English

Förstå SPAN, RSPAN och ERSPAN: Tekniker för nätverkstrafikövervakning

SPAN, RSPAN och ERSPANär tekniker som används i nätverk för att fånga och övervaka trafik för analys. Här är en kort översikt av var och en:

SPAN (Switched Port Analyzer)

Syfte: Används för att spegla trafik från specifika portar eller VLAN på en switch till en annan port för övervakning.

Användningsfall: Idealisk för lokal trafikanalys på en enda switch. Trafiken speglas till en utsedd port där en nätverksanalysator kan fånga den.

RSPAN (Remote SPAN)

Syfte: Utökar SPAN-kapaciteten över flera switchar i ett nätverk.

Användningsfall: Tillåter övervakning av trafik från en switch till en annan via en trunklänk. Användbar för scenarier där övervakningsenheten är placerad på en annan switch.

ERSPAN (Encapsulated Remote SPAN)

Syfte: Kombinerar RSPAN med GRE (Generic Routing Encapsulation) för att kapsla in den speglade trafiken.

Användningsfall: Möjliggör övervakning av trafik över routade nätverk. Detta är användbart i komplexa nätverksarkitekturer där trafik måste fångas över olika segment.

Switch port Analyzer (SPAN)är ett effektivt trafikövervakningssystem med hög prestanda. Den dirigerar eller speglar trafik från en källport eller VLAN till en destinationsport. Detta kallas ibland för sessionsövervakning. SPAN används för att felsöka anslutningsproblem och beräkna nätverksanvändning och prestanda, bland många andra. Det finns tre typer av SPAN som stöds på Cisco-produkter ...

a. SPAN eller lokal SPAN.

b. Remote SPAN (RSPAN).

c. Encapsulated remote SPAN (ERSPAN).

Att veta: "Mylinking™ Network Packet Broker med SPAN-, RSPAN- och ERSPAN-funktioner"

SPAN, RSPAN, ERSPAN

SPAN / trafikspegling / portspegling används för många ändamål, nedan inkluderar några.

- Implementering av IDS/IPS i promiskuöst läge.

- VOIP-samtalsinspelningslösningar.

- Säkerhetsefterlevnad skäl för att övervaka och analysera trafik.

- Felsökning av anslutningsproblem, övervakning av trafik.

Oavsett vilken SPAN-typ som körs, kan SPAN-källan vara vilken typ av port som helst, t.ex. en routad port, fysisk switchport, en accessport, trunk, VLAN (alla aktiva portar övervakas av switchen), en EtherChannel (antingen en port eller hela porten). -channel interfaces) etc. Observera att en port konfigurerad för SPAN-destination INTE KAN vara en del av ett SPAN-käll-VLAN.

SPAN-sessioner stöder övervakning av inkommande trafik (ingress SPAN), utgående trafik (egress SPAN) eller trafik som flyter i båda riktningarna.

- Ingress SPAN (RX) kopierar trafik som tas emot av källportarna och VLAN till destinationsporten. SPAN kopierar trafiken före någon modifiering (till exempel före något VACL- eller ACL-filter, QoS eller ingress- eller egress-polising).

- Egress SPAN (TX) kopierar trafik som sänds från källportarna och VLAN till destinationsporten. All relevant filtrering eller modifiering av VACL- eller ACL-filter, QoS eller ingress- eller egresspolisiåtgärder vidtas innan switchen vidarebefordrar trafik till SPAN-destinationsporten.

- När nyckelordet båda används, kopierar SPAN nätverkstrafiken som tas emot och sänds av källportarna och VLAN till destinationsporten.

- SPAN/RSPAN ignorerar vanligtvis CDP, STP BPDU, VTP, DTP och PAgP ramar. Dessa trafiktyper kan dock vidarebefordras om kommandot inkapslingsreplikering är konfigurerat.

SPAN eller Local SPAN

SPAN speglar trafik från ett eller flera gränssnitt på switchen till ett eller flera gränssnitt på samma switch; därför hänvisas SPAN oftast till som LOCAL SPAN.

Riktlinjer eller begränsningar för lokala SPAN:

- Både Layer 2 switchade portar och Layer 3 portar kan konfigureras som käll- eller destinationsportar.

– Källan kan vara antingen en eller flera portar eller ett VLAN, men inte en blandning av dessa.

- Trunkportar är giltiga källportar blandade med icke-trunkkällaportar.

- Upp till 64 SPAN-destinationsportar kan konfigureras på en switch.

- När vi konfigurerar en destinationsport skrivs dess ursprungliga konfiguration över. Om SPAN-konfigurationen tas bort, återställs den ursprungliga konfigurationen på den porten.

- När du konfigurerar en destinationsport tas porten bort från alla EtherChannel-paket om den var en del av en. Om det var en routad port, åsidosätter SPAN-destinationskonfigurationen den routade portkonfigurationen.

- Destinationsportar stöder inte portsäkerhet, 802.1x-autentisering eller privata VLAN.

- En port kan fungera som målport för endast en SPAN-session.

- En port kan inte konfigureras som en destinationsport om den är en källport för en span-session eller en del av käll-VLAN.

- Portkanalgränssnitt (EtherChannel) kan konfigureras som källportar men inte en destinationsport för SPAN.

- Trafikriktning är "båda" som standard för SPAN-källor.

- Destinationsportar deltar aldrig i en spanning-tree-instans. Kan inte stödja DTP, CDP etc. Local SPAN inkluderar BPDUs i den övervakade trafiken, så alla BPDUs som ses på destinationsporten kopieras från källporten. Anslut därför aldrig en switch till denna typ av SPAN eftersom det kan orsaka en nätverksslinga.

- När VLAN är konfigurerat som SPAN-källa (oftast kallad VSPAN) med både ingångs- och utgångsalternativ konfigurerade, vidarebefordra duplicerade paket från källporten endast om paketen växlas i samma VLAN. En kopia av paketet är från ingångstrafiken på ingångsporten, och den andra kopian av paketet är från utgående trafik på egressporten.

- VSPAN övervakar endast trafik som lämnar eller går in i Layer 2-portar i VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN och ERSPAN är tekniker som används i nätverk för att fånga och övervaka trafik för analys. Här är en kort översikt av var och en:

SPAN (Switched Port Analyzer)

  • Ändamål: Används för att spegla trafik från specifika portar eller VLAN på en switch till en annan port för övervakning.
  • Användningsfall: Idealisk för lokal trafikanalys på en enda switch. Trafiken speglas till en utsedd port där en nätverksanalysator kan fånga den.

RSPAN (Remote SPAN)

  • Ändamål: Utökar SPAN-kapaciteten över flera switchar i ett nätverk.
  • Användningsfall: Tillåter övervakning av trafik från en switch till en annan via en trunklänk. Användbar för scenarier där övervakningsenheten är placerad på en annan switch.

ERSPAN (Encapsulated Remote SPAN)

  • Ändamål: Kombinerar RSPAN med GRE (Generic Routing Encapsulation) för att kapsla in den speglade trafiken.
  • Användningsfall: Möjliggör övervakning av trafik över routade nätverk. Detta är användbart i komplexa nätverksarkitekturer där trafik måste fångas över olika segment.

Remote SPAN (RSPAN)

Remote SPAN (RSPAN) liknar SPAN, men det stöder källportar, käll-VLAN och destinationsportar på olika switchar, som tillhandahåller fjärrövervakningstrafik från källportar fördelade över flera switchar och tillåter destinationscentralisera nätverksfångstenheter. Varje RSPAN-session bär SPAN-trafiken över ett användarspecificerat dedikerat RSPAN VLAN i alla deltagande switchar. Detta VLAN trunkeras sedan till andra switchar, vilket gör att RSPAN-sessionstrafiken kan transporteras över flera switchar och levereras till destinationsfångststationen. RSPAN består av en RSPAN-källsession, en RSPAN VLAN och en RSPAN-destinationssession.

Riktlinjer eller begränsningar för RSPAN:

- Ett specifikt VLAN måste konfigureras för SPAN-destination som går över de mellanliggande switcharna via trunklänkar mot destinationsporten.

- Kan skapa samma källtyp – minst en port eller minst ett VLAN men kan inte vara mixen.

- Destinationen för sessionen är RSPAN VLAN snarare än den enda porten i switchen, så alla portar i RSPAN VLAN kommer att ta emot den speglade trafiken.

- Konfigurera valfritt VLAN som ett RSPAN VLAN så länge som alla deltagande nätverksenheter stöder konfiguration av RSPAN VLAN, och använd samma RSPAN VLAN för varje RSPAN-session

- VTP kan sprida konfiguration av VLAN numrerade 1 till 1024 som RSPAN VLAN, måste manuellt konfigurera VLAN numrerade högre än 1024 som RSPAN VLAN på alla käll-, mellanliggande och destinationsnätverksenheter.

- MAC-adressinlärning är inaktiverad i RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Encapsulated remote SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) ger generisk routing-inkapsling (GRE) för all infångad trafik och gör att den kan utökas över Layer 3-domäner.

ERSPAN är enCiscos egenutveckladefunktion och är endast tillgänglig för Catalyst 6500, 7600, Nexus och ASR 1000-plattformar hittills. ASR 1000 stöder endast ERSPAN-källa (övervakning) på Fast Ethernet, Gigabit Ethernet och port-kanalgränssnitt.

Riktlinjer eller begränsningar för ERSPAN:

- ERSPAN-källsessioner kopierar inte ERSPAN GRE-inkapslad trafik från källportar. Varje ERSPAN-källsession kan ha antingen portar eller VLAN som källor, men inte båda.

- Oavsett vilken konfigurerad MTU-storlek som helst, skapar ERSPAN Layer 3-paket som kan vara så långa som 9 202 byte. ERSPAN-trafik kan släppas av vilket gränssnitt som helst i nätverket som upprätthåller en MTU-storlek som är mindre än 9 202 byte.

- ERSPAN stöder inte paketfragmentering. Biten "fragmentera inte" ställs in i IP-huvudet för ERSPAN-paket. ERSPAN-destinationssessioner kan inte återmontera fragmenterade ERSPAN-paket.

- ERSPAN-ID:t skiljer ERSPAN-trafiken som kommer till samma destinations-IP-adress från olika ERSPAN-källsessioner; konfigurerat ERSPAN ID måste matcha på käll- och målenheter.

- För en källport eller ett käll-VLAN kan ERSPAN övervaka ingångs-, utgående eller både inkommande och utgående trafik. Som standard övervakar ERSPAN all trafik, inklusive multicast- och BPDU-ramar (Bridge Protocol Data Unit).

- Tunnelgränssnitt som stöds som källportar för en ERSPAN-källsession är GRE, IPinIP, SVTI, IPv6, IPv6 över IP-tunnel, Multipoint GRE (mGRE) och Secure Virtual Tunnel Interfaces (SVTI).

- Filter-VLAN-alternativet fungerar inte i en ERSPAN-övervakningssession på WAN-gränssnitt.

- ERSPAN på Cisco ASR 1000-seriens routrar stöder endast Layer 3-gränssnitt. Ethernet-gränssnitt stöds inte på ERSPAN när de är konfigurerade som Layer 2-gränssnitt.

- När en session konfigureras genom ERSPAN-konfigurations-CLI kan sessions-ID och sessionstyp inte ändras. För att ändra dem måste du först använda no-formen av konfigurationskommandot för att ta bort sessionen och sedan konfigurera om sessionen.

- Cisco IOS XE Release 3.4S:- Övervakning av icke-IPsec-skyddade tunnelpaket stöds på IPv6 och IPv6 över IP-tunnelgränssnitt endast för ERSPAN-källsessioner, inte till ERSPAN-destinationssessioner.

- Cisco IOS XE Release 3.5S, stöd lades till för följande typer av WAN-gränssnitt som källportar för en källsession: Seriell (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) och Multilink PPP (multilink, pos och seriella nyckelord lades till i källgränssnittskommandot).

SPAN, RSPAN, ERSPAN 3

Använda ERSPAN som lokalt SPAN:

För att använda ERSPAN för att övervaka trafik genom en eller flera portar eller VLAN i samma enhet, måste vi skapa en ERSPAN-källa och ERSPAN-destinationssessioner i samma enhet, dataflödet sker inuti routern, vilket liknar det i lokalt SPAN.

Följande faktorer är tillämpliga när du använder ERSPAN som ett lokalt SPAN:

- Båda sessionerna har samma ERSPAN-ID.

- Båda sessionerna har samma IP-adress. Denna IP-adress är routerns egen IP-adress; det vill säga loopback-IP-adressen eller IP-adressen som konfigurerats på valfri port.

(config)# monitor session 10 typ erspan-source
(config-mon-erspan-src)# källgränssnitt Gig0/0/0
(config-mon-erspan-src)# destination
(config-mon-erspan-src-dst)# ip-adress 10.10.10.1
(config-mon-erspan-src-dst)# ursprungs-ip-adress 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Posttid: 2024-aug-28
Tryck på Retur för att söka eller ESC för att stänga