Span, RSPAN en ERSPAN is tegnieke wat in netwerke gebruik word om die verkeer vas te lê en te monitor vir ontleding. Hier is 'n kort oorsig van elk:
Span (skakelaar -ontleder)
Doel: Word gebruik om die verkeer van spesifieke poorte of VLAN's op 'n skakel na 'n ander poort te weerspieël vir monitering.
Gebruik geval: ideaal vir plaaslike verkeersanalise op 'n enkele skakelaar. Verkeer word weerspieël na 'n aangewese hawe waar 'n netwerkanaliseerder dit kan vaslê.
RSPAN (afgeleë span)
Doel: brei die spanfunksies uit oor verskeie skakelaars in 'n netwerk.
Gebruik die saak: laat die verkeer van die een skakelaar na 'n ander oor 'n stamverbinding toe. Nuttig vir scenario's waar die moniteringstoestel op 'n ander skakelaar geleë is.
ErSpan (ingekapselde afstandspan)
Doel: kombineer RSPAN met GRE (generiese routing -inkapseling) om die spieëlverkeer in te kap.
Gebruik geval: maak voorsiening vir die monitering van verkeer oor gereelde netwerke. Dit is nuttig in komplekse netwerkargitekture waar verkeer oor verskillende segmente vasgelê moet word.
Switch Port Analyzer (SPAN) is 'n doeltreffende, hoë werkverrigting -verkeersmoniteringstelsel. Dit rig of weerspieël die verkeer van 'n bronpoort of VLAN na 'n bestemmingspoort. Daar word soms na sessiesmonitering verwys. SPAN word gebruik vir die oplos van verbindingsprobleme en die berekening van netwerkbenutting en -prestasie, onder vele ander. Daar is drie soorte spanne wat op Cisco -produkte ondersteun word ...
a. Span of plaaslike span.
b. Afgeleë span (RSPAN).
c. Ingekapselde afstandspan (ERSPAN).
Om te weet: "MyLinking ™ netwerkpakketmakelaar met span-, RSPAN- en ERSPAN -funksies"
Span- / verkeerspieël- / poortspieëlwerk word vir baie doeleindes gebruik, hieronder bevat sommige.
- Implementering van IDS/IPS in promiskue modus.
- VoIP -oproepopname -oplossings.
- Redes vir die nakoming van sekuriteit om verkeer te monitor en te ontleed.
- Probleemoplossing van verbindingsprobleme, die monitering van verkeer.
Ongeag die spantipe wat loop, spanbron kan enige soort poort wees, dws 'n geruite poort, fisiese skakelaarpoort, 'n toegangspoort, kofferbak, VLAN (alle aktiewe poorte word van die skakelaar gemonitor), 'n eterchannel (hetsy 'n poort of 'n hele port-kanaal-koppelvlakke), ens.
Span -sessies ondersteun die monitering van Ingress -verkeer (ingangspan), uitgangsperk (uitgangspan), of verkeer wat in albei rigtings vloei.
- Ingress Span (RX) kopieer verkeer wat deur die bronpoorte en VLAN's na die bestemmingspoort ontvang word. Span kopieer die verkeer voor enige wysiging (byvoorbeeld voor enige VACL- of ACL -filter, QoS of Ingress of Egress Policing).
- Egress Span (TX) kopieer verkeer wat vanaf die bronpoorte en VLAN na die bestemmingspoort oorgedra word. Alle relevante filter of wysiging deur VACL- of ACL -filter, QoS of Ingress- of Egress -polisiëringsaksies word gedoen voordat die skakelaar die verkeer na die bestemmingspoort vorentoe stuur.
- As die albei sleutelwoord gebruik word, kopieer span die netwerkverkeer wat deur die bronpoorte en VLAN's na die bestemmingspoort ontvang en oorgedra word.
- SPAN/RSPAN ignoreer gewoonlik CDP, STP BPDU, VTP, DTP en PAGP -rame. Hierdie verkeerstipes kan egter gestuur word as die opdrag vir die inkapseling van die inkapseling gekonfigureer is.
Span of plaaslike span
Span weerspieël die verkeer van een of meer koppelvlak op die skakelaar na een of meer koppelvlakke op dieselfde skakelaar; Daar word dus meestal na die span verwys as plaaslike span.
Riglyne of beperkings op plaaslike span:
- Beide Layer 2 -geskakelde poorte en laag 3 -poorte kan as bron- of bestemmingspoorte gekonfigureer word.
- Die bron kan óf een of meer poorte óf 'n VLAN wees, maar nie 'n mengsel hiervan nie.
- Trunkpoorte is geldige bronpoorte gemeng met nie-drank-bronpoorte.
- Tot 64 spanbestemmingspoorte kan op 'n skakelaar gekonfigureer word.
- As ons 'n bestemmingspoort opstel, word die oorspronklike konfigurasie oorskryf. As die spankonfigurasie verwyder word, word die oorspronklike konfigurasie op die poort herstel.
- Wanneer 'n bestemmingspoort instel, word die poort van enige EtherChannel -bundel verwyder as dit deel van een was. As dit 'n geruite poort was, oorskry die spanbestemmingskonfigurasie die gereelde poortkonfigurasie.
- Bestemmingspoorte ondersteun nie hawe -sekuriteit, 802.1x -verifikasie of privaat VLAN's nie.
- 'n Poort kan optree as die bestemmingspoort vir slegs een spansessie.
- 'n Poort kan nie as 'n bestemmingspoort gekonfigureer word as dit 'n bronpoort van 'n spanessie of 'n deel van die bron VLAN is nie.
- Port Channel Interfaces (EtherChannel) kan as bronpoorte gekonfigureer word, maar nie 'n bestemmingspoort vir span nie.
- Verkeersrigting is by verstek “albei” vir spanbronne.
- Bestemmingspoorte neem nooit deel aan 'n voorbeeld van die boom nie. Kan nie DTP, CDP, ens. Ondersteun nie. Plaaslike span sluit BPDU's in die gemonitorde verkeer in, dus word enige BPDU's wat op die bestemmingspoort gesien word, vanaf die bronpoort gekopieër. Verbind dus nooit 'n skakelaar aan hierdie tipe span nie, want dit kan 'n netwerklus veroorsaak. AI -instrumente sal werkdoeltreffendheid verbeter, enonopspoorbaar AIDiens kan die kwaliteit van AI -instrumente verbeter.
- Wanneer VLAN gekonfigureer is as spanbron (meestal VSPAN genoem) met beide ingang- en uitgangopsies wat gekonfigureer is, is daar slegs duplikaatpakkies van die bronpoort af as die pakkies in dieselfde VLAN verander word. Een kopie van die pakkie is van die Ingress -verkeer op die ingangpoort, en die ander kopie van die pakkie is van die uitgangspoort op die uitgangspoort.
- vSpan monitor slegs verkeer wat laag 2 -poorte in die VLAN verlaat of inkom.
Afgeleë span (RSPAN)
Remote Span (RSPAN) is soortgelyk aan spanwydte, maar dit ondersteun bronpoorte, bron VLAN's en bestemmingspoorte op verskillende skakelaars, wat afstandmoniteringsverkeer bied vanaf bronpoorte wat oor verskeie skakelaars versprei is en die bestemmings -sentralisering van netwerkopname -toestelle moontlik maak. Elke RSPAN-sessie dra die spanverkeer oor 'n gebruiker-gespesifiseerde toegewyde RSPAN VLAN in alle deelnemende skakelaars. Hierdie VLAN word dan na ander skakelaars gekniehalter, waardeur die RSPAN -sessie -verkeer oor verskeie skakelaars vervoer kan word en na die bestemmingsopname -stasie afgelewer kan word. RSPAN bestaan uit 'n RSPAN -bronsessie, 'n RSPAN VLAN en 'n RSPAN -bestemmingsessie.
Riglyne of beperkings op RSPAN:
- 'n Spesifieke VLAN moet gekonfigureer word vir die bestemming van die span wat oor die tussenskakelaars deurkruis via kofferbakke na die bestemmingspoort.
- Kan dieselfde brontipe skep - ten minste een poort of ten minste een VLAN, maar kan nie die mengsel wees nie.
- Die bestemming vir die sessie is RSPAN VLAN eerder as die enkele poort in die skakelaar, dus sal alle poorte in RSPAN VLAN die spieëlverkeer ontvang.
- Stel enige VLAN op as 'n RSPAN VLAN, solank alle deelnemende netwerktoestelle die konfigurasie van RSPAN VLANS ondersteun, en dieselfde RSPAN VLAN vir elke RSPAN -sessie gebruik
- VTP kan die konfigurasie van VLAN's met 1 tot 1024 as RSPAN VLAN's versprei, moet VLAN's met die hand opgestel word as RSPAN VLAN's op alle bron-, intermediêre en bestemmingsnetwerktoestelle.
- MAC -adresleer is gedeaktiveer in die RSPAN VLAN.
Ingekapselde afstandspan (ERSPAN)
Die ingekapselde afstandspan (ERSPAN) bring generiese routing -inkapseling (GRE) vir alle vasgelegde verkeer en laat dit oor die laag 3 -domeine uitgebrei word.
Erspan is 'nCisco Eiendomfunksie en is slegs beskikbaar vir Catalyst 6500, 7600, Nexus en ASR 1000 platforms tot dusver. Die ASR 1000 ondersteun ERSPAN-bron (monitering) slegs op Fast Ethernet-, Gigabit Ethernet- en poortkanaal-koppelvlakke.
Riglyne of beperkings op ErSpan:
- ERSPAN-bron sessies moenie ErSpan GRE-ingekapselde verkeer vanaf bronpoorte kopieer nie. Elke ErSpan -bron -sessie kan poorte of VLAN's as bronne hê, maar nie albei nie.
- Ongeag enige gekonfigureerde MTU -grootte, ErSpan skep laag 3 -pakkies wat so lank as 9.202 byte kan wees. ErSpan -verkeer kan moontlik deur enige koppelvlak in die netwerk laat val word wat 'n MTU -grootte kleiner as 9.202 grepe afdwing.
- ErSpan ondersteun nie pakketfragmentering nie. Die "moenie fragment" bit is in die IP -kop van Erspan -pakkies gestel nie. ErSpan -bestemmingsessies kan nie gefragmenteerde Erspan -pakkies weer aanmekaar sit nie.
- Die erspan -ID onderskei die ErSpan -verkeer wat by dieselfde IP -adres van verskillende bestemmings van verskillende erspan -bronsessies aankom; gekonfigureerde erspan -ID moet ooreenstem met die bron- en bestemmingstoestelle.
- Vir 'n bronpoort of 'n bron VLAN, kan die ERSPAN die ingang, uitgang of beide ingang en uitgang verkeer monitor. ErSpan monitor by verstek alle verkeer, insluitend multicast- en brugprotokol -data -eenheid (BPDU) rame.
- Tunnel -koppelvlak wat as bronpoorte vir 'n ERSPAN -bron -sessie ondersteun word, is GRE, IPINIP, SVTI, IPv6, IPv6 oor IP -tonnel, Multipoint GRE (MGRE) en Secure Virtual Tunnel Interfaces (SVTI).
- Die filter VLAN -opsie is nie funksioneel in 'n ERSPAN -moniteringsessie op WAN -koppelvlakke nie.
- ErSpan op Cisco ASR 1000 -reeks routers ondersteun slegs laag 3 -koppelvlakke. Ethernet -koppelvlakke word nie op ERSPAN ondersteun wanneer dit as laag 2 -koppelvlakke gekonfigureer is nie.
- As 'n sessie deur die ERSPAN -konfigurasie CLI gekonfigureer is, kan die sessie -ID en die sessietipe nie verander word nie. Om dit te verander, moet u eers die NO -vorm van die konfigurasie -opdrag gebruik om die sessie te verwyder en dan die sessie weer op te stel.
- Cisco IOS XE Release 3.4S:- Monitering van nie-ESCEC-beskermde tonnelpakkies word op IPv6 en IPv6 oor IP-tonnel-koppelvlakke ondersteun slegs tot ERSPAN-bron-sessies, nie na ERSPAN-bestemmingsessies nie.
- Cisco IOS XE Release 3.5S, ondersteuning is bygevoeg vir die volgende soorte WAN -koppelvlakke as bronpoorte vir 'n bronsessie: serie (T1/E1, T3/E3, DS0), pakkie oor Sonet (POS) (OC3, OC12) en multilink PPP (multilink, POS, en seriële sleutelwoorde is bygevoeg tot die bron -koppelvlakopdrag).
Gebruik ErSpan as plaaslike span:
Om ERSPAN te gebruik om die verkeer deur een of meer poorte of VLAN op dieselfde toestel te monitor, moet ons 'n ERSPAN -bron- en ERSPAN -bestemmingsessies in dieselfde toestel skep, vind die datavloei binne die router plaas, wat soortgelyk is aan dié in die plaaslike span.
Die volgende faktore is van toepassing terwyl ERSPAN as 'n plaaslike span gebruik word:
- Albei sessies het dieselfde erspan -ID.
- Albei sessies het dieselfde IP -adres. Hierdie IP -adres is die eie IP -adres van die routers; Dit wil sê, die terugvoer -IP -adres of die IP -adres wat op enige poort gekonfigureer is.
| (config)# monitor sessie 10 tipe erspan-bron |
| (Config-Mon-ErSpan-Src)# Bron Interface Gig0/0/0 |
| (config-mon-erspan-src)# bestemming |
| (Config-Mon-ErSpan-Src-Dst)# IP-adres 10.10.10.1 |
| (Config-Mon-ErSpan-Src-Dst)# Oorsprong IP-adres 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Postyd: Aug-28-2024
