SPAN, RSPAN і ERSPANце методи, які використовуються в мережі для захоплення та моніторингу трафіку для аналізу. Ось короткий огляд кожного з них:
SPAN (аналізатор комутованих портів)
Призначення: використовується для віддзеркалення трафіку з певних портів або VLAN на комутаторі на інший порт для моніторингу.
Випадок використання: ідеально підходить для аналізу локального трафіку на одному комутаторі. Трафік віддзеркалюється на призначений порт, де аналізатор мережі може його захопити.
RSPAN (віддалений SPAN)
Призначення: розширює можливості SPAN на кількох комутаторах у мережі.
Випадок використання: дозволяє контролювати трафік від одного комутатора до іншого через магістраль. Корисно для сценаріїв, коли пристрій моніторингу розташований на іншому комутаторі.
ERSPAN (інкапсульований віддалений SPAN)
Призначення: поєднує RSPAN із GRE (Generic Routing Encapsulation) для інкапсуляції віддзеркаленого трафіку.
Випадок використання: дозволяє відстежувати трафік через маршрутизовані мережі. Це корисно в складних мережевих архітектурах, де трафік потрібно захоплювати в різних сегментах.
Аналізатор портів комутатора (SPAN)це ефективна високопродуктивна система моніторингу трафіку. Він спрямовує або віддзеркалює трафік від вихідного порту або VLAN до порту призначення. Це іноді називають моніторингом сесії. SPAN використовується для усунення проблем з підключенням і розрахунку використання мережі та продуктивності, серед багатьох інших. Продукти Cisco підтримують три типи SPAN…
a. SPAN або локальний SPAN.
b. Віддалений SPAN (RSPAN).
в. Інкапсульований віддалений SPAN (ERSPAN).
Знати: "Мережевий пакетний брокер Mylinking™ із функціями SPAN, RSPAN і ERSPAN"
SPAN/дзеркалювання трафіку/дзеркалювання портів використовується для багатьох цілей, нижче наведено деякі.
- Впровадження IDS/IPS у безладному режимі.
- Рішення для запису дзвінків VOIP.
- Причини відповідності вимогам безпеки для моніторингу та аналізу трафіку.
- Усунення проблем з підключенням, моніторинг трафіку.
Незалежно від запущеного типу SPAN, джерело SPAN може бути будь-яким типом порту, тобто маршрутизованим портом, фізичним портом комутатора, портом доступу, транком, VLAN (усі активні порти комутатора відстежуються), EtherChannel (порт або весь порт). -channel інтерфейси) тощо. Зауважте, що порт, налаштований для призначення SPAN, НЕ МОЖЕ бути частиною вихідної VLAN SPAN.
Сеанси SPAN підтримують моніторинг вхідного трафіку (вхідний SPAN), вихідного трафіку (вихідний SPAN) або трафіку в обох напрямках.
- Ingress SPAN (RX) копіює трафік, отриманий вихідними портами та VLAN, до порту призначення. SPAN копіює трафік перед будь-якими змінами (наприклад, перед будь-яким фільтром VACL або ACL, QoS або перевіркою вхідного чи вихідного каналу).
- Вихідний SPAN (TX) копіює трафік, що передається від вихідних портів і VLAN до порту призначення. Усі відповідні дії фільтрації або модифікації за допомогою фільтра VACL або ACL, QoS або вхідного чи вихідного контролю виконуються перед тим, як комутатор перенаправить трафік на порт призначення SPAN.
- Якщо використовується ключове слово обидва, SPAN копіює мережевий трафік, отриманий і переданий вихідними портами та VLAN, до порту призначення.
- SPAN/RSPAN зазвичай ігнорує кадри CDP, STP BPDU, VTP, DTP і PAgP. Однак ці типи трафіку можна пересилати, якщо налаштовано команду реплікації інкапсуляції.
SPAN або локальний SPAN
SPAN віддзеркалює трафік від одного чи кількох інтерфейсів комутатора до одного чи кількох інтерфейсів того самого комутатора; тому SPAN здебільшого називають ЛОКАЛЬНИМ SPAN.
Правила або обмеження для локального SPAN:
- Як комутовані порти рівня 2, так і порти рівня 3 можна налаштувати як порти джерела або призначення.
- Джерелом може бути один або кілька портів або VLAN, але не суміш із них.
- Магістральні порти – це дійсні вихідні порти, змішані з не магістральними вихідними портами.
- На комутаторі можна налаштувати до 64 портів призначення SPAN.
- Коли ми налаштовуємо порт призначення, його початкова конфігурація перезаписується. Якщо конфігурацію SPAN видалено, початкова конфігурація цього порту відновлюється.
- Під час налаштування порту призначення порт видаляється з будь-якого пакету EtherChannel, якщо він був його частиною. Якщо це був маршрутизований порт, конфігурація призначення SPAN перевизначає конфігурацію маршрутизованого порту.
- Порти призначення не підтримують захист портів, автентифікацію 802.1x або приватні VLAN.
- Порт може діяти як порт призначення лише для одного сеансу SPAN.
- Порт не може бути налаштований як порт призначення, якщо він є вихідним портом проміжного сеансу або частиною вихідної VLAN.
- Інтерфейси каналів портів (EtherChannel) можна налаштувати як вихідні порти, але не як порт призначення для SPAN.
- Напрямок трафіку за замовчуванням для джерел SPAN – «обидва».
- Порти призначення ніколи не беруть участь в екземплярі spanning-tree. Не підтримує DTP, CDP тощо. Локальний SPAN включає BPDU у відстежуваний трафік, тому будь-які BPDU, які бачать на порту призначення, копіюються з вихідного порту. Тому ніколи не підключайте комутатор до цього типу SPAN, оскільки це може спричинити петлю в мережі.
- Якщо VLAN налаштовано як джерело SPAN (здебільшого його називають VSPAN) із налаштованими параметрами входу та виходу, пересилайте повторювані пакети з вихідного порту, лише якщо пакети перемикаються в одній VLAN. Одна копія пакету – це вхідний трафік на вхідному порту, а інша копія пакету – вихідний трафік на вихідному порту.
- VSPAN відстежує лише трафік, який виходить або входить через порти рівня 2 у VLAN.
SPAN, RSPAN і ERSPAN — це методи, які використовуються в мережі для захоплення та моніторингу трафіку для аналізу. Ось короткий огляд кожного з них:
SPAN (аналізатор комутованих портів)
- призначення: Використовується для відображення трафіку з певних портів або VLAN на комутаторі на інший порт для моніторингу.
- Випадок використання: ідеально підходить для аналізу локального трафіку на одному комутаторі. Трафік віддзеркалюється на призначений порт, де аналізатор мережі може його захопити.
RSPAN (віддалений SPAN)
- призначення: розширює можливості SPAN на кілька комутаторів у мережі.
- Випадок використання: Дозволяє контролювати трафік від одного комутатора до іншого через магістраль. Корисно для сценаріїв, коли пристрій моніторингу розташований на іншому комутаторі.
ERSPAN (інкапсульований віддалений SPAN)
- призначення: поєднує RSPAN із GRE (Generic Routing Encapsulation) для інкапсуляції віддзеркаленого трафіку.
- Випадок використання: Дозволяє контролювати трафік через маршрутизовані мережі. Це корисно в складних мережевих архітектурах, де трафік потрібно захоплювати в різних сегментах.
Віддалений SPAN (RSPAN)
Віддалений SPAN (RSPAN) схожий на SPAN, але підтримує вихідні порти, вихідні VLAN і порти призначення на різних комутаторах, що забезпечує дистанційний моніторинг трафіку з вихідних портів, розподілених між кількома комутаторами, і дозволяє централізувати пристрої захоплення мережі. Кожен сеанс RSPAN передає трафік SPAN через визначену користувачем виділену VLAN RSPAN у всіх комутаторах, що беруть участь. Потім ця VLAN підключається до інших комутаторів, що дозволяє транспортувати трафік сеансу RSPAN через кілька комутаторів і доставляти його на станцію захоплення. RSPAN складається з вихідного сеансу RSPAN, VLAN RSPAN і сеансу призначення RSPAN.
Вказівки або обмеження щодо RSPAN:
- Необхідно налаштувати певну VLAN для призначення SPAN, яка проходитиме через проміжні комутатори через магістральні канали до порту призначення.
- Можна створити джерело того самого типу – принаймні один порт або принаймні одну VLAN, але не може бути сумішшю.
- Призначенням для сеансу є RSPAN VLAN, а не один порт у комутаторі, тому всі порти в RSPAN VLAN отримають віддзеркалений трафік.
- Налаштуйте будь-яку VLAN як RSPAN VLAN, якщо всі задіяні мережеві пристрої підтримують конфігурацію RSPAN VLAN, і використовуйте ту саму RSPAN VLAN для кожного сеансу RSPAN
- VTP може поширювати конфігурацію VLAN з номерами від 1 до 1024 як RSPAN VLAN, необхідно вручну налаштувати VLAN з номерами вище 1024 як RSPAN VLAN на всіх вихідних, проміжних і кінцевих мережевих пристроях.
- Вивчення MAC-адреси вимкнено у RSPAN VLAN.
Інкапсульований віддалений SPAN (ERSPAN)
Інкапсульований віддалений SPAN (ERSPAN) забезпечує загальну інкапсуляцію маршрутизації (GRE) для всього захопленого трафіку та дозволяє розширювати його між доменами рівня 3.
ERSPAN - це aВласність Ciscoі на сьогоднішній день доступний лише для платформ Catalyst 6500, 7600, Nexus і ASR 1000. ASR 1000 підтримує джерело ERSPAN (моніторинг) лише на інтерфейсах Fast Ethernet, Gigabit Ethernet та порт-канал.
Правила або обмеження для ERSPAN:
- Вихідні сеанси ERSPAN не копіюють трафік, інкапсульований ERSPAN GRE, із вихідних портів. Кожен вихідний сеанс ERSPAN може мати порти або VLAN як джерела, але не обидва.
- Незалежно від налаштованого розміру MTU, ERSPAN створює пакети рівня 3, які можуть мати довжину до 9202 байтів. Трафік ERSPAN може бути відкинутий будь-яким інтерфейсом у мережі, який забезпечує розмір MTU менше 9202 байтів.
- ERSPAN не підтримує фрагментацію пакетів. Біт "не фрагментувати" встановлюється в IP-заголовку пакетів ERSPAN. Сеанси призначення ERSPAN не можуть повторно зібрати фрагментовані пакети ERSPAN.
- Ідентифікатор ERSPAN розрізняє трафік ERSPAN, що надходить на ту саму IP-адресу призначення від різних вихідних сеансів ERSPAN; налаштований ідентифікатор ERSPAN має збігатися на пристроях джерела та призначення.
- Для вихідного порту або вихідної VLAN ERSPAN може контролювати вхідний, вихідний або вхідний і вихідний трафік. За замовчуванням ERSPAN відстежує весь трафік, включаючи групову передачу та кадри Bridge Protocol Data Unit (BPDU).
- Інтерфейс тунелю, який підтримується як вихідні порти для вихідного сеансу ERSPAN, це GRE, IPinIP, SVTI, IPv6, IPv6 через IP-тунель, багатоточковий GRE (mGRE) і інтерфейси безпечного віртуального тунелю (SVTI).
- Опція фільтрації VLAN не працює в сеансі моніторингу ERSPAN на інтерфейсах WAN.
- ERSPAN на маршрутизаторах серії Cisco ASR 1000 підтримує лише інтерфейси рівня 3. Інтерфейси Ethernet не підтримуються в ERSPAN, якщо вони налаштовані як інтерфейси рівня 2.
- Коли сеанс налаштовано через CLI конфігурації ERSPAN, ідентифікатор сеансу та тип сеансу змінити неможливо. Щоб змінити їх, ви повинні спочатку використати форму no команди конфігурації, щоб видалити сеанс, а потім повторно налаштувати сеанс.
- Cisco IOS XE Release 3.4S: - Моніторинг тунельних пакетів, не захищених IPsec, підтримується на інтерфейсах тунелю IPv6 і IPv6 через IP лише для вихідних сеансів ERSPAN, а не для сеансів призначення ERSPAN.
— Cisco IOS XE Release 3.5S, додано підтримку таких типів інтерфейсів WAN як вихідних портів для вихідного сеансу: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) та багатоканальний PPP (багатозв’язкові, pos та ключові слова serial були додані до команди вихідного інтерфейсу).
Використання ERSPAN як локального SPAN:
Щоб використовувати ERSPAN для моніторингу трафіку через один або кілька портів або мереж VLAN на одному пристрої, ми повинні створити джерело ERSPAN і сеанси призначення ERSPAN на одному пристрої, потік даних відбувається всередині маршрутизатора, що подібно до локального SPAN.
Під час використання ERSPAN як локального SPAN застосовуються такі фактори:
- Обидва сеанси мають однаковий ERSPAN ID.
- Обидва сеанси мають однакову IP-адресу. Ця IP-адреса є власною IP-адресою маршрутизатора; тобто петлеву IP-адресу або IP-адресу, налаштовану на будь-якому порту.
| (config)# монітор сесії 10 тип erspan-source |
| (config-mon-erspan-src)# вихідний інтерфейс Gig0/0/0 |
| (config-mon-erspan-src)# призначення |
| (config-mon-erspan-src-dst)# ip-адреса 10.10.10.1 |
| (config-mon-erspan-src-dst)# вихідна IP-адреса 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Час публікації: 28 серпня 2024 р
