на трафика за анализ. Ето кратък преглед на всеки:
Span (превключен порт анализатор)
Цел: Използва се за отразяване на трафика от специфични портове или VLAN при превключване към друг порт за наблюдение.
Използвайте случай: Идеален за локален анализ на трафика на един превключвател. Трафикът е огледален до определен порт, където мрежовият анализатор може да го заснеме.
RSPAN (отдалечен педя)
Цел: разширява възможностите на SPAN в множество превключватели в мрежа.
Използвайте случай: Позволява мониторинг на трафика от един превключвател към друг през връзка на багажника. Полезно за сценарии, при които устройството за наблюдение се намира на различен превключвател.
Erspan (капсулиран дистанционен период)
Цел: Комбинира RSPAN с GRE (генерично капсулиране на маршрутизиране), за да капсулира огледалния трафик.
Използвайте случай: Позволява мониторинг на трафика през маршрутизирани мрежи. Това е полезно в сложни мрежови архитектури, при които трафикът трябва да бъде заснет в различни сегменти.
Switch Port Analyzer (SPAN) е ефективна система за наблюдение на трафика с висока производителност. Той насочва или отразява трафика от изходния порт или VLAN до порт на местоназначение. Това понякога се нарича мониторинг на сесията. SPAN се използва за отстраняване на проблеми с свързаността и изчисляване на използването и производителността на мрежата, наред с много други. На продуктите на Cisco са поддържани три вида петна ...
a. Педя или локален педя.
б. Отдалечен педя (rspan).
c. Капсулиран дистанционен педя (erspan).
Да знам: "Мрежови пакети MyLinking ™ Брокер с пакети с SPAN, RSPAN и ERSPAN функции"
SPAN / TRAFFIC MIRCHING / Огледалото за порт се използва за много цели, по -долу включва някои.
- Внедряване на идентификационни номера/IPS в режим PROMISCOUD.
- Решения за запис на VoIP Call.
- Причини за спазване на сигурността, за да наблюдавате и анализирате трафика.
- Отстраняване на проблеми с връзката, наблюдение на трафика.
Независимо от типа SPAN, работещ, източникът на SPAN може да бъде всеки тип порт, т.е. маршрутизиран порт, порт за физически превключвател, порт за достъп, багажник, VLAN (всички активни портове се следят на превключвателя), етерканал (или порт или цял порт-канал интерфейс) и т.н. Забележете, че порт, конфигуриран за дестинация за педя, не може да бъде част от източник на педя.
SPAN сесиите поддържат мониторинга на входящия трафик (обхват на влизане), трафик на изход (разстояние от изхода) или трафик, който тече в двете посоки.
- ИНТРОЙ SPAN (RX) Копира трафик, получен от изходните портове и VLAN, до порта на местоназначението. SPAN копира трафика преди всяка промяна (например преди всеки Vacl или ACL филтър, QoS или PONSERS или EGRESS POLECING).
- Изходната педя (TX) Копира трафик, предаван от изходните портове и VLAN, до дестинацията. Всички съответни филтриране или модификация чрез VACL или ACL филтър, QoS или Engress или Egress Политически действия са предприети преди превключвателя да препрати трафик, за да обхване порта за дестинация.
- Когато се използва и двете ключови думи, обхващат мрежовия трафик, получен и предаван от изходните портове и VLAN до порта на местоназначението.
- Span/Rspan обикновено игнорира CDP, STP BPDU, VTP, DTP и PAGP кадри. Тези типове трафик обаче могат да бъдат препратени, ако командата за репликация на капсулиране е конфигурирана.
Педя или местен педя
Span отразява трафика от един или повече интерфейс на превключвателя към един или повече интерфейси на един и същ превключвател; Следователно SPAN се нарича най -вече локален педя.
Насоки или ограничения за местната педя:
- И двата порта с превключване на слой 2, и порта на слой 3 могат да бъдат конфигурирани като изходни или дестинационни портове.
- Източникът може да бъде или един или повече портове или VLAN, но не и смесица от тях.
- Портовете на багажника са валидни портове на източници, смесени с портове за източници, които не са багажник.
- до 64 печатни дестинации могат да бъдат конфигурирани на превключвател.
- Когато конфигурираме порт за местоназначение, оригиналната му конфигурация е презаписана. Ако конфигурацията на SPAN е премахната, оригиналната конфигурация на този порт се възстановява.
- Когато конфигурирате дестинация порт, портът се отстранява от всеки пакет EtherChanel, ако е бил част от един. Ако беше маршрутизиран порт, конфигурацията на дестинацията SPAN отменя конфигурацията на маршрутизирана порта.
- Портовете за дестинация не поддържат сигурност пристанище, 802.1x удостоверяване или частни VLAN.
- Портът може да действа като дестинация порт само за една педя сесия.
- порт не може да бъде конфигуриран като порт на местоназначение, ако е изходен порт на Span сесия или част от източника VLAN.
- Интерфейсите на порт канал (EtherChannel) могат да бъдат конфигурирани като изходни портове, но не и порт за дестинация за SPAN.
- Посоката на трафика е „и двете“ по подразбиране за източници на SPAN.
- Портовете за дестинация никога не участват в екземпляр на обхващащо дърво. Не може да поддържа DTP, CDP и др. Локалният педя включва BPDUS в наблюдавания трафик, така че всеки BPDUS, който се вижда на порта на местоназначението, се копира от изходния порт. Следователно никога не свързвайте превключвател към този тип педя, тъй като може да причини мрежов цикъл. AI инструментите ще подобрят ефективността на работната работа инеоткриваем AIУслугата може да подобри качеството на AI инструментите.
- Когато VLAN е конфигуриран като източник на SPAN (най -вече наричан VSPAN) с конфигурирани както опции за влизане, така и за изход, препращайте дублиращи се пакети от изходния порт, само ако пакетите се превключват в един и същ VLAN. Едното копие на пакета е от входящия трафик на входящия порт, а другото копие на пакета е от трафика на изход на порта за изход.
- VSPAN следи само трафик, който оставя или влиза в слой 2 портове в VLAN.
Отдалечен педя (RSPAN)
Дистанционният педя (RSPAN) е подобен на SPAN, но поддържа портове на източници, източници на VLAN и дестинации на различни превключватели, които осигуряват трафик за дистанционно наблюдение от портовете на източника, разпределени върху множество превключватели, и позволява дестинация централизиране на мрежата за заснемане на мрежата. Всяка RSPAN сесия носи трафика на SPAN върху специфичен от потребителя специализиран RSPAN VLAN във всички участващи превключватели. След това този VLAN се насочва към други превключватели, което позволява трафикът на сесиите на RSPAN да бъде транспортиран през множество превключватели и доставен до станция за заснемане на дестинация. RSPAN се състои от сесия на RSPAN Source, RSPAN VLAN и RSPAN дестинация.
Насоки или ограничения към RSPAN:
- Специфичен VLAN трябва да бъде конфигуриран за дестинация SPAN, който ще преминава през междинните превключватели чрез връзки към багажника към порта на местоназначение.
- Може да създаде същия тип източник - поне един порт или поне един VLAN, но не може да бъде миксът.
- Дестинацията за сесията е RSPAN VLAN, а не единичния порт в Switch, така че всички пристанища в RSPAN VLAN ще получат огледалния трафик.
- Конфигурирайте всеки VLAN като RSPAN VLAN, стига всички участващи мрежови устройства да поддържат конфигурация на RSPAN VLANS, и използвайте една и съща RSPAN VLAN за всяка RSPAN сесия
- VTP може да разпространява конфигурация на VLAN, номерирани от 1 до 1024 като RSPAN VLANS, трябва ръчно да конфигурира VLAN, номерирани по -високо от 1024 като RSPAN VLANS на всички източници, междинни и дестинационни мрежови устройства.
- Ученето в MAC адреса е деактивирано в RSPAN VLAN.
Капсулиран отдалечен педя (Erspan)
Капсулираната дистанционна педя (ERSPAN) носи обща капсулация на маршрутизация (GRE) за целия заснет трафик и позволява да се разширява в домейни на слой 3.
Erspan е aCisco PropriatearХарактеристика и се предлага само за Catalyst 6500, 7600, Nexus и ASR 1000 платформи до момента. ASR 1000 поддържа източник на Erspan (мониторинг) само на бързи Ethernet, Gigabit Ethernet и Port-канален интерфейс.
Насоки или ограничения за Erspan:
- Изходните сесии на Erspan не копират трафик на капсулиран трафик от изходни портове. Всяка сесия на източника на Erspan може да има или пристанища или VLAN като източници, но не и двете.
- Независимо от конфигурирания размер на MTU, Erspan създава пакети с слой 3, които могат да бъдат толкова дълги, колкото 9 202 байта. Трафикът на Erspan може да бъде отпаднал от всеки интерфейс в мрежата, който налага размер на MTU по -малък от 9 202 байта.
- Erspan не поддържа фрагментация на пакета. Битът „Не фрагменти“ е зададен в IP заглавката на пакетите Erspan. Сесиите за дестинация на Erspan не могат да сглобяват фрагментирани пакети Erspan.
- ID на Erspan разграничава трафика на Erspan, пристигащ на един и същ IP адрес на дестинация от различни сесии на източници на Erspan; Конфигурираният ERSSPAN ID трябва да съвпада на устройства източник и дестинация.
- За изходен порт или източник VLAN, Erspan може да наблюдава вход, изход или и вход и изход. По подразбиране ERSPAN следи целия трафик, включително кадри за данни за многоадбат и мостов протокол (BPDU).
- Интерфейсът на тунела, поддържан като изходни портове за сесия на източника на ERSSPAN, са GRE, Ipinip, SVTI, IPv6, IPv6 над IP тунел, многоточков GRE (MGRE) и осигуряват виртуални тунелни интерфейси (SVTI).
- Опцията Filter VLAN не е функционална в сесия за наблюдение на ERSSPAN на WAN интерфейси.
- Erspan на маршрутизаторите на Cisco ASR 1000 серия поддържа само интерфейси на слой 3. Ethernet интерфейсите не се поддържат на ERSSPAN, когато се конфигурират като интерфейси на слой 2.
- Когато сесията е конфигурирана чрез CLI на конфигурацията на Erspan, идентификаторът на сесията и типът на сесията не могат да бъдат променени. За да ги промените, първо трябва да използвате формата на конфигурация на командата, за да премахнете сесията и след това да пренастроите сесията.
- Cisco IOS XE Release 3.4s:- Мониторингът на защитените с непсек тунелни пакети се поддържа на IPv6 и IPv6 през интерфейсите на IP тунели само за сесии за източници на ERSSPAN, а не за сесии за дестинация.
- Cisco iOS XE Release 3.5s, беше добавена поддръжка за следните видове WAN интерфейси като изходни портове за сесия на източник: сериен (T1/E1, T3/E3, DS0), пакет над SONET (POS) (OC3, OC12) и PPP PPP (multilink, POS и серийни ключови думи бяха добавени към командата за свързване на източника).
Използване на Erspan като местен педя:
За да използваме Erspan за наблюдение на трафика през един или повече портове или VLAN в едно и също устройство, трябва да създадем източник на Erspan и сесии за дестинация на Erspan в същото устройство, потокът от данни се осъществява вътре в рутера, който е подобен на този в локален педя.
Следните фактори са приложими, докато използвате Erspan като локален педя:
- И двете сесии имат една и съща Erspan ID.
- И двете сесии имат един и същ IP адрес. Този IP адрес е собственият IP адрес на маршрутизаторите; тоест IP адресът на Loopback или IP адресът, конфигуриран на всеки порт.
| (Конфигурация)# Монитор Сесия 10 Тип Erspan-източник |
| (config-mon-erspan-SRC)# Източник интерфейс Gig0/0/0 |
| (config-mon-erspan-src)# дестинация |
| (config-mon-erspan-src-dst)# ip адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# произход IP адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Време за публикация: 28-2024 август
