Разбирање на SPAN, RSPAN и ERSPAN: Техники за следење на мрежниот сообраќај

SPAN, RSPAN и ERSPAN се техники кои се користат во вмрежувањето за снимање и следење на сообраќајот за анализа. Еве краток преглед на секоја од нив:

SPAN (Анализатор со префрлена порта)

Цел: Се користи за пресликување на сообраќајот од одредени порти или VLAN на прекинувач на друга порта за следење.

Случај за употреба: Идеален за анализа на локалниот сообраќај на еден прекинувач. Сообраќајот се пресликува на одредена порта каде што мрежниот анализатор може да го сними.

RSPAN (далечински SPAN)

Цел: Ги проширува можностите SPAN низ повеќе прекинувачи во мрежата.

Use Case: Овозможува следење на сообраќајот од еден прекинувач до друг преку врската на багажникот. Корисно за сценарија каде што уредот за следење се наоѓа на друг прекинувач.

ERSPAN (Капсулиран далечински SPAN)

Цел: Комбинира RSPAN со GRE (Generic Routing Encapsulation) за да го инкапсулира огледуваниот сообраќај.

Случај на употреба: Овозможува следење на сообраќајот низ рутираните мрежи. Ова е корисно во сложени мрежни архитектури каде сообраќајот треба да се зафаќа во различни сегменти.

Switch port Analyzer (SPAN) е ефикасен систем за следење на сообраќајот со високи перформанси. Го насочува или пресликува сообраќајот од изворната порта или VLAN до дестинацијата. Ова понекогаш се нарекува следење на сесијата. SPAN се користи за решавање проблеми со поврзувањето и пресметување на искористеноста и перформансите на мрежата, меѓу многу други. Постојат три типа на SPAN поддржани на производите на Cisco…

а. SPAN или локален SPAN.

б. Далечински SPAN (RSPAN).

в. Капсулиран далечински SPAN (ERSPAN).

Да се ​​знае: "Брокер за мрежни пакети Mylinking™ со карактеристики SPAN, RSPAN и ERSPAN"

ШПАН, РСПАН, ЕРСПАН

SPAN / пресликување на сообраќај / пресликување на порти се користи за многу намени, подолу вклучува некои.

- Спроведување IDS/IPS во промискуитетен режим.

- Решенија за снимање VOIP повици.

- Причини за усогласеност со безбедноста за следење и анализа на сообраќајот.

- Решавање проблеми со поврзување, следење на сообраќајот.

Без оглед на типот SPAN кој работи, изворот на SPAN може да биде кој било тип на порта, т.е. рутирана порта, порта за физички прекинувач, пристапна порта, багажникот, VLAN (сите активни порти се следат на прекинувачот), EtherChannel (или порта или цела порта -интерфејси на канали) итн. Забележете дека порта конфигурирана за SPAN дестинација НЕ МОЖЕ да биде дел од SPAN извор VLAN.

SPAN сесиите поддржуваат следење на влезниот сообраќај (влезен SPAN), излезниот сообраќај (излезен SPAN) или сообраќајот што тече во двете насоки.

- Ingress SPAN (RX) го копира сообраќајот добиен од изворните порти и VLAN до дестинацијата. SPAN го копира сообраќајот пред било каква модификација (на пример, пред било кој VACL или ACL филтер, QoS или полициска контрола на влез или излез).

- Egress SPAN (TX) го копира сообраќајот пренесен од изворните порти и VLAN до дестинацијата. Сите релевантни филтрирање или модификација со VACL или ACL филтер, QoS или дејствија за полициска контрола на влез или излез се преземаат пред прекинувачот да го пренасочи сообраќајот до одредишната порта SPAN.

- Кога се користи двата клучни зборови, SPAN го копира мрежниот сообраќај примен и пренесен од изворните порти и VLAN до дестинацијата.

- SPAN/RSPAN обично ги игнорира CDP, STP BPDU, VTP, DTP и PAgP рамки. Сепак, овие типови сообраќај може да се препратат ако е конфигурирана командата за репликација на енкапсулација.

SPAN или Локален SPAN

SPAN го пресликува сообраќајот од еден или повеќе интерфејси на прекинувачот до еден или повеќе интерфејси на истиот прекинувач; оттука SPAN најчесто се нарекува ЛОКАЛЕН СПАН.

Насоки или ограничувања за локалниот SPAN:

- И портите за префрлување на слој 2 и портите за слој 3 може да се конфигурираат како изворни или дестинации порти.

- Изворот може да биде или една или повеќе порти или VLAN, но не и мешавина од нив.

- Пристаништата за багажникот се валидни изворни порти измешани со порти за извор што не се багажникот.

- До 64 дестинации SPAN може да се конфигурираат на прекинувач.

- Кога конфигурираме дестинација порта, нејзината оригинална конфигурација се препишува. Ако се отстрани конфигурацијата SPAN, оригиналната конфигурација на таа порта е вратена.

- Кога конфигурирате дестинација порта, пристаништето се отстранува од кој било пакет EtherChannel ако бил дел од еден. Ако се работи за насочувана порта, конфигурацијата на дестинацијата SPAN ја надминува конфигурацијата на насочуваната порта.

- Дестиналните порти не поддржуваат безбедност на пристаништето, автентикација 802.1x или приватни VLAN.

- Порта може да дејствува како дестинација за само една SPAN сесија.

- Портата не може да се конфигурира како дестинациона порта ако е изворна порта на сесија на распон или дел од изворниот VLAN.

- Интерфејсите за канали за пристаништа (EtherChannel) може да се конфигурираат како изворни порти, но не и дестинација порта за SPAN.

- Насоката на сообраќајот е стандардно „и двете“ за SPAN изворите.

- Дестиналните пристаништа никогаш не учествуваат во примерок со опфатено дрво. Не може да поддржува DTP, CDP итн. Локалниот SPAN вклучува BPDU во следениот сообраќај, така што сите BPDU што се гледаат на одредишната порта се копираат од изворната порта. Оттука, никогаш не поврзувајте прекинувач со овој тип на SPAN бидејќи тоа може да предизвика мрежна јамка. Алатките за вештачка интелигенција ќе ја подобрат работната ефикасност инезабележлива вештачка интелигенцијауслугата може да го подобри квалитетот на алатките за вештачка интелигенција.

- Кога VLAN е конфигуриран како SPAN извор (најчесто се нарекува VSPAN) со конфигурирани опции за влез и излез, препраќајте ги дупликатите пакети од изворната порта само ако пакетите се префрлат во истиот VLAN. Едната копија од пакетот е од влезниот сообраќај на влезната порта, а другата копија од пакетот е од излезниот сообраќај на излезната порта.

- VSPAN го следи само сообраќајот што излегува или влегува во портите на слојот 2 во VLAN.

ШПАН, РСПАН, ЕРСПАН 1

Далечински SPAN (RSPAN)

Remote SPAN (RSPAN) е сличен на SPAN, но поддржува изворни порти, изворни VLAN и дестинации на различни прекинувачи, кои обезбедуваат далечинско следење на сообраќајот од изворните порти дистрибуирани преку повеќе прекинувачи и овозможуваат централизирање на уредите за мрежно снимање на дестинацијата. Секоја RSPAN сесија го носи SPAN сообраќајот преку посветен RSPAN VLAN одреден од корисникот во сите прекинувачи кои учествуваат. Овој VLAN потоа се поврзува со други прекинувачи, овозможувајќи сообраќајот на сесијата RSPAN да се транспортира преку повеќе прекинувачи и да се испорача до станицата за снимање на дестинацијата. RSPAN се состои од изворна сесија RSPAN, RSPAN VLAN и RSPAN дестинација сесија.

Упатства или ограничувања за RSPAN:

- Специфичен VLAN мора да биде конфигуриран за SPAN дестинација која ќе поминува низ средните прекинувачи преку багажникот врски кон одредишната порта.

- Може да создаде ист тип на извор - барем една порта или барем еден VLAN, но не може да биде мешавина.

- Дестинацијата за сесијата е RSPAN VLAN наместо единствената порта во прекинувачот, така што сите порти во RSPAN VLAN ќе го примаат пресликани сообраќај.

- Конфигурирајте кој било VLAN како RSPAN VLAN сè додека сите мрежни уреди кои учествуваат поддржуваат конфигурација на RSPAN VLAN и користете го истиот RSPAN VLAN за секоја RSPAN сесија

- VTP може да ја пропагира конфигурацијата на VLAN-овите нумерирани од 1 до 1024 како RSPAN VLAN-ови, мора рачно да ги конфигурира VLAN-овите нумерирани повисоко од 1024 како RSPAN VLAN-ови на сите изворни, средни и одредишни мрежни уреди.

- Учењето на MAC адресата е оневозможено во RSPAN VLAN.

ШПАН, РСПАН, ЕРСПАН 2

Капсулиран далечински SPAN (ERSPAN)

Капсулираното далечинско SPAN (ERSPAN) носи генеричка енкапсулација за рутирање (GRE) за целиот заробен сообраќај и овозможува негово проширување низ домени на слојот 3.

ЕРСПАН е аCisco комерцијаленфункција и е достапна само за платформите Catalyst 6500, 7600, Nexus и ASR 1000 до денес. ASR 1000 поддржува ERSPAN извор (мониторинг) само на Fast Ethernet, Gigabit Ethernet и интерфејси на порт-канален.

Насоки или ограничувања за ERSPAN:

- Изворните сесии на ERSPAN не го копираат сообраќајот со инкапсулација на ERSPAN GRE од изворните порти. Секоја изворна сесија на ERSPAN може да има или порти или VLAN како извори, но не и двете.

- Без оглед на која било конфигурирана големина на MTU, ERSPAN создава пакети од Layer 3 кои можат да бидат долги до 9.202 бајти. Сообраќајот ERSPAN може да биде отфрлен од кој било интерфејс во мрежата што наметнува големина на MTU помала од 9.202 бајти.

- ERSPAN не поддржува фрагментација на пакети. Битот „не фрагментирајте“ е поставен во заглавието на IP на ERSPAN пакетите. Одредишните сесии на ERSPAN не можат повторно да составуваат фрагментирани ERSPAN пакети.

- ИД ERSPAN го разликува сообраќајот ERSPAN кој пристигнува на истата одредишна IP адреса од различни различни извори на ERSPAN сесии; конфигурираниот ERSPAN ID мора да се совпаѓа со уредите за извор и одредиште.

- За изворна порта или изворен VLAN, ERSPAN може да го следи влезниот, излезот или и влезниот и излезниот сообраќај. Стандардно, ERSPAN го следи целиот сообраќај, вклучително и рамки за мултикаст и Бриџ протокол на единица за податоци (BPDU).

- Тунелскиот интерфејс поддржан како изворни порти за изворна сесија ERSPAN се GRE, IPinIP, SVTI, IPv6, IPv6 преку IP тунел, Multipoint GRE (mGRE) и Безбедни виртуелни тунелни интерфејси (SVTI).

- Опцијата за филтер VLAN не е функционална во сесија за следење ERSPAN на WAN интерфејси.

- ERSPAN на рутерите од серијата Cisco ASR 1000 поддржува само интерфејси од Layer 3. Етернет интерфејсите не се поддржани на ERSPAN кога се конфигурирани како интерфејси на слој 2.

- Кога сесијата е конфигурирана преку ERSPAN конфигурацијата CLI, ID на сесијата и типот на сесијата не може да се променат. За да ги промените, прво мора да ја користите формата без од командата за конфигурација за да ја отстраните сесијата, а потоа повторно да ја конфигурирате сесијата.

- Cisco IOS XE Release 3.4S :- Мониторингот на тунелските пакети што не се заштитени со IPsec е поддржан на IPv6 и IPv6 преку IP тунел интерфејси само за изворните сесии на ERSPAN, а не за дестинациските сесии на ERSPAN.

- Cisco IOS XE Release 3.5S, додадена е поддршка за следните типови WAN интерфејси како изворни порти за изворна сесија: Сериски (T1/E1, T3/E3, DS0) , Пакет преку SONET (POS) (OC3, OC12) и Multilink PPP ( multilink, pos и сериски клучни зборови беа додадени на командата на изворниот интерфејс).

SPAN, RSPAN, ERSPAN 3

Користење на ERSPAN како локален SPAN:

За да го користиме ERSPAN за следење на сообраќајот преку една или повеќе порти или VLAN во истиот уред, мора да создадеме ERSPAN извор и ERSPAN дестинации сесии во истиот уред, протокот на податоци се одвива внатре во рутерот, кој е сличен на оној во локалниот SPAN.

Следниве фактори се применливи при користење на ERSPAN како локален SPAN:

- Двете сесии имаат ист ERSPAN ID.

- Двете сесии имаат иста IP адреса. Оваа IP адреса е сопствена IP адреса на рутерите; односно IP-адресата со повратна врска или IP адресата конфигурирана на која било порта.

(config)# монитор сесија 10 тип erspan-source
(config-mon-erspan-src)# изворен интерфејс Gig0/0/0
(config-mon-erspan-src)# дестинација
(config-mon-erspan-src-dst)# IP адреса 10.10.10.1
(config-mon-erspan-src-dst)# почетна IP адреса 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

ШПАН, РСПАН, ЕРСПАН 4


Време на објавување: 28.08.2024