Span, RSPAN och ERSPAN är tekniker som används i nätverk för att fånga och övervaka trafik för analys. Här är en kort översikt över var och en:
Span (Switched Port Analyzer)
Syfte: Används för att spegla trafik från specifika portar eller VLAN på en switch till en annan port för övervakning.
Använd fall: Idealisk för lokal trafikanalys på en enda switch. Trafiken speglas till en utsedd port där en nätverksanalysator kan fånga den.
RSPAN (fjärrspan)
Syfte: Utökar spanfunktioner över flera switchar i ett nätverk.
Använd fall: Tillåter övervakning av trafik från en switch till en annan över en stamlänk. Användbart för scenarier där övervakningsanordningen är belägen på en annan switch.
ERSPAN (inkapslat fjärrkontroll)
Syfte: Kombinerar RSPAN med GRE (generisk routinginkapsling) för att kapsla in den speglade trafiken.
Användningsfall: Tillåter övervakning av trafik över routade nätverk. Detta är användbart i komplexa nätverksarkitekturer där trafiken måste fångas över olika segment.
Switch Port Analyzer (SPAN) är ett effektivt system för högpresterande trafikövervakning. Den leder eller speglar trafik från en källport eller VLAN till en destinationsport. Detta kallas ibland sessionövervakning. Span används för felsökning av anslutningsfrågor och beräkning av nätverksanvändning och prestanda, bland många andra. Det finns tre typer av spann som stöds på Cisco -produkter ...
a. Spännvidd eller lokal spännvidd.
b. Fjärrspan (RSPAN).
c. Inkapslat fjärrspännare (Erspan).
Att veta: "MyLinking ™ nätverkspaketmäklare med span, RSPAN och ERSPAN -funktioner"
Span / trafikspegling / portspegling används för många ändamål, nedan inkluderar några.
- Implementering av ID/IP: er i promiskuöst läge.
- VoIP -samtalinspelningslösningar.
- Skäl för säkerhetsöverensstämmelse för att övervaka och analysera trafiken.
- Felsökningsproblem, övervakning av trafik.
Oavsett spänntyp som körs, kan spankällan vara vilken typ av port, dvs en dirigerad port, fysisk switchport, en åtkomstport, stam, VLAN (alla aktiva portar övervakas av switchen), en eterkanal (antingen en port eller hela portkanalgränssnitt) etc. Observera att en port som är konfigurerad för spandestination inte kan vara en del av en span-källa VLAN.
Span -sessioner stöder övervakningen av intrångstrafik (ingress span), egress trafik (egress span) eller trafik som flyter i båda riktningarna.
- Ingress Span (RX) kopierar trafik som mottagits av källportarna och VLAN till destinationsporten. Span kopierar trafiken före någon modifiering (till exempel före VACL eller ACL -filter, QoS eller ingress eller egresspolisering).
- Egress Span (TX) Kopierar trafik som överförs från källportarna och VLAN till destinationsporten. All relevant filtrering eller modifiering med VACL- eller ACL -filter, QoS eller Ingress eller Egress -polisåtgärder vidtas innan övergången framåt trafik till spännd destinationsport.
- När båda nyckelordet används, kopierar span den nätverkstrafiken som mottas och överförs av källportarna och VLAN till destinationsporten.
- SPAN/RSPAN ignorerar vanligtvis CDP, STP BPDU, VTP, DTP och PAGP. Dessa trafiktyper kan emellertid vidarebefordras om kommandot inkapslar replikat är konfigurerat.
Spännvidd eller lokal spännvidd
Span speglar trafik från ett eller flera gränssnitt på omkopplaren till ett eller flera gränssnitt på samma switch; Därför kallas mestadels spänn.
Riktlinjer eller begränsningar till lokalt spännvidd:
- Båda skikt 2 -switchade portar och lager 3 -portar kan konfigureras som käll- eller destinationsportar.
- Källan kan vara antingen en eller flera portar eller ett VLAN, men inte en blandning av dessa.
- Trunk-portar är giltiga källportar blandade med icke-stamkällportar.
- Upp till 64 spandestinationsportar kan konfigureras på en switch.
- När vi konfigurerar en destinationsport skrivs dess ursprungliga konfiguration. Om spankonfigurationen tas bort återställs den ursprungliga konfigurationen på den porten.
- När du konfigurerar en destinationsport tas porten bort från alla EtherChannel -paket om det var en del av en. Om det var en dirigerad port, åsidosätter Span -destinationskonfigurationen den dirigerade portkonfigurationen.
- Destinationsportar stöder inte portsäkerhet, 802.1x autentisering eller privata VLAN.
- En hamn kan fungera som destinationsport för endast en session.
- En port kan inte konfigureras som en destinationsport om det är en källport i en span -session eller en del av källan VLAN.
- Portkanalgränssnitt (EtherChannel) kan konfigureras som källportar men inte en destinationsport för span.
- Trafikriktningen är "båda" som standard för spankällor.
- Destinationsportar deltar aldrig i en spännträdinstans. Det går inte att stödja DTP, CDP etc. Lokalt span inkluderar BPDU i den övervakade trafiken, så alla BPDU: er som ses på destinationsporten kopieras från källporten. Anslut därför aldrig en switch till denna typ av spännvidd eftersom den kan orsaka en nätverksslinga. AI -verktyg kommer att förbättra arbetseffektiviteten ochOtetekterbar AITjänsten kan förbättra kvaliteten på AI -verktyg.
- När VLAN är konfigurerat som SPAN -källa (mestadels kallad VSPAN) med både Ingress- och Egress -alternativ konfigurerade, framåt duplicerade paket från källporten endast om paketen växlar i samma VLAN. En kopia av paketet är från Ingress -trafiken på Ingress -porten, och den andra kopian av paketet är från Egress -trafiken på Egress -hamnen.
- VSPAN övervakar endast trafik som lämnar eller kommer in i lager 2 -portar i VLAN.
Fjärrspan (RSPAN)
Remote Span (RSPAN) liknar span, men det stöder källportar, käll VLAN och destinationsportar på olika switchar, som ger fjärrövervakningstrafik från källportar som är distribuerade över flera switchar och gör det möjligt för destination centraliserande nätverksenheter. Varje RSPAN-session bär span-trafiken över en användarspecificerad dedikerad RSPAN VLAN i alla deltagande switchar. Denna VLAN trunkas sedan till andra switchar, vilket gör att RSPAN -sessionstrafiken kan transporteras över flera switchar och levereras till Destination Capturing Station. RSPAN består av en RSPAN -källsession, en RSPAN VLAN och en RSPAN -destinationssession.
Riktlinjer eller begränsningar till RSPAN:
- Ett specifikt VLAN måste konfigureras för spandestination som kommer att korsa över mellanområdena via stamlänkar mot destinationsporten.
- Kan skapa samma källtyp - minst en port eller minst ett VLAN men kan inte vara blandningen.
- Destinationen för sessionen är RSPAN VLAN snarare än den enda porten i Switch, så alla portar i RSPAN VLAN kommer att få den speglade trafiken.
- Konfigurera valfritt VLAN som en RSPAN VLAN så länge som alla deltagande nätverksenheter stöder konfiguration av RSPAN VLAN och använd samma RSPAN VLAN för varje RSPAN -session
- VTP kan sprida konfiguration av VLAN numrerade 1 till 1024 som RSPAN VLAN, måste manuellt konfigurera VLAN numrerade högre än 1024 som RSPAN VLAN på alla käll-, mellan- och destinationsnätverksenheter.
- MAC -adressinlärning är inaktiverad i RSPAN VLAN.
Inkapslat fjärrspännare (ERSPAN)
Inkapslat fjärrspännare (ERSPAN) ger generisk routinginkapsling (GRE) för all fångad trafik och gör att den kan förlängas över lager 3 -domäner.
Erspan är enCisco proprietärFunktion och är endast tillgänglig för Catalyst 6500, 7600, Nexus och ASR 1000 plattformar hittills. ASR 1000 stöder ERSPAN-källan (övervakning) endast på snabba Ethernet, Gigabit Ethernet och portkanalgränssnitt.
Riktlinjer eller begränsningar till Erspan:
- ERSPAN-källsessioner kopierar inte ERSPAN GRE-inkapslade trafik från källportar. Varje ERSPAN -källsession kan ha antingen portar eller VLAN som källor, men inte båda.
- Oavsett någon konfigurerad MTU -storlek skapar Erspan lager 3 -paket som kan vara så länge som 9 202 byte. ERSPAN -trafik kan tappas av alla gränssnitt i nätverket som upprätthåller en MTU -storlek mindre än 9 202 byte.
- Erspan stöder inte paketfragmentering. Biten "Do fragment" är inställd i IP -rubriken för Erspan -paket. ERSPAN -destinationssessioner kan inte återmontera fragmenterade ERSPAN -paket.
- ERSPAN -ID differentierar ERSPAN -trafiken som anländer till samma IP -adress från olika ERSPAN -källsessioner; Konfigurerat ERSPAN -ID måste matcha på käll- och destinationsenheter.
- För en källport eller en källa VLAN kan ERSPAN övervaka ingress, utgång eller både ingress och egress -trafik. Som standard övervakar ERSPAN all trafik, inklusive multicast och bridge Protocol Data Unit (BPDU).
- Tunnelgränssnitt som stöds som källportar för en ERSPAN -källsession är GRE, IPINIP, SVTI, IPv6, IPv6 över IP -tunnel, multipoint gre (mgre) och säkra virtuella tunnelgränssnitt (SVTI).
- Alternativet Filter VLAN är inte funktionellt i en ERSPAN -övervakningssession på WAN -gränssnitt.
- ERSPAN ON CISCO ASR 1000 Series routrar stöder endast Layer 3 -gränssnitt. Ethernet -gränssnitt stöds inte på ERSPAN när de är konfigurerade som Layer 2 -gränssnitt.
- När en session är konfigurerad genom ERSPAN -konfigurationen CLI kan session -ID och sessionstypen inte ändras. För att ändra dem måste du först använda No -formen för konfigurationskommandot för att ta bort sessionen och sedan konfigurera om sessionen.
- Cisco iOS XE Release 3.4S:- Övervakning av icke-IPSec-skyddade tunnelpaket stöds på IPv6 och IPv6 över IP-tunnelgränssnitt endast till ERSPAN-källsessioner, inte till ERSPAN-destinationssessioner.
- Cisco iOS XE Release 3.5s, Support lades till för följande typer av WAN -gränssnitt som källportar för en källsession: Seriell (T1/E1, T3/E3, DS0), Packet Over Sonet (POS) (OC3, OC12) och Multilink PPP (Multilink, POS och Serial Key Words lades till Source -Command).
Använda Erspan som lokalt spännvidd:
För att använda ERSPAN för att övervaka trafik genom en eller flera portar eller VLAN i samma enhet, måste vi behöva skapa en ERSPAN -källa och ERSPAN -destinationssessioner i samma enhet, dataflödet sker inuti routern, vilket liknar den i lokal spännvidd.
Följande faktorer är tillämpliga när du använder ERSPAN som ett lokalt spännvidd:
- Båda sessionerna har samma ERSPAN -ID.
- Båda sessionerna har samma IP -adress. Denna IP -adress är routrarna egen IP -adress; Det vill säga Loopback IP -adressen eller IP -adressen konfigurerad på vilken port som helst.
| (config)# Monitor Session 10 Type Erspan-Source |
| (config-mon-perspan-src)# källgränssnitt gig0/0/0 |
| (config-mon-resspan-src)# destination |
| (config-mon-perspan-src-dst)# IP-adress 10.10.10.1 |
| (config-mon-perspan-src-dst)# Ursprung IP-adress 10.10.10.1 |
| (config-mon-perspan-src-dst)# erspan-id 100 |
Inläggstid: aug-28-2024
