SPAN, RSPAN ja ERSPAN ovat tekniikoita, joita käytetään verkotuksessa liikenteen sieppaamiseen ja seurantaan analysointia varten. Tässä on lyhyt katsaus jokaiseen:
SPAN (Switched Port Analyzer)
Tarkoitus: Käytetään peilaamaan liikennettä kytkimen tietyistä porteista tai VLAN-verkoista toiseen porttiin valvontaa varten.
Käyttötapaus: Ihanteellinen paikallisen liikenteen analysointiin yhdellä kytkimellä. Liikenne peilataan määritettyyn porttiin, josta verkkoanalysaattori voi siepata sen.
RSPAN (etä-SPAN)
Tarkoitus: Laajentaa SPAN-ominaisuudet useille verkon kytkimille.
Käyttötapaus: Mahdollistaa liikenteen seurannan kytkimestä toiseen runkolinkin kautta. Hyödyllinen skenaarioissa, joissa valvontalaite sijaitsee eri kytkimessä.
ERSPAN (kapseloitu etä-SPAN)
Tarkoitus: Yhdistää RSPAN:n ja GRE:n (Generic Routing Encapsulation) peilatun liikenteen kapseloimiseksi.
Käyttötapaus: Mahdollistaa liikenteen seurannan reititettyjen verkkojen välillä. Tämä on hyödyllistä monimutkaisissa verkkoarkkitehtuureissa, joissa liikenne on kaapattava eri segmenteillä.
Switch port Analyzer (SPAN) on tehokas ja suorituskykyinen liikenteenvalvontajärjestelmä. Se ohjaa tai peilaa liikennettä lähdeportista tai VLANista kohdeporttiin. Tätä kutsutaan joskus istunnon seurannaksi. SPANia käytetään muun muassa yhteysongelmien vianmäärityksessä ja verkon käytön ja suorituskyvyn laskemisessa. Cisco-tuotteissa tuetaan kolmenlaisia SPAN-tyyppejä…
a. SPAN tai paikallinen SPAN.
b. Remote SPAN (RSPAN).
c. Kapseloitu kauko-SPAN (ERSPAN).
Tietääksesi: "Mylinking™ Network Packet Broker SPAN-, RSPAN- ja ERSPAN-ominaisuuksilla"
SPAN / liikenteen peilaus / portin peilausta käytetään moniin tarkoituksiin, alla on joitain.
- IDS/IPS:n käyttöönotto promiscuous-tilassa.
- VOIP-puhelujen tallennusratkaisut.
- Turvallisuusvaatimustenmukaisuuden syyt seurata ja analysoida liikennettä.
- Yhteysongelmien vianmääritys, liikenteen valvonta.
Käynnissä olevasta SPAN-tyypistä riippumatta SPAN-lähde voi olla mikä tahansa portti, eli reititetty portti, fyysinen kytkinportti, pääsyportti, runko, VLAN (kaikkia aktiivisia portteja valvotaan kytkimestä), EtherChannel (joko portti tai koko portti -kanavaliitännät) jne. Huomaa, että SPAN-kohteeseen määritetty portti EI VOI olla osa SPAN-lähde-VLAN:ia.
SPAN-istunnot tukevat sisääntuloliikenteen (ingress SPAN), poistumisliikenteen (egress SPAN) tai molempiin suuntiin virtaavan liikenteen seurantaa.
- Ingress SPAN (RX) kopioi lähdeporttien ja VLAN-verkkojen vastaanottaman liikenteen kohdeporttiin. SPAN kopioi liikenteen ennen muutosta (esimerkiksi ennen VACL- tai ACL-suodatinta, QoS:ää tai sisään- tai ulostulon valvontaa).
- Egress SPAN (TX) kopioi lähdeporteista ja VLANeista lähetetyn liikenteen kohdeporttiin. Kaikki asiaankuuluvat suodatukset tai muokkaukset VACL- tai ACL-suodattimella, QoS- tai sisään- tai ulostulovalvontatoimenpiteet suoritetaan ennen kuin kytkin välittää liikenteen SPAN-kohdeporttiin.
- Kun molempia avainsanoja käytetään, SPAN kopioi lähdeporttien ja VLAN-verkkojen vastaanottaman ja lähettämän verkkoliikenteen kohdeporttiin.
- SPAN/RSPAN jättää yleensä huomioimatta CDP-, STP BPDU-, VTP-, DTP- ja PAgP-kehykset. Nämä liikennetyypit voidaan kuitenkin välittää edelleen, jos kapseloinnin replikointikomento on määritetty.
SPAN tai paikallinen SPAN
SPAN peilaa liikenteen yhdestä tai useammasta kytkimen liitännästä yhteen tai useampaan saman kytkimen rajapintaan; tästä syystä SPAN:ia kutsutaan enimmäkseen LOCAL SPANiksi.
Ohjeita tai rajoituksia paikalliselle SPAN:lle:
- Sekä kerroksen 2 kytketyt portit että kerroksen 3 portit voidaan määrittää lähde- tai kohdeportteiksi.
- Lähde voi olla joko yksi tai useampi portti tai VLAN, mutta ei näiden yhdistelmä.
- Runkoportit ovat kelvollisia lähdeportteja sekoitettuna ei-runkolähdeportteihin.
- Kytkimeen voidaan määrittää jopa 64 SPAN-kohdeporttia.
- Kun määritämme kohdeportin, sen alkuperäinen kokoonpano korvataan. Jos SPAN-kokoonpano poistetaan, kyseisen portin alkuperäinen kokoonpano palautetaan.
- Kun määrität kohdeportin, portti poistetaan kaikista EtherChannel-nipuista, jos se oli osa sellaista. Jos se olisi reititetty portti, SPAN-kohdemääritys ohittaa reititetyn portin määrityksen.
- Kohdeportit eivät tue portin suojausta, 802.1x-todennusta tai yksityisiä VLAN-verkkoja.
- Portti voi toimia kohdeporttina vain yhden SPAN-istunnon aikana.
- Porttia ei voi määrittää kohdeportiksi, jos se on span-istunnon lähdeportti tai osa lähde-VLAN:ia.
- Porttikanavaliitännät (EtherChannel) voidaan määrittää lähdeportteiksi, mutta ei kohdeportiksi SPAN:lle.
- Liikennesuunta on oletuksena "molemmat" SPAN-lähteille.
- Kohdeportit eivät koskaan osallistu virittävän puun esiintymiseen. Ei voi tukea DTP:tä, CDP:tä jne. Paikallinen SPAN sisältää BPDU:t valvottuun liikenteeseen, joten kaikki kohdeportissa näkyvät BPDU:t kopioidaan lähdeportista. Siksi älä koskaan kytke kytkintä tämän tyyppiseen SPAN-verkkoon, koska se voi aiheuttaa verkkosilmukan. Tekoälytyökalut parantavat työn tehokkuutta jahavaitsematon AIpalvelu voi parantaa tekoälytyökalujen laatua.
- Kun VLAN on määritetty SPAN-lähteeksi (jota kutsutaan enimmäkseen VSPAN:ksi) ja sekä tulo- että poistumisasetukset on määritetty, lähetä päällekkäiset paketit lähdeportista vain, jos paketit kytketään samaan VLAN:iin. Yksi kopio paketista on tuloportin sisääntuloliikenteestä ja toinen paketin kopio lähtöportin ulosmenoliikenteestä.
- VSPAN valvoo vain liikennettä, joka lähtee tai tulee VLAN:n Layer 2 -porteista.
Kauko-SPAN (RSPAN)
Remote SPAN (RSPAN) on samanlainen kuin SPAN, mutta se tukee lähdeportteja, lähde-VLAN-verkkoja ja kohdeportteja eri kytkimissä, jotka tarjoavat etävalvontaliikennettä lähdeporteista, jotka on jaettu useille kytkimille, ja mahdollistaa kohteen keskittämisen verkon kaappauslaitteet. Jokainen RSPAN-istunto kuljettaa SPAN-liikennettä käyttäjän määrittämän erillisen RSPAN VLANin kautta kaikissa osallistuvissa kytkimissä. Tämä VLAN ohjataan sitten muihin kytkimiin, jolloin RSPAN-istuntoliikenne voidaan siirtää useiden kytkimien kautta ja toimittaa kohteen sieppausasemalle. RSPAN koostuu RSPAN-lähdeistunnosta, RSPAN VLAN:ista ja RSPAN-kohdeistunnosta.
RSPAN:ia koskevat ohjeet tai rajoitukset:
- SPAN-kohdetta varten on määritettävä tietty VLAN, joka kulkee välikytkimien kautta runkoyhteyksien kautta kohdeporttiin.
- Voi luoda saman lähdetyypin – vähintään yhden portin tai vähintään yhden VLAN:n, mutta se ei voi olla sekoitus.
- Istunnon kohde on RSPAN VLAN eikä kytkimen yksittäinen portti, joten kaikki RSPAN VLAN:n portit vastaanottavat peilatun liikenteen.
- Määritä mikä tahansa VLAN RSPAN VLAN:iksi, kunhan kaikki osallistuvat verkkolaitteet tukevat RSPAN VLAN:ien määrittämistä, ja käytä samaa RSPAN VLAN:ia jokaisessa RSPAN-istunnossa
- VTP voi levittää VLAN-verkkojen, joiden numero on 1–1024, määritystä RSPAN-VLAN-verkkoina, ja VLAN-verkot, joiden numero on suurempi kuin 1024, on määritettävä manuaalisesti RSPAN-VLAN:iksi kaikissa lähde-, väli- ja kohdeverkkolaitteissa.
- MAC-osoitteen oppiminen on poistettu käytöstä RSPAN VLANissa.
Kapseloitu kauko-SPAN (ERSPAN)
Encapsulated remote SPAN (ERSPAN) tuo yleisen reitityskapseloinnin (GRE) kaikkeen kaapattuihin liikenteisiin ja mahdollistaa sen laajentamisen Layer 3 -verkkotunnuksiin.
ERSPAN on aCiscon omaominaisuus, ja se on toistaiseksi saatavilla vain Catalyst 6500-, 7600-, Nexus- ja ASR 1000 -alustoille. ASR 1000 tukee ERSPAN-lähdettä (seurantaa) vain Fast Ethernet-, Gigabit Ethernet- ja porttikanavaliitännöissä.
Ohjeet tai rajoitukset ERSPAN:lle:
- ERSPAN-lähdeistunnot eivät kopioi ERSPAN GRE-kapseloitua liikennettä lähdeporteista. Jokaisen ERSPAN-lähdeistunnon lähteenä voi olla joko portteja tai VLAN-verkkoja, mutta ei molempia.
- Riippumatta määritetystä MTU-koosta, ERSPAN luo Layer 3 -paketteja, jotka voivat olla jopa 9 202 tavua pitkiä. Mikä tahansa verkon liitäntä, joka pakottaa MTU-koon alle 9 202 tavua, saattaa pudottaa ERSPAN-liikenteen.
- ERSPAN ei tue pakettien pirstoutumista. "Do not fragment" -bitti asetetaan ERSPAN-pakettien IP-otsikossa. ERSPAN-kohdeistunnot eivät voi koota pirstoutuneita ERSPAN-paketteja.
- ERSPAN-tunnus erottaa samaan IP-kohdeosoitteeseen saapuvan ERSPAN-liikenteen useista eri ERSPAN-lähdeistunnoista; määritetyn ERSPAN-tunnuksen on vastattava lähde- ja kohdelaitteita.
- Lähdeportin tai lähde-VLANin osalta ERSPAN voi valvoa sisään-, ulosmeno- tai sekä sisään- että poistumisliikennettä. Oletusarvoisesti ERSPAN valvoo kaikkea liikennettä, mukaan lukien ryhmälähetys- ja Bridge Protocol Data Unit (BPDU) -kehykset.
- ERSPAN-lähdeistunnon lähdeportteina tuettu tunnelirajapinta ovat GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) ja Secure Virtual Tunnel Interfaces (SVTI).
- Suodatin VLAN-vaihtoehto ei toimi ERSPAN-valvontaistunnossa WAN-liitännöissä.
- Cisco ASR 1000 -sarjan reitittimien ERSPAN tukee vain Layer 3 -liitäntöjä. Ethernet-liitäntöjä ei tueta ERSPANissa, kun ne on määritetty Layer 2 -liitäntöiksi.
- Kun istunto konfiguroidaan ERSPAN-määrityksen CLI:n kautta, istunnon tunnusta ja istunnon tyyppiä ei voi muuttaa. Jos haluat muuttaa niitä, sinun on ensin käytettävä konfigurointikomennon no-muotoa istunnon poistamiseksi ja määritettävä istunto sitten uudelleen.
- Cisco IOS XE -julkaisu 3.4S: - Ei-IPsec-suojattujen tunnelipakettien valvontaa tuetaan IPv6:ssa ja IPv6:ssa IP-tunnelin yli vain ERSPAN-lähdeistunnoissa, ei ERSPAN-kohdeistunnoissa.
- Cisco IOS XE Release 3.5S, tuki lisättiin seuraaville WAN-liittymille lähdeistunnon lähdeportteina: Sarjaportti (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) ja Multilink PPP (monilinkki-, pos- ja sarjaavainsanat lisättiin lähderajapinnan komentoon).
ERSPAN:n käyttäminen paikallisena SPAN:na:
Jotta voisimme käyttää ERSPAN:ia valvomaan liikennettä yhden tai useamman portin tai VLANin kautta samassa laitteessa, meidän on luotava ERSPAN-lähde- ja ERSPAN-kohdeistunnot samassa laitteessa. Tietovirta tapahtuu reitittimen sisällä, mikä on samanlainen kuin paikallisessa SPANissa.
Seuraavat tekijät ovat voimassa käytettäessä ERSPAN:a paikallisena SPAN:na:
- Molemmilla istunnoilla on sama ERSPAN-tunnus.
- Molemmilla istunnoilla on sama IP-osoite. Tämä IP-osoite on reitittimen oma IP-osoite; eli takaisinkytkentä-IP-osoite tai mille tahansa portille määritetty IP-osoite.
Postitusaika: 28.8.2024