Verstaan ​​van SPAN, RSPAN en ERSPAN: Tegnieke vir Netwerkverkeermonitering

SPAN, RSPAN en ERSPAN is tegnieke wat in netwerke gebruik word om verkeer vas te lê en te monitor vir analise. Hier is 'n kort oorsig van elk:

SPAN (Geskakelde Poort Analiseerder)

Doel: Gebruik om verkeer vanaf spesifieke poorte of VLAN'e op 'n skakelaar na 'n ander poort vir monitering te weerspieël.

Gebruiksgeval: Ideaal vir plaaslike verkeersanalise op 'n enkele skakelaar. Verkeer word na 'n aangewese poort gespieël waar 'n netwerkanaliseerder dit kan vaslê.

RSPAN (Afstands-SPAN)

Doel: Brei SPAN-vermoëns uit oor verskeie skakelaars in 'n netwerk.

Gebruiksgeval: Laat die monitering van verkeer van een skakelaar na 'n ander oor 'n hoofverbinding toe. Nuttig vir scenario's waar die moniteringstoestel op 'n ander skakelaar geleë is.

ERSPAN (Ingekapselde Afstands-SPAN)

Doel: Kombineer RSPAN met GRE (Generic Routing Encapsulation) om die gespieëlde verkeer te inkapsel.

Gebruiksgeval: Maak voorsiening vir die monitering van verkeer oor gerouteerde netwerke. Dit is nuttig in komplekse netwerkargitekture waar verkeer oor verskillende segmente vasgelê moet word.

Switch port Analyzer (SPAN) is 'n doeltreffende, hoëprestasie verkeermoniteringstelsel. Dit stuur of weerspieël verkeer vanaf 'n bronpoort of VLAN na 'n bestemmingspoort. Dit word soms sessiemonitering genoem. SPAN word gebruik vir die oplos van konnektiwiteitsprobleme en die berekening van netwerkbenutting en -prestasie, onder andere. Daar is drie tipes SPAN's wat op Cisco-produkte ondersteun word …

a. SPAN of plaaslike SPAN.

b. Afstands-SPAN (RSPAN).

c. Ingekapselde afgeleë SPAN (ERSPAN).

Om te weet: "Mylinking™ Netwerkpakketmakelaar met SPAN-, RSPAN- en ERSPAN-funksies"

SPAN, RSPAN, ERSPAN

SPAN / verkeersspieëling / poortspieëling word vir baie doeleindes gebruik, hieronder sluit 'n paar in.

- Implementering van IDS/IPS in promiskue modus.

- VOIP-oproepopname-oplossings.

- Redes vir sekuriteitsnakoming om verkeer te monitor en te analiseer.

- Probleemoplossing van verbindingsprobleme, monitering van verkeer.

Ongeag die SPAN-tipe wat loop, kan die SPAN-bron enige tipe poort wees, d.w.s. 'n gerouteerde poort, fisiese skakelaarpoort, 'n toegangspoort, trunk, VLAN (alle aktiewe poorte word deur die skakelaar gemonitor), 'n EtherChannel (óf 'n poort óf hele poort-kanaal-koppelvlakke), ens. Let daarop dat 'n poort wat vir SPAN-bestemming gekonfigureer is, NIE deel van 'n SPAN-bron-VLAN kan wees nie.

SPAN-sessies ondersteun die monitering van ingangsverkeer (ingangs SPAN), uitgangsverkeer (egress SPAN), of verkeer wat in beide rigtings vloei.

- Ingress SPAN (RX) kopieer verkeer wat deur die bronpoorte en VLAN'e ontvang word na die bestemmingspoort. SPAN kopieer die verkeer voor enige wysiging (byvoorbeeld voor enige VACL- of ACL-filter, QoS of ingangs- of uitgangspolisiëring).

- Egress SPAN (TX) kopieer verkeer wat vanaf die bronpoorte en VLAN'e na die bestemmingspoort gestuur word. Alle relevante filter- of wysigings deur VACL- of ACL-filter, QoS of ingangs- of uitgangspolisiëringsaksies word geneem voordat die skakelaar verkeer na die SPAN-bestemmingspoort aanstuur.

- Wanneer die both-sleutelwoord gebruik word, kopieer SPAN die netwerkverkeer wat deur die bronpoorte en VLAN'e ontvang en gestuur word na die bestemmingspoort.

- SPAN/RSPAN ignoreer gewoonlik CDP-, STP-, BPDU-, VTP-, DTP- en PAgP-rame. Hierdie verkeertipes kan egter aangestuur word as die encapsulation replicate-opdrag gekonfigureer is.

SPAN of Plaaslike SPAN

SPAN weerspieël verkeer vanaf een of meer koppelvlakke op die skakelaar na een of meer koppelvlakke op dieselfde skakelaar; daarom word SPAN meestal na verwys as LOKALE SPAN.

Riglyne of beperkings op plaaslike SPAN:

- Beide Laag 2-geskakelde poorte en Laag 3-poorte kan as bron- of bestemmingspoorte gekonfigureer word.

- Die bron kan een of meer poorte of 'n VLAN wees, maar nie 'n mengsel hiervan nie.

- Stampoorte is geldige bronpoorte gemeng met nie-stambronpoorte.

- Tot 64 SPAN-bestemmingspoorte kan op 'n skakelaar gekonfigureer word.

- Wanneer ons 'n bestemmingspoort konfigureer, word die oorspronklike konfigurasie daarvan oorskryf. As die SPAN-konfigurasie verwyder word, word die oorspronklike konfigurasie op daardie poort herstel.

- Wanneer 'n bestemmingspoort gekonfigureer word, word die poort uit enige EtherChannel-bundel verwyder as dit deel van een was. As dit 'n gerouteerde poort was, oorskryf die SPAN-bestemmingskonfigurasie die gerouteerde poortkonfigurasie.

- Bestemmingspoorte ondersteun nie poortsekuriteit, 802.1x-verifikasie of private VLAN'e nie.

- 'n Poort kan slegs vir een SPAN-sessie as die bestemmingspoort optree.

- 'n Poort kan nie as 'n bestemmingspoort gekonfigureer word as dit 'n bronpoort van 'n spansessie of deel van 'n bron-VLAN is nie.

- Poortkanaal-koppelvlakke (EtherChannel) kan as bronpoorte gekonfigureer word, maar nie as 'n bestemmingspoort vir SPAN nie.

- Verkeersrigting is standaard "beide" vir SPAN-bronne.

- Bestemmingspoorts neem nooit deel aan 'n spanning-tree-instansie nie. Kan nie DTP, CDP ens. ondersteun nie. Plaaslike SPAN sluit BPDU's in die gemonitorde verkeer in, dus enige BPDU's wat op die bestemmingspoort gesien word, word vanaf die bronpoort gekopieer. Moet dus nooit 'n skakelaar aan hierdie tipe SPAN koppel nie, aangesien dit 'n netwerklus kan veroorsaak. KI-gereedskap sal werksdoeltreffendheid verbeter, enonopspoorbare KIdiens kan die gehalte van KI-gereedskap verbeter.

- Wanneer VLAN as SPAN-bron (meestal na verwys as VSPAN) gekonfigureer is met beide ingangs- en uitgangsopsies gekonfigureer, stuur duplikaatpakkette slegs vanaf die bronpoort aan indien die pakkette in dieselfde VLAN oorgeskakel word. Een kopie van die pakket is van die ingangsverkeer op die ingangspoort, en die ander kopie van die pakket is van die uitgangsverkeer op die uitgangspoort.

- VSPAN monitor slegs verkeer wat Laag 2-poorte in die VLAN verlaat of binnegaan.

SPAN, RSPAN, ERSPAN 1

Afstands-SPAN (RSPAN)

Afstands-SPAN (RSPAN) is soortgelyk aan SPAN, maar dit ondersteun bronpoorte, bron-VLAN'e en bestemmingspoorte op verskillende skakelaars, wat afstandmoniteringsverkeer vanaf bronpoorte wat oor verskeie skakelaars versprei is, verskaf en bestemmingsentralisering van netwerkopnametoestelle toelaat. Elke RSPAN-sessie dra die SPAN-verkeer oor 'n gebruiker-gespesifiseerde toegewyde RSPAN VLAN in alle deelnemende skakelaars. Hierdie VLAN word dan na ander skakelaars oorgedra, wat toelaat dat die RSPAN-sessieverkeer oor verskeie skakelaars vervoer en na die bestemmingsopnamestasie afgelewer word. RSPAN bestaan ​​uit 'n RSPAN-bronsessie, 'n RSPAN VLAN en 'n RSPAN-bestemmingsessie.

Riglyne of beperkings vir RSPAN:

- 'n Spesifieke VLAN moet gekonfigureer word vir die SPAN-bestemming wat oor die tussenskakelaars via trunk-skakels na die bestemmingspoort sal beweeg.

- Kan dieselfde brontipe skep – ten minste een poort of ten minste een VLAN, maar kan nie die mengsel wees nie.

- Die bestemming vir die sessie is RSPAN VLAN eerder as die enkele poort in die skakelaar, dus alle poorte in RSPAN VLAN sal die gespieëlde verkeer ontvang.

- Konfigureer enige VLAN as 'n RSPAN VLAN solank alle deelnemende netwerktoestelle die konfigurasie van RSPAN VLAN'e ondersteun, en gebruik dieselfde RSPAN VLAN vir elke RSPAN-sessie

- VTP kan die konfigurasie van VLAN'e genommer 1 tot 1024 as RSPAN VLAN'e versprei, moet VLAN'e genommer hoër as 1024 handmatig as RSPAN VLAN'e op alle bron-, intermediêre- en bestemmingsnetwerktoestelle konfigureer.

- MAC-adresleer is gedeaktiveer in die RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Ingekapselde afgeleë SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bring generiese roeteringsinkapseling (GRE) vir alle vasgelegde verkeer en laat dit toe om oor Laag 3-domeine uitgebrei te word.

ERSPAN is 'nCisco eiefunksie en is tot dusver slegs beskikbaar vir Catalyst 6500, 7600, Nexus en ASR 1000 platforms. Die ASR 1000 ondersteun slegs ERSPAN-bron (monitering) op Fast Ethernet, Gigabit Ethernet en poort-kanaal koppelvlakke.

Riglyne of beperkings op ERSPAN:

- ERSPAN-bronsessies kopieer nie ERSPAN GRE-ingekapselde verkeer vanaf bronpoorte nie. Elke ERSPAN-bronsessie kan óf poorte óf VLAN'e as bronne hê, maar nie albei nie.

- Ongeag enige gekonfigureerde MTU-grootte, skep ERSPAN Laag 3-pakkette wat so lank as 9 202 grepe kan wees. ERSPAN-verkeer kan deur enige koppelvlak in die netwerk wat 'n MTU-grootte kleiner as 9 202 grepe afdwing, laat vaar word.

- ERSPAN ondersteun nie pakkiefragmentasie nie. Die "moenie fragmenteer nie"-bit word in die IP-koptekst van ERSPAN-pakkies gestel. ERSPAN-bestemmingsessies kan nie gefragmenteerde ERSPAN-pakkies weer saamstel nie.

- Die ERSPAN ID onderskei die ERSPAN-verkeer wat by dieselfde bestemmings-IP-adres aankom vanaf verskeie ERSPAN-bronsessies; die gekonfigureerde ERSPAN ID moet ooreenstem op bron- en bestemmingstoestelle.

- Vir 'n bronpoort of 'n bron-VLAN kan die ERSPAN die ingangs-, uitgangs- of beide ingangs- en uitgangsverkeer monitor. Standaard monitor ERSPAN alle verkeer, insluitend multicast- en Bridge Protocol Data Unit (BPDU)-rame.

- Tonnelkoppelvlakke wat as bronpoorte vir 'n ERSPAN-bronsessie ondersteun word, is GRE, IPinIP, SVTI, IPv6, IPv6 oor IP-tonnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).

- Die filter VLAN-opsie is nie funksioneel in 'n ERSPAN-moniteringsessie op WAN-koppelvlakke nie.

- ERSPAN op Cisco ASR 1000-reeks routers ondersteun slegs Laag 3-koppelvlakke. Ethernet-koppelvlakke word nie op ERSPAN ondersteun wanneer dit as Laag 2-koppelvlakke gekonfigureer is nie.

- Wanneer 'n sessie deur die ERSPAN-konfigurasie-CLI gekonfigureer word, kan die sessie-ID en die sessietipe nie verander word nie. Om dit te verander, moet jy eers die "no"-vorm van die konfigurasie-opdrag gebruik om die sessie te verwyder en dan die sessie herkonfigureer.

- Cisco IOS XE Release 3.4S: - Monitering van nie-IPsec-beskermde tonnelpakkette word slegs op IPv6- en IPv6 oor IP-tonnelkoppelvlakke na ERSPAN-bronsessies ondersteun, nie na ERSPAN-bestemmingsessies nie.

- Cisco IOS XE Release 3.5S, ondersteuning is bygevoeg vir die volgende tipes WAN-koppelvlakke as bronpoorte vir 'n bronsessie: Serieel (T1/E1, T3/E3, DS0), Pakket oor SONET (POS) (OC3, OC12) en Multilink PPP (multilink, pos en serieel sleutelwoorde is by die bronkoppelvlakopdrag gevoeg).

SPAN, RSPAN, ERSPAN 3

Gebruik ERSPAN as Lokale SPAN:

Om ERSPAN te gebruik om verkeer deur een of meer poorte of VLAN'e in dieselfde toestel te monitor, moet ons 'n ERSPAN-bron en ERSPAN-bestemmingsessies in dieselfde toestel skep, datavloei vind binne die router plaas, wat soortgelyk is aan dié in plaaslike SPAN.

Die volgende faktore is van toepassing wanneer ERSPAN as 'n plaaslike SPAN gebruik word:

- Beide sessies het dieselfde ERSPAN ID.

- Beide sessies het dieselfde IP-adres. Hierdie IP-adres is die router se eie IP-adres; dit wil sê, die teruglus-IP-adres of die IP-adres wat op enige poort gekonfigureer is.

(konfigurasie)# monitor sessie 10 tipe erspan-bron
(config-mon-erspan-src)# bronkoppelvlak Gig0/0/0
(config-mon-erspan-src)# bestemming
(config-mon-erspan-src-dst)# ip-adres 10.10.10.1
(config-mon-erspan-src-dst)# oorsprong ip-adres 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Plasingstyd: 28 Augustus 2024