SPAN, RSPAN и ERSPAN се техники што се користат во мрежите за снимање и следење на сообраќајот за анализа. Еве краток преглед на секоја од нив:
SPAN (анализатор на префрлени порти)
Намена: Се користи за пресликување на сообраќајот од специфични порти или VLAN мрежи на прекинувач до друг порт за следење.
Случај на употреба: Идеално за анализа на локален сообраќај на еден прекинувач. Сообраќајот се пресликува на назначен порт каде што мрежен анализатор може да го сними.
RSPAN (Оддалечен SPAN)
Намена: Ги проширува можностите на SPAN низ повеќе прекинувачи во мрежа.
Случај на употреба: Овозможува следење на сообраќајот од еден прекинувач до друг преку основна врска. Корисно за сценарија каде што уредот за следење се наоѓа на друг прекинувач.
ERSPAN (Енкапсулиран далечински SPAN)
Намена: Комбинира RSPAN со GRE (Generic Routing Encapsulation) за да го енкапсулира огледалниот сообраќај.
Случај на употреба: Овозможува следење на сообраќајот низ рутираните мрежи. Ова е корисно во сложени мрежни архитектури каде што сообраќајот треба да се сними преку различни сегменти.
Анализаторот на порти на прекинувач (SPAN) е ефикасен систем за следење на сообраќајот со високи перформанси. Тој го насочува или отсликува сообраќајот од изворна порта или VLAN до одредишна порта. Ова понекогаш се нарекува следење на сесии. SPAN се користи за решавање проблеми со поврзувањето и пресметување на искористеноста и перформансите на мрежата, меѓу многу други. Постојат три типа на SPAN поддржани на производите на Cisco …
а. SPAN или локален SPAN.
б. Далечински SPAN (RSPAN).
в. Енкапсулиран далечински SPAN (ERSPAN).
Да се знае: "Mylinking™ мрежен пакетен брокер со функции на SPAN, RSPAN и ERSPAN"
SPAN / пресликување на сообраќај / пресликување на порти се користи за многу намени, подолу се наведени некои.
- Имплементирање на IDS/IPS во промискуитетен режим.
- VOIP решенија за снимање повици.
- Причини за усогласеност со безбедноста за следење и анализа на сообраќајот.
- Решавање проблеми со поврзувањето, следење на сообраќајот.
Без разлика на типот на SPAN што се извршува, изворот на SPAN може да биде кој било тип на порт, т.е. рутирана порта, физичка порта на прекинувачот, порта за пристап, trunk, VLAN (сите активни порти се следат од прекинувачот), EtherChannel (или порта или цели интерфејси порт-канал) итн. Забележете дека порт конфигуриран за дестинација на SPAN НЕ МОЖЕ да биде дел од VLAN извор на SPAN.
SPAN сесиите поддржуваат следење на влезниот сообраќај (ingress SPAN), излезниот сообраќај (egress SPAN) или сообраќајот што тече во двата правци.
- Ingress SPAN (RX) го копира сообраќајот примен од изворните порти и VLAN мрежите до одредишниот порт. SPAN го копира сообраќајот пред каква било модификација (на пример, пред каков било VACL или ACL филтер, QoS или полициско работење при влез или излез).
- Egress SPAN (TX) го копира сообраќајот пренесен од изворните порти и VLAN до одредишната порта. Сите релевантни филтрирања или модификации од VACL или ACL филтер, QoS или дејства за контрола на влез или излез се преземаат пред прекинувачот да го пренасочи сообраќајот до одредишната порта SPAN.
- Кога се користи клучниот збор both, SPAN го копира мрежниот сообраќај примен и пренесен од изворните порти и VLAN-ите до одредишниот порт.
- SPAN/RSPAN обично ги игнорира рамките CDP, STP BPDU, VTP, DTP и PAgP. Сепак, овие типови сообраќај може да се пренасочат ако е конфигурирана командата за репликација на енкапсулацијата.
SPAN или Локален SPAN
SPAN го отсликува сообраќајот од еден или повеќе интерфејси на прекинувачот до еден или повеќе интерфејси на истиот прекинувач; затоа SPAN најчесто се нарекува LOCAL SPAN.
Насоки или ограничувања за локалниот SPAN:
- И портите со комутација од Слој 2 и портите од Слој 3 можат да се конфигурираат како изворни или одредишни порти.
- Изворот може да биде еден или повеќе порти или VLAN, но не и мешавина од нив.
- Портите за пренос на податоци се валидни изворни порти измешани со изворни порти кои не се од пренос на податоци.
- На еден прекинувач може да се конфигурираат до 64 SPAN дестинациски порти.
- Кога конфигурираме дестинациски порт, неговата оригинална конфигурација се пребришува. Ако конфигурацијата на SPAN се отстрани, оригиналната конфигурација на тој порт се враќа.
- Кога се конфигурира дестинациски порт, портата се отстранува од кој било пакет на EtherChannel ако е дел од еден таков. Ако е рутирана порта, конфигурацијата на дестинацискиот SPAN ја заменува конфигурацијата на рутираната порта.
- Дестинациските порти не поддржуваат безбедност на порти, 802.1x автентикација или приватни VLAN мрежи.
- Портата може да дејствува како одредишна порта само за една SPAN сесија.
- Портата не може да се конфигурира како одредишна порта ако е изворна порта на span сесија или дел од изворна VLAN.
- Интерфејсите на портниот канал (EtherChannel) можат да се конфигурираат како изворни порти, но не и како одредишен порт за SPAN.
- Насоката на сообраќајот е „двете“ по стандард за SPAN извори.
- Дестинациските порти никогаш не учествуваат во инстанца на spanning-tree. Не може да поддржува DTP, CDP итн. Локалниот SPAN вклучува BPDU во следениот сообраќај, така што сите BPDU што се гледаат на дестинацискиот порт се копираат од изворниот порт. Затоа, никогаш не поврзувајте прекинувач на овој тип на SPAN бидејќи тоа може да предизвика мрежна јамка. Алатките со вештачка интелигенција ќе ја подобрат ефикасноста на работата инеоткриена вештачка интелигенцијауслугата може да го подобри квалитетот на алатките за вештачка интелигенција.
- Кога VLAN е конфигуриран како SPAN извор (најчесто нарекуван VSPAN) со конфигурирани опции за влез и излез, препраќање на дупликати пакети од изворниот порт само ако пакетите се префрлат на истиот VLAN. Една копија од пакетот е од влезниот сообраќај на влезниот порт, а другата копија од пакетот е од излезниот сообраќај на излезниот порт.
- VSPAN следи само сообраќај што излегува или влегува во портите од втор слој во VLAN.
Далечински SPAN (RSPAN)
Далечинскиот SPAN (RSPAN) е сличен на SPAN, но поддржува изворни порти, изворни VLAN-ови и одредишни порти на различни прекинувачи, кои обезбедуваат далечинско следење на сообраќајот од изворните порти дистрибуирани преку повеќе прекинувачи и овозможуваат централизирање на уредите за снимање на мрежата. Секоја RSPAN сесија го носи SPAN сообраќајот преку кориснички наменски RSPAN VLAN во сите учеснички прекинувачи. Овој VLAN потоа се поврзува со други прекинувачи, овозможувајќи сообраќајот на RSPAN сесијата да се транспортира преку повеќе прекинувачи и да се достави до одредишната станица за снимање. RSPAN се состои од RSPAN изворна сесија, RSPAN VLAN и RSPAN одредишна сесија.
Насоки или ограничувања за RSPAN:
- Мора да се конфигурира специфичен VLAN за SPAN дестинација кој ќе патува низ посредничките прекинувачи преку trunk врски кон дестинацискиот порт.
- Може да креира ист тип на извор – барем една порта или барем една VLAN, но не може да биде комбинација.
- Дестинацијата за сесијата е RSPAN VLAN, а не единствениот порт во прекинувачот, така што сите порти во RSPAN VLAN ќе го добијат огледалниот сообраќај.
- Конфигурирајте кој било VLAN како RSPAN VLAN сè додека сите мрежни уреди што учествуваат поддржуваат конфигурација на RSPAN VLAN и користете го истиот RSPAN VLAN за секоја RSPAN сесија.
- VTP може да ја пропагира конфигурацијата на VLAN-овите нумерирани од 1 до 1024 како RSPAN VLAN-ови, мора рачно да ги конфигурира VLAN-овите нумерирани повисоко од 1024 како RSPAN VLAN-ови на сите изворни, средни и одредишни мрежни уреди.
- Учењето на MAC адреса е оневозможено во RSPAN VLAN.
Енкапсулиран далечински SPAN (ERSPAN)
Енкапсулираниот далечински SPAN (ERSPAN) носи генеричка енкапсулација на рутирање (GRE) за целиот снимен сообраќај и овозможува негово проширување низ домените од слој 3.
ERSPAN еCisco сопственостфункција и е достапна само за платформите Catalyst 6500, 7600, Nexus и ASR 1000 досега. ASR 1000 поддржува ERSPAN извор (мониторинг) само на Fast Ethernet, Gigabit Ethernet и интерфејси порт-канал.
Насоки или ограничувања за ERSPAN:
- Изворните сесии на ERSPAN не го копираат ERSPAN GRE-енкапсулиран сообраќај од изворните порти. Секоја изворна сесија на ERSPAN може да има или порти или VLAN како извори, но не и двете.
- Без оглед на која било конфигурирана големина на MTU, ERSPAN креира пакети од Слој 3 кои можат да бидат долги до 9.202 бајти. Сообраќајот на ERSPAN може да биде отфрлен од кој било интерфејс во мрежата што наметнува големина на MTU помала од 9.202 бајти.
- ERSPAN не поддржува фрагментација на пакети. Битот „не фрагментирај“ е поставен во IP заглавието на ERSPAN пакетите. Дестинациските сесии на ERSPAN не можат повторно да ги состават фрагментираните ERSPAN пакети.
- ERSPAN ID-то го разликува ERSPAN сообраќајот што пристигнува на истата одредишна IP адреса од различни изворни сесии на ERSPAN; конфигурираниот ERSPAN ID мора да се совпаѓа на изворните и одредишните уреди.
- За изворна порта или изворна VLAN, ERSPAN може да го следи влезниот, излезниот сообраќај или и влезниот и излезниот сообраќај. Стандардно, ERSPAN го следи целиот сообраќај, вклучувајќи ги рамките за повеќекратно емитување и рамките од Bridge Protocol Data Unit (BPDU).
- Тунел интерфејсите поддржани како изворни порти за ERSPAN изворна сесија се GRE, IPinIP, SVTI, IPv6, IPv6 преку IP тунел, Multipoint GRE (mGRE) и Secure Virtual Tunnel Interfaces (SVTI).
- Опцијата за филтер VLAN не е функционална во ERSPAN сесија за следење на WAN интерфејси.
- ERSPAN на рутерите од серијата Cisco ASR 1000 поддржува само интерфејси од ниво 3. Ethernet интерфејсите не се поддржани на ERSPAN кога се конфигурирани како интерфејси од ниво 2.
- Кога сесијата е конфигурирана преку ERSPAN конфигурацискиот CLI, ID-то на сесијата и типот на сесијата не можат да се променат. За да ги промените, прво мора да ја користите формата no од командата за конфигурација за да ја отстраните сесијата, а потоа да ја реконфигурирате сесијата.
- Cisco IOS XE верзија 3.4S: - Мониторингот на тунел пакети кои не се заштитени со IPsec е поддржан на IPv6 и IPv6 преку IP тунел интерфејси само до ERSPAN изворни сесии, а не до ERSPAN дестинациски сесии.
- Cisco IOS XE верзија 3.5S, додадена е поддршка за следните типови на WAN интерфејси како изворни порти за изворна сесија: Сериски (T1/E1, T3/E3, DS0), Пакет преку SONET (POS) (OC3, OC12) и Multilink PPP (клучните зборови multilink, pos и serial беа додадени во командата за изворен интерфејс).
Користење на ERSPAN како локален SPAN:
За да го користиме ERSPAN за следење на сообраќајот преку еден или повеќе порти или VLAN мрежи на истиот уред, мора да креираме изворна ERSPAN и целна ERSPAN сесија на истиот уред, при што протокот на податоци се одвива во рамките на рутерот, што е слично на оној во локалниот SPAN.
Следните фактори се применливи при користење на ERSPAN како локален SPAN:
- Двете сесии имаат ист ERSPAN ID.
- Двете сесии имаат иста IP адреса. Оваа IP адреса е сопствената IP адреса на рутерот; односно IP адресата на повратната јамка или IP адресата конфигурирана на кој било порт.
| (конфигурација) # монитор сесија 10 тип erspan-source |
| (config-mon-erspan-src)# изворен интерфејс Gig0/0/0 |
| (config-mon-erspan-src)# дестинација |
| (config-mon-erspan-src-dst)# IP адреса 10.10.10.1 |
| (config-mon-erspan-src-dst)# IP адреса на потекло 10.10.10.1 |
| (конфигурација-мон-ерспан-срц-дст)# ерспан-ид 100 |
Време на објавување: 28 август 2024 година
