Span, RSPAN та ERSPAN - це методи, що використовуються в мережі для зйомки та моніторингу трафіку для аналізу. Ось короткий огляд кожного:
Проміжок (комутаційний аналізатор портів)
Мета: Використовується для дзеркала трафіку з конкретних портів або VLAN на перемиканні на інший порт для моніторингу.
Використовуйте випадок: ідеально підходить для локального аналізу руху на одному комутаторі. Трафік відображається у визначеному порту, де мережевий аналізатор може його захопити.
Rspan (віддалений проміжок)
Призначення: розширює можливості прольоту в декількох комутаторах у мережі.
Використовуйте випадок: дозволяє моніторинг трафіку з одного перемикання на інший через мережу багажника. Корисно для сценаріїв, де пристрій моніторингу розташований на іншому комутаторі.
Erspan (інкапсульований віддалений проміжок)
Призначення: поєднує RSPAN з GRE (загальна інкапсуляція маршрутизації) для інкапсуляції дзеркального трафіку.
Використовуйте випадок: дозволяє моніторинг трафіку в маршрутизованих мережах. Це корисно у складних мережевих архітектурах, де трафік потрібно захопити за різними сегментами.
Analyzer Port Port (SPAN) - це ефективна, високоефективна система моніторингу трафіку. Він спрямовує або відображає трафік з вихідного порту або VLAN до порту призначення. Іноді це називають моніторингом сеансу. Span використовується для усунення проблем з підключенням та обчислення використання мережі та продуктивності, серед багатьох інших. Існує три типи прольотів, що підтримуються на продуктах Cisco ...
а. Проміжок або місцевий проміжок.
б. Віддалений проміжок (RSPAN).
c. Інкапсульований віддалений проміжок (erspan).
Щоб знати: "Брокер мережевого пакету MyLking ™ з функціями Span, RSPAN та ERSPAN"
Дзеркання проміжків / дорожнього руху / дзеркальне відображення портів використовується для багатьох цілей, внизу включає деякі.
- Впровадження ідентифікаторів/IPS у розбещеному режимі.
- рішення запису VoIP.
- Причини відповідності безпеці для моніторингу та аналізу трафіку.
- Виправлення проблем з підключенням, моніторинг трафіку.
Незалежно від типу Span, що працює, джерелом SPAN може бути будь-який тип порту, тобто маршрутизований порт, фізичний порт комутатора, порт доступу, багажник, VLAN (всі активні порти контролюються від перемикача), EtherChannel (або порту, або весь інтерфейс порту-каналів) тощо. Примітка, що порт, налаштований для пункту призначення SPAN, не може бути частиною джерела Span Source VLAN.
Сеанси проміжків підтримують моніторинг вхідного трафіку (проміжок входу), трафіку (випускний проміжок) або трафік, що протікає в обох напрямках.
- Invress Span (RX) копіює трафік, отриманий вихідними портами та VLAN до порту призначення. Span копіює трафік перед будь -якою модифікацією (наприклад, перед будь -яким фільтром VACL або ACL, QoS або Ingress або Over -Wolication).
- Проміжок виходу (TX) копіює трафік, що передається з вихідних портів та VLAN до порту призначення. Всі відповідні фільтрації або модифікація за допомогою фільтра VACL або ACL, QOS або введення або випускних дій, що стосуються поліції, вживаються перед перемиканням трафіку до порту призначення.
- Коли використовується обидва ключові слова, Span копіює мережевий трафік, отриманий та переданий вихідними портами та VLAN до порту призначення.
- Span/Rspan зазвичай ігнорує CDP, STP BPDU, VTP, DTP та PAGP -кадри. Однак ці типи трафіку можуть бути переселені, якщо налаштована команда повторної копії інкапсуляції.
Проміжок або місцевий проміжок
Span дзеркала трафік з одного або декількох інтерфейсів на перемиканні на один або кілька інтерфейсів на одному комутаторі; Отже, проміжок здебільшого називається місцевим проміжком.
Керівні принципи або обмеження для місцевого проміжку:
- Обидва перемикені порти SARET 2, і порти 3 -го рівня можуть бути налаштовані як джерело або порти призначення.
- Джерелом може бути один, або більше портів, або VLAN, але не їх поєднання.
- Порти магістралі- це дійсні джерельні порти, змішані з портами безпроблемних джерел.
- до 64 портів призначення Span можна налаштувати на комутаторі.
- Коли ми налаштовуємо порт призначення, його початкова конфігурація перезаписана. Якщо конфігурація Span видаляється, відновлюється оригінальна конфігурація цього порту.
- Коли налаштуйте порт призначення, порт видаляється з будь -якого пакету EtherChannel, якщо він був частиною одного. Якщо це був маршрутний порт, конфігурація призначення SPAN перекриває конфігурацію маршрутизованого порту.
- Порти призначення не підтримують безпеку портів, автентифікацію 802.1x або приватні VLAN.
- Порт може виступати в якості порту призначення лише для одного сеансу прольоту.
- Порт не може бути налаштований як порт призначення, якщо він є вихідним портом сеансу Span або частиною джерела VLAN.
- Інтерфейси каналу порту (Etherchannel) можна налаштувати як вихідні порти, але не порт призначення для прольоту.
- Напрямок руху "обидва" за замовчуванням для джерел прольоту.
- Порти призначення ніколи не беруть участі в екземплярі, що охоплює. Не вдається підтримати DTP, CDP тощо. Місцевий проміжок включає BPDU в моніторингу трафіку, тому будь -які BPDUS, помічені в порту призначення, копіюються з вихідного порту. Отже, ніколи не підключайте перемикач до цього типу проміжку, оскільки він може спричинити мережевий цикл. Інструменти AI підвищують ефективність роботи таневизначений AIСервіс може покращити якість інструментів AI.
- Коли VLAN налаштована як джерело Span (в основному називається VSPAN) з налаштованими як параметри введення, так і виходу, вперед, вперед пакетні пакети з порту джерела лише в тому випадку, якщо пакети перемикаються в одній і тій же VLAN. Одна копія пакету - з трафіку входу на вхідному порту, а інша копію пакету - з трафіку виходу на порту випуску.
- VSPAN монітори лише трафік, який залишає або входить у шарі 2 порти у VLAN.
Віддалений проміжок (RSPAN)
Віддалений проміжок (RSPAN) схожий на проміжок, але він підтримує вихідні порти, джерело VLAN та порти призначення на різних комутаторах, які забезпечують віддалений трафік моніторингу з портів джерел, розподілених на декількох комутаторах, і дозволяє централізувати пристрої збору мережі. Кожен сеанс RSPAN несе трафік SPAN над спеціалізованою користувачем спеціалізованою RSPAN VLAN у всіх перемикачах учасників. Потім цей VLAN підбадьорюється до інших комутаторів, що дозволяє транспортувати трафік сеансу RSPAN через кілька комутаторів та доставлений до станції захоплення пункту призначення. RSPAN складається з сеансу джерела RSPAN, RSPAN VLAN та сеансу призначення RSPAN.
Керівні принципи або обмеження для RSPAN:
- Специфічна VLAN повинна бути налаштована для місця призначення Span, який буде проходити через проміжні комутатори за допомогою магістральних посилань до порту призначення.
- Може створити однаковий тип джерела - принаймні один порт або принаймні один VLAN, але не може бути сумішшю.
- До пункту призначення сеансу є rspan vlan, а не один порт у комутаторі, тому всі порти в rspan vlan отримають дзеркальний трафік.
- Налаштуйте будь -яку VLAN як RSPAN VLAN, якщо всі мережеві пристрої, що беруть участь, підтримують конфігурацію RSPAN VLAN та використовуйте один і той же RSPAN VLAN для кожного сеансу RSPAN
- VTP може поширювати конфігурацію VLAN, пронумерованих від 1 до 1024 як RSPAN VLAN, повинна вручну налаштувати VLAN, пронумеровані вище 1024 як RSPAN VLAN на всіх джерелах, проміжних та цільових пристроях.
- Навчання MAC -адреси вимкнено в RSPAN VLAN.
Інкапсульований віддалений проміжок (erspan)
Інкапсульований віддалений проміжок (ERSPAN) приносить загальну інкапсуляцію маршрутизації (GRE) для всього захопленого трафіку і дозволяє розширювати його по доменах 3 рівня 3.
Erspan - цеCiscoОсобливість і доступна лише для платформ Catalyst 6500, 7600, Nexus та ASR 1000. ASR 1000 підтримує джерело ERSPAN (моніторинг) лише на Fast Ethernet, Gigabit Ethernet та інтерфейсах порту-каналів.
Керівні принципи або обмеження для ERSPAN:
- Сеанси джерела ERSPAN не копіюють трафік ERSPAN GRE-enapsulated з джерельних портів. Кожен сеанс джерела ERSPAN може мати або порти, або VLAN як джерела, але не обидва.
- Незалежно від будь -якого налаштованого розміру MTU, ERSPAN створює пакети 3 -го рівня, які можуть бути до 9 202 байт. Трафік ERSPAN може бути відпущений будь -яким інтерфейсом у мережі, який забезпечує розмір MTU менше 9 202 байт.
- ERSPAN не підтримує фрагментацію пакетів. Біт "Не фрагмент" встановлений у заголовку IP -адреси пакетів ERSPAN. Сеанси призначення ERSPAN не можуть зібрати фрагментовані пакети ERSPAN.
- Ідентифікатор ERSPAN розрізняє трафік ERSPAN, що прибуває до однієї IP -адреси призначення з різних сеансів джерела ERSPAN; Налаштований ідентифікатор ERSPAN повинен відповідати пристроям джерела та призначення.
- Для вихідного порту або джерела VLAN, ERSPAN може контролювати вхід, випуск, або і вступний та випускний трафік. За замовчуванням ERSPAN відстежує весь трафік, включаючи рамки даних протоколу багатоадресної та мостової протоколу (BPDU).
- Тунельний інтерфейс, що підтримується як вихідні порти для сеансу джерела ERSPAN, є GRE, IPINIP, SVTI, IPv6, IPv6 над IP -тунелем, багатоточковими GRE (MGRE) та захищеними віртуальними тунельними інтерфейсами (SVTI).
- Параметр фільтра VLAN не функціонує в сеансі моніторингу ERSPAN на інтерфейсах WAN.
- ERSPAN на маршрутизаторах серії Cisco ASR 1000 підтримує лише інтерфейси рівня 3. Інтерфейси Ethernet не підтримуються на ERSPAN при налаштуванні як інтерфейси рівня 2.
- Коли сеанс налаштований через CLI конфігурації ERSPAN, ідентифікатор сеансу та тип сеансу неможливо змінити. Щоб змінити їх, спочатку потрібно використовувати форму NO команди конфігурації для видалення сеансу, а потім перенастроювання сеансу.
- Cisco IOS XE Release 3.4s:- Моніторинг тунельних пакетів, захищених неповнолітнім, підтримується на інтерфейсах IPv6 та IPv6 над IP-інтерфейсами лише для сеансів джерела ERSPAN, а не до сеансів призначення ERSPAN.
- Cisco IOS XE Release 3.5S, підтримка була додана для таких типів інтерфейсів WAN як джерельних портів для вихідного сеансу: серіал (T1/E1, T3/E3, DS0), пакет над SONET (POS) (OC3, OC12) та Multilink PPP (багатолінійні, POS та серіальні ключові слова додавались до інтерфейсу).
Використання ERSPAN як місцевого проміжку:
Щоб використовувати ERSPAN для моніторингу трафіку через один або декілька портів або VLAN в одному пристрої, ми повинні створити джерело erpan та сеанси призначення ERSPAN в одному пристрої, потік даних відбувається всередині маршрутизатора, що схоже на те, що в локальному проміжку.
Наступні фактори застосовуються під час використання ERSPAN як місцевого проміжку:
- Обидва сеанси мають однаковий ідентифікатор ERSPAN.
- Обидва сеанси мають однакову IP -адресу. Ця IP -адреса є власною IP -адресою маршрутизаторів; тобто IP -адреса Loopback або IP -адреса, налаштована на будь -якому порту.
| (конфігурація)# монітор 10 тип erspan-source |
| (config-mon-erspan-src)# джерело інтерфейсу GIG0/0/0 |
| (config-mon-erspan-src)# пункт призначення |
| (config-mon-erspan-src-dst)# IP-адреса 10.10.10.1 |
| (config-mon-erspan-src-dst)# IP-адреса походження 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Час посади: 28-2024 серпня
