Розуміння SPAN, RSPAN та ERSPAN: методи моніторингу мережевого трафіку

SPAN, RSPAN та ERSPAN – це методи, що використовуються в мережах для захоплення та моніторингу трафіку для аналізу. Ось короткий огляд кожного з них:

SPAN (Аналізатор комутованих портів)

Призначення: Використовується для дзеркалювання трафіку з певних портів або VLAN на комутаторі на інший порт для моніторингу.

Варіант використання: Ідеально підходить для локального аналізу трафіку на одному комутаторі. Трафік відображається на призначений порт, де його може зафіксувати мережевий аналізатор.

RSPAN (Віддалений SPAN)

Призначення: Розширює можливості SPAN на кілька комутаторів у мережі.

Варіант використання: Дозволяє моніторинг трафіку від одного комутатора до іншого через магістральне з'єднання. Корисно для сценаріїв, коли пристрій моніторингу розташований на іншому комутаторі.

ERSPAN (Інкапсульований віддалений SPAN)

Призначення: Поєднує RSPAN з GRE (Generic Routing Encapsulation) для інкапсуляції дзеркального трафіку.

Варіант використання: Дозволяє моніторити трафік у маршрутизованих мережах. Це корисно в складних мережевих архітектурах, де трафік потрібно фіксувати з різних сегментів.

Аналізатор портів комутатора (SPAN) – це ефективна, високопродуктивна система моніторингу трафіку. Вона спрямовує або відображає трафік з порту джерела або VLAN до порту призначення. Іноді це називають моніторингом сеансу. SPAN використовується для усунення проблем з підключенням та розрахунку використання та продуктивності мережі, серед багатьох інших. Продукти Cisco підтримують три типи SPAN …

a. SPAN або локальний SPAN.

b. Віддалений SPAN (RSPAN).

c. Інкапсульований віддалений SPAN (ERSPAN).

Щоб знати: "Мережевий брокер пакетів Mylinking™ з функціями SPAN, RSPAN та ERSPAN"

SPAN / дзеркалювання трафіку / дзеркалювання портів використовується для багатьох цілей, нижче наведено деякі з них.

- Впровадження IDS/IPS у безрозбірливому режимі.

- Рішення для запису VoIP-дзвінків.

- Причини дотримання вимог безпеки для моніторингу та аналізу трафіку.

- Вирішення проблем із підключенням, моніторинг трафіку.

Незалежно від запущеного типу SPAN, джерелом SPAN може бути будь-який тип порту, тобто маршрутизований порт, порт фізичного комутатора, порт доступу, транк, VLAN (усі активні порти контролюються комутатором), EtherChannel (порт або цілі інтерфейси порт-канал) тощо. Зверніть увагу, що порт, налаштований для призначення SPAN, НЕ МОЖЕ бути частиною VLAN джерела SPAN.

Сесії SPAN підтримують моніторинг вхідного трафіку (вхідний SPAN), вихідного трафіку (вихідний SPAN) або трафіку, що протікає в обох напрямках.

- Вхідний SPAN (RX) копіює трафік, отриманий вихідними портами та VLAN, на порт призначення. SPAN копіює трафік перед будь-якою модифікацією (наприклад, перед будь-яким фільтром VACL або ACL, QoS або регулюванням вхідного чи вихідного трафіку).

- Вихідний SPAN (TX) копіює трафік, що передається з портів джерела та VLAN, на порт призначення. Усі відповідні фільтри або модифікації за допомогою фільтрів VACL або ACL, QoS або дій щодо вхідної чи вихідної політики виконуються до того, як комутатор перенаправляє трафік на порт призначення SPAN.

- Коли використовується ключове слово both, SPAN копіює мережевий трафік, отриманий та переданий вихідними портами та VLAN, на порт призначення.

- SPAN/RSPAN зазвичай ігнорує кадри CDP, STP BPDU, VTP, DTP та PAgP. Однак ці типи трафіку можна пересилати, якщо налаштовано команду інкапсуляції (encapsulation replicate).

SPAN або локальний SPAN

SPAN відображає трафік з одного або кількох інтерфейсів на комутаторі на один або кілька інтерфейсів на тому ж комутаторі; тому SPAN здебільшого називають LOCAL SPAN.

Рекомендації або обмеження для локального SPAN:

- Як комутовані порти 2-го рівня, так і порти 3-го рівня можна налаштувати як порти джерела або порти призначення.

- Джерелом може бути один або декілька портів або VLAN, але не їх поєднання.

- Магістральні порти – це дійсні вихідні порти, змішані з вихідними портами, що не є магістральними.

- На комутаторі можна налаштувати до 64 портів призначення SPAN.

- Під час налаштування порту призначення його початкова конфігурація перезаписується. Якщо конфігурацію SPAN видаляється, початкова конфігурація цього порту відновлюється.

- Під час налаштування порту призначення, порт видаляється з будь-якого пакету EtherChannel, якщо він був частиною одного з них. Якщо це був маршрутизований порт, конфігурація призначення SPAN перевизначає конфігурацію маршрутизованого порту.

- Порти призначення не підтримують безпеку портів, автентифікацію 802.1x або приватні віртуальні локальні мережі.

- Порт може виступати портом призначення лише для одного сеансу SPAN.

- Порт не можна налаштувати як порт призначення, якщо він є портом джерела сеансу span або частиною вихідної VLAN.

- Інтерфейси портових каналів (EtherChannel) можна налаштувати як порти джерела, але не як порт призначення для SPAN.

- Напрямок трафіку для джерел SPAN за замовчуванням встановлено на «обидва».

- Порти призначення ніколи не беруть участі в екземплярі spanning-tree. Не підтримуються DTP, CDP тощо. Локальний SPAN містить BPDU у контрольованому трафіку, тому будь-які BPDU, виявлені на порту призначення, копіюються з порту джерела. Тому ніколи не підключайте комутатор до цього типу SPAN, оскільки це може спричинити зациклення мережі. Інструменти штучного інтелекту підвищать ефективність роботи, а такожневиявлюваний ШІсервіс може покращити якість інструментів штучного інтелекту.

- Коли VLAN налаштовано як джерело SPAN (здебільшого відоме як VSPAN) з налаштованими параметрами вхідного та вихідного трафіку, пересилати дублікати пакетів з порту джерела лише за умови, що пакети комутуються в одній VLAN. Одна копія пакета надходить з вхідного трафіку на вхідному порту, а інша копія пакета — з вихідного трафіку на вихідному порту.

- VSPAN відстежує лише трафік, який виходить або входить на порти 2-го рівня у VLAN.