Verstaan ​​SPAN, RSPAN en ERSPAN: tegnieke vir netwerkverkeermonitering

SPAN, RSPAN en ERSPAN is tegnieke wat in netwerke gebruik word om verkeer vas te vang en te monitor vir ontleding. Hier is 'n kort oorsig van elkeen:

SPAN (Switched Port Analyzer)

Doel: Word gebruik om verkeer vanaf spesifieke poorte of VLAN's te weerspieël op 'n skakelaar na 'n ander poort vir monitering.

Gebruiksgeval: Ideaal vir plaaslike verkeersontleding op 'n enkele skakelaar. Verkeer word weerspieël na 'n aangewese poort waar 'n netwerkontleder dit kan vasvang.

RSPAN (Remote SPAN)

Doel: Brei SPAN-vermoëns uit oor verskeie skakelaars in 'n netwerk.

Gebruiksgeval: Laat die monitering van verkeer van een skakelaar na 'n ander oor 'n hoofverbinding toe. Nuttig vir scenario's waar die moniteringstoestel op 'n ander skakelaar geleë is.

ERSPAN (Encapsulated Remote SPAN)

Doel: Kombineer RSPAN met GRE (Generic Routing Encapsulation) om die spieëlverkeer in te kap.

Gebruiksgeval: Maak voorsiening vir die monitering van verkeer oor gerouteerde netwerke. Dit is nuttig in komplekse netwerkargitekture waar verkeer oor verskillende segmente vasgelê moet word.

Switch port Analyzer (SPAN) is 'n doeltreffende, hoë werkverrigting verkeersmoniteringstelsel. Dit lei of weerspieël verkeer vanaf 'n bronpoort of VLAN na 'n bestemmingspoort. Dit word soms na verwys as sessiemonitering. SPAN word onder vele ander gebruik om verbindingsprobleme op te los en netwerkgebruik en werkverrigting te bereken. Daar is drie tipes SPAN's wat op Cisco-produkte ondersteun word ...

a. SPAN of plaaslike SPAN.

b. Remote SPAN (RSPAN).

c. Ingekapsuleerde afgeleë SPAN (ERSPAN).

Om te weet: "Mylinking™ netwerkpakketmakelaar met SPAN-, RSPAN- en ERSPAN-kenmerke"

SPAN, RSPAN, ERSPAN

SPAN / verkeersspieëling / poortspieëling word vir baie doeleindes gebruik, hieronder sluit 'n paar in.

- Implementering van IDS/IPS in promiskue modus.

- VOIP-oproepopname-oplossings.

- Sekuriteitsnakomingsredes om verkeer te monitor en te ontleed.

- Foutoplossing van verbindingskwessies, monitering van verkeer.

Ongeag die SPAN-tipe wat loop, kan SPAN-bron enige tipe poort wees, dws 'n gerouteerde poort, fisiese skakelpoort, 'n toegangspoort, stam, VLAN (alle aktiewe poorte word van die skakelaar gemonitor), 'n EtherChannel (óf 'n poort of hele poort -kanaal-koppelvlakke) ens. Let daarop dat 'n poort wat vir SPAN-bestemming gekonfigureer is NIE deel kan wees van 'n SPAN-bron-VLAN nie.

SPAN-sessies ondersteun die monitering van inkomende verkeer (inkomende SPAN), uitgangsverkeer (egress SPAN), of verkeer wat in beide rigtings vloei.

- Ingress SPAN (RX) kopieer verkeer ontvang deur die bronpoorte en VLAN's na die bestemmingpoort. SPAN kopieer die verkeer voor enige wysiging (byvoorbeeld voor enige VACL- of ACL-filter, QoS of in- of uitgangspolisiëring).

- Egress SPAN (TX) kopieer verkeer wat vanaf die bronpoorte en VLAN's na die bestemmingpoort gestuur word. Alle relevante filtering of wysiging deur VACL of ACL filter, QoS of intree of uitgang polisiëring aksies word geneem voordat die skakelaar verkeer aanstuur na SPAN bestemmingspoort.

- Wanneer die beide sleutelwoorde gebruik word, kopieer SPAN die netwerkverkeer wat deur die bronpoorte en VLAN's ontvang en oorgedra word na die bestemmingspoort.

- SPAN/RSPAN ignoreer gewoonlik CDP, STP BPDU, VTP, DTP en PAgP rame. Hierdie verkeerstipes kan egter aangestuur word as die encapsulation replicate command gekonfigureer is.

SPAN of Local SPAN

SPAN weerspieël verkeer van een of meer koppelvlakke op die skakelaar na een of meer koppelvlakke op dieselfde skakelaar; daarom word daar meestal na SPAN verwys as PLAASLIKE SPAN.

Riglyne of beperkings op plaaslike SPAN:

- Beide Laag 2-geskakelde poorte en Laag 3-poorte kan as bron- of bestemmingspoorte gekonfigureer word.

- Die bron kan óf een of meer poorte óf 'n VLAN wees, maar nie 'n mengsel hiervan nie.

- Stampoorte is geldige bronpoorte gemeng met nie-stambronpoorte.

- Tot 64 SPAN-bestemmingpoorte kan op 'n skakelaar gekonfigureer word.

- Wanneer ons 'n bestemmingspoort konfigureer, word die oorspronklike konfigurasie daarvan oorgeskryf. As die SPAN-konfigurasie verwyder word, word die oorspronklike konfigurasie op daardie poort herstel.

- Wanneer 'n bestemmingspoort gekonfigureer word, word die poort van enige EtherChannel-bundel verwyder as dit deel van een was. As dit 'n gerouteerde poort was, ignoreer die SPAN-bestemmingkonfigurasie die gerouteerde poortkonfigurasie.

- Bestemmingpoorte ondersteun nie poortsekuriteit, 802.1x-verifikasie of private VLAN's nie.

- 'n Poort kan optree as die bestemmingspoort vir slegs een SPAN-sessie.

- 'n Poort kan nie as 'n bestemmingspoort opgestel word as dit 'n bronpoort van 'n spansessie of deel van bron-VLAN is nie.

- Poortkanaal-koppelvlakke (EtherChannel) kan as bronpoorte gekonfigureer word, maar nie 'n bestemmingspoort vir SPAN nie.

- Verkeersrigting is by verstek "albei" vir SPAN-bronne.

- Bestemming hawens neem nooit deel aan 'n spanboom-instansie nie. Kan nie DTP, CDP ens ondersteun nie. Plaaslike SPAN sluit BPDU's in in die gemonitorde verkeer, so enige BPDU's wat op die bestemmingpoort gesien word, word vanaf die bronpoort gekopieer. Koppel dus nooit 'n skakelaar aan hierdie tipe SPAN nie, aangesien dit 'n netwerklus kan veroorsaak. KI-gereedskap sal werkdoeltreffendheid verbeter, enonopspoorbare KIdiens kan die kwaliteit van KI-gereedskap verbeter.

- Wanneer VLAN as SPAN-bron gekonfigureer is (meestal na verwys as VSPAN) met beide ingang- en uitgangopsies gekonfigureer, stuur duplikaatpakkette slegs vanaf die bronpoort aan as die pakkies in dieselfde VLAN omgeskakel word. Een kopie van die pakkie is van die ingangsverkeer op die ingangspoort, en die ander kopie van die pakkie is van die uitgangsverkeer op die uitgangspoort.

- VSPAN monitor slegs verkeer wat Laag 2-poorte in die VLAN verlaat of binnegaan.

SPAN, RSPAN, ERSPAN 1

Remote SPAN (RSPAN)

Remote SPAN (RSPAN) is soortgelyk aan SPAN, maar dit ondersteun bronpoorte, bron-VLAN's en bestemmingspoorte op verskillende skakelaars, wat afstandmoniteringsverkeer verskaf vanaf bronpoorte wat oor veelvuldige skakelaars versprei is en toelaat dat bestemmingsentraliseer netwerkvasvangtoestelle. Elke RSPAN-sessie dra die SPAN-verkeer oor 'n gebruiker-gespesifiseerde toegewyde RSPAN VLAN in alle deelnemende skakelaars. Hierdie VLAN word dan na ander skakelaars oorgeskakel, waardeur die RSPAN-sessieverkeer oor verskeie skakelaars vervoer kan word en na die bestemmingsvasleggingstasie afgelewer kan word. RSPAN bestaan ​​uit 'n RSPAN-bronsessie, 'n RSPAN VLAN en 'n RSPAN-bestemmingsessie.

Riglyne of beperkings op RSPAN:

- 'n Spesifieke VLAN moet gekonfigureer word vir SPAN-bestemming wat oor die tussenskakelaars sal beweeg via stamskakels na bestemmingpoort.

- Kan dieselfde brontipe skep - ten minste een poort of ten minste een VLAN, maar kan nie die mengsel wees nie.

- Die bestemming vir die sessie is RSPAN VLAN eerder as die enkele poort in skakelaar, so alle poorte in RSPAN VLAN sal die spieëlverkeer ontvang.

- Stel enige VLAN op as 'n RSPAN VLAN solank alle deelnemende netwerktoestelle die konfigurasie van RSPAN VLAN's ondersteun, en gebruik dieselfde RSPAN VLAN vir elke RSPAN sessie

- VTP kan konfigurasie van VLAN's nommer 1 tot 1024 as RSPAN VLAN's voortplant, moet VLAN's wat hoër as 1024 genommer is, handmatig konfigureer as RSPAN VLAN's op alle bron-, intermediêre en bestemmingsnetwerktoestelle.

- MAC-adres leer is gedeaktiveer in die RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Encapsulated remote SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bring generiese routing encapsulation (GRE) vir alle vasgelê verkeer en laat dit oor Laag 3-domeine uitgebrei word.

ERSPAN is 'nCisco eiekenmerk en is tot dusver slegs beskikbaar vir Catalyst 6500, 7600, Nexus en ASR 1000-platforms. Die ASR 1000 ondersteun ERSPAN-bron (monitering) slegs op Fast Ethernet, Gigabit Ethernet en poortkanaal-koppelvlakke.

Riglyne of beperkings tot ERSPAN:

- ERSPAN-bronsessies kopieer nie ERSPAN GRE-ingekapsuleerde verkeer vanaf bronpoorte nie. Elke ERSPAN-bronsessie kan óf poorte óf VLAN's as bronne hê, maar nie albei nie.

- Ongeag enige gekonfigureerde MTU-grootte, skep ERSPAN Laag 3-pakkies wat so lank as 9 202 grepe kan wees. ERSPAN-verkeer kan deur enige koppelvlak in die netwerk laat val word wat 'n MTU-grootte kleiner as 9 202 grepe afdwing.

- ERSPAN ondersteun nie pakketfragmentasie nie. Die "moenie fragmenteer nie"-bis word in die IP-opskrif van ERSPAN-pakkies gestel. ERSPAN-bestemmingsessies kan nie gefragmenteerde ERSPAN-pakkies weer saamstel nie.

- Die ERSPAN ID onderskei die ERSPAN-verkeer wat by dieselfde bestemmings-IP-adres aankom van verskeie verskillende ERSPAN-bronsessies; gekonfigureerde ERSPAN ID moet ooreenstem op bron- en bestemmingstoestelle.

- Vir 'n bronpoort of 'n bron-VLAN kan die ERSPAN die in-, uitgang of beide in- en uitgang verkeer monitor. By verstek monitor ERSPAN alle verkeer, insluitend multicast en Bridge Protocol Data Unit (BPDU) rame.

- Tonnelkoppelvlak wat as bronpoorte vir 'n ERSPAN-bronsessie ondersteun word, is GRE, IPinIP, SVTI, IPv6, IPv6 oor IP-tonnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).

- Die filter VLAN-opsie is nie funksioneel in 'n ERSPAN-moniteringsessie op WAN-koppelvlakke nie.

- ERSPAN op Cisco ASR 1000-reeks routers ondersteun slegs Laag 3-koppelvlakke. Ethernet-koppelvlakke word nie op ERSPAN ondersteun wanneer dit as Laag 2-koppelvlakke opgestel is nie.

- Wanneer 'n sessie deur die ERSPAN-konfigurasie-CLI gekonfigureer word, kan die sessie-ID en die sessietipe nie verander word nie. Om dit te verander, moet jy eers die geen-vorm van die konfigurasie-opdrag gebruik om die sessie te verwyder en dan die sessie herkonfigureer.

- Cisco IOS XE Release 3.4S: - Monitering van nie-IPsec-beskermde tonnelpakkies word slegs op IPv6 en IPv6 oor IP tonnel-koppelvlakke ondersteun na ERSPAN-bronsessies, nie na ERSPAN-bestemmingsessies nie.

- Cisco IOS XE Release 3.5S, ondersteuning is bygevoeg vir die volgende tipes WAN-koppelvlakke as bronpoorte vir 'n bronsessie: Serial (T1/E1, T3/E3, DS0), Pakket oor SONET (POS) (OC3, OC12) en Multilink PPP (multilink-, pos- en reekssleutelwoorde is by die bronkoppelvlakopdrag gevoeg).

SPAN, RSPAN, ERSPAN 3

Gebruik ERSPAN as plaaslike SPAN:

Om ERSPAN te gebruik om verkeer deur een of meer poorte of VLAN's in dieselfde toestel te monitor, moet ons 'n ERSPAN-bron en ERSPAN-bestemmingsessies in dieselfde toestel moet skep, datavloei vind binne die router plaas, wat soortgelyk is aan dié in plaaslike SPAN.

Die volgende faktore is van toepassing wanneer ERSPAN as 'n plaaslike SPAN gebruik word:

- Albei sessies het dieselfde ERSPAN ID.

- Albei sessies het dieselfde IP-adres. Hierdie IP-adres is die routers se eie IP-adres; dit wil sê die teruglus-IP-adres of die IP-adres wat op enige poort gekonfigureer is.

(config)# monitor sessie 10 tik erspan-source
(config-mon-erspan-src)# bronkoppelvlak Gig0/0/0
(config-mon-erspan-src)# bestemming
(config-mon-erspan-src-dst)# IP-adres 10.10.10.1
(config-mon-erspan-src-dst)# oorsprong ip adres 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Pos tyd: Aug-28-2024