SPAN, RSPAN ja ERSPAN ovat verkoissa käytettyjä tekniikoita liikenteen kaappaamiseen ja valvontaan analysointia varten. Tässä on lyhyt yleiskatsaus kustakin:
SPAN (kytkentäporttianalysaattori)
Tarkoitus: Käytetään liikenteen peilaamiseen tietyistä porteista tai VLAN-verkoista kytkimeen toiseen porttiin valvontaa varten.
Käyttötapaus: Ihanteellinen paikallisen liikenteen analysointiin yhdellä kytkimellä. Liikenne peilataan nimettyyn porttiin, josta verkkoanalysaattori voi tallentaa sen.
RSPAN (etä-SPAN)
Tarkoitus: Laajentaa SPAN-ominaisuuksia useiden verkon kytkimien välillä.
Käyttötapaus: Mahdollistaa liikenteen seurannan kytkimestä toiseen runkoyhteyden kautta. Hyödyllinen tilanteissa, joissa valvontalaite sijaitsee eri kytkimessä.
ERSPAN (kapseloitu etä-SPAN)
Tarkoitus: Yhdistää RSPANin GRE:n (Generic Routing Encapsulation) kanssa peilatun liikenteen kapseloimiseksi.
Käyttötapaus: Mahdollistaa liikenteen seurannan reititetyissä verkoissa. Tämä on hyödyllistä monimutkaisissa verkkoarkkitehtuureissa, joissa liikennettä on kerättävä eri segmenteissä.
Switch port Analyzer (SPAN) on tehokas ja suorituskykyinen liikenteenvalvontajärjestelmä. Se ohjaa tai peilaa liikennettä lähdeportista tai VLANista kohdeporttiin. Tätä kutsutaan joskus istunnonvalvonnaksi. SPANia käytetään muun muassa yhteysongelmien vianmääritykseen ja verkon käyttöasteen ja suorituskyvyn laskemiseen. Ciscon tuotteet tukevat kolmenlaisia SPANeja…
a. SPAN tai paikallinen SPAN.
b. Etä-SPAN (RSPAN).
c. Kapseloitu etä-SPAN (ERSPAN).
Tiedoksi: "Mylinking™-verkkopakettien välittäjä SPAN-, RSPAN- ja ERSPAN-ominaisuuksilla"
SPAN / liikenteen peilausta / porttien peilausta käytetään moniin tarkoituksiin, alla on joitakin.
- IDS/IPS:n toteuttaminen siveettömässä tilassa.
- VoIP-puheluiden tallennusratkaisut.
- Tietoturvavaatimustenmukaisuuden syyt liikenteen seurantaan ja analysointiin.
- Yhteysongelmien vianmääritys, liikenteen seuranta.
SPAN-tyypistä riippumatta SPAN-lähde voi olla minkä tahansa tyyppinen portti, kuten reititetty portti, fyysinen kytkimen portti, käyttöportti, runko, VLAN (kaikkia kytkimen aktiivisia portteja valvotaan), EtherChannel (joko portti tai koko portti-kanava-rajapinta) jne. Huomaa, että SPAN-kohteeksi konfiguroitu portti EI VOI olla osa SPAN-lähde-VLANia.
SPAN-istunnot tukevat saapuvan liikenteen (ingress SPAN), lähtevän liikenteen (egress SPAN) tai molempiin suuntiin virtaavan liikenteen valvontaa.
- Sisääntuloliikenteen SPAN (RX) kopioi lähdeporttien ja VLAN-verkkojen vastaanottaman liikenteen kohdeporttiin. SPAN kopioi liikenteen ennen muutoksia (esimerkiksi ennen VACL- tai ACL-suodattimia, QoS-valvontaa tai sisään- tai ulostuloliikenteen valvontaa).
- Lähtöportin SPAN (TX) kopioi lähdeporteista ja VLAN-verkoista lähetetyn liikenteen kohdeporttiin. Kaikki asiaankuuluvat VACL- tai ACL-suodattimen, QoS:n tai sisään- tai ulostuloliikenteen valvontatoimenpiteet tehdään ennen kuin kytkin välittää liikenteen SPAN-kohdeporttiin.
- Kun avainsanaa ”both” käytetään, SPAN kopioi lähdeporttien ja VLAN-verkkojen vastaanottaman ja lähettämän verkkoliikenteen kohdeporttiin.
- SPAN/RSPAN yleensä jättää huomiotta CDP-, STP BPDU-, VTP-, DTP- ja PAgP-kehykset. Nämä liikennetyypit voidaan kuitenkin välittää, jos kapseloinnin replikointikomento on konfiguroitu.
SPAN tai paikallinen SPAN
SPAN peilaa liikenteen kytkimen yhdestä tai useammasta rajapinnasta saman kytkimen yhteen tai useampaan rajapintaan; siksi SPANia kutsutaan useimmiten paikalliseksi SPANiksi.
Paikallisen SPANin ohjeet tai rajoitukset:
- Sekä kerroksen 2 kytkentäportit että kerroksen 3 portit voidaan konfiguroida lähde- tai kohdeporteiksi.
- Lähde voi olla joko yksi tai useampi portti tai VLAN, mutta ei näiden yhdistelmä.
- Runkoverkon portit ovat kelvollisia lähdeportteja yhdistettynä muihin kuin runkoverkon lähdeportteihin.
- Kytkimeen voidaan konfiguroida jopa 64 SPAN-kohdeporttia.
- Kun konfiguroimme kohdeportin, sen alkuperäinen kokoonpano korvataan. Jos SPAN-kokoonpano poistetaan, kyseisen portin alkuperäinen kokoonpano palautetaan.
- Kohdeporttia määritettäessä portti poistetaan kaikista EtherChannel-paketeista, jos se on osa sellaista. Jos kyseessä on reititetty portti, SPAN-kohdemääritykset ohittavat reititetyn portin määritykset.
- Kohdeportit eivät tue porttisuojausta, 802.1x-todennusta tai yksityisiä VLAN-verkkoja.
- Portti voi toimia kohdeporttina vain yhdelle SPAN-istunnolle.
- Porttia ei voida määrittää kohdeportiksi, jos se on span-istunnon lähdeportti tai osa lähde-VLANia.
- Porttikanavaliitännät (EtherChannel) voidaan konfiguroida lähdeporteiksi, mutta ei kohdeporteiksi SPANille.
- SPAN-lähteiden liikenteen suunta on oletuksena ”molemmat”.
- Kohdeportit eivät koskaan osallistu virityspuun instanssiin. Ei tue DTP:tä, CDP:tä jne. Paikallinen SPAN sisältää BPDU:ita valvotussa liikenteessä, joten kaikki kohdeportissa näkyvät BPDU:t kopioidaan lähdeportista. Älä siis koskaan kytke kytkintä tällaiseen SPAN-tyyppiseen porttiin, koska se voi aiheuttaa verkkosilmukan. Tekoälytyökalut parantavat työtehokkuutta jahavaitsematon tekoälypalvelu voi parantaa tekoälytyökalujen laatua.
- Kun VLAN on konfiguroitu SPAN-lähteeksi (yleensä VSPAN) ja sekä sisään- että ulostuloasetukset on määritetty, lähetä lähdeportista tulevien kaksoispakettien tiedot edelleen vain, jos paketit vaihdetaan samassa VLANissa. Toinen kopio paketista on peräisin sisääntuloportin sisääntuloliikenteestä ja toinen kopio ulostuloportin ulostuloliikenteestä.
- VSPAN valvoo vain liikennettä, joka lähtee VLANin tason 2 porteista tai saapuu niihin.
Etä-SPAN (RSPAN)
Etä-SPAN (RSPAN) on samankaltainen kuin SPAN, mutta se tukee lähdeportteja, lähde-VLANeja ja kohdeportteja eri kytkimissä, mikä mahdollistaa useille kytkimille jaettujen lähdeporttien liikenteen etävalvonnan ja mahdollistaa verkon sieppauslaitteiden keskitetyn käytön kohdeverkon kautta. Jokainen RSPAN-istunto kuljettaa SPAN-liikennettä käyttäjän määrittämän erillisen RSPAN VLANin kautta kaikissa osallistuvissa kytkimissä. Tämä VLAN yhdistetään sitten muihin kytkimiin, jolloin RSPAN-istunnon liikenne voidaan kuljettaa useiden kytkimien kautta ja toimittaa sieppausasemalle. RSPAN koostuu RSPAN-lähdeistunnosta, RSPAN VLANista ja RSPAN-kohdeistunnosta.
RSPANin ohjeet tai rajoitukset:
- SPAN-kohteelle on konfiguroitava tietty VLAN, joka kulkee välikytkimien yli runkolinjojen kautta kohdeporttiin.
- Voi luoda saman lähdetyypin – vähintään yhden portin tai vähintään yhden VLANin, mutta niitä ei voi sekoittaa.
- Istunnon kohde on RSPAN VLAN kytkimen yksittäisen portin sijaan, joten kaikki RSPAN VLANin portit vastaanottavat peilatun liikenteen.
- Määritä mikä tahansa VLAN RSPAN VLANina, kunhan kaikki osallistuvat verkkolaitteet tukevat RSPAN VLANien konfigurointia ja käyttävät samaa RSPAN VLANia jokaisessa RSPAN-istunnossa.
- VTP voi levittää VLAN-numeroilla 1–1024 varustettujen verkkojen konfiguraatiota RSPAN VLANeina, mutta yli 1024 numeroidut VLANit on konfiguroitava manuaalisesti RSPAN VLANeina kaikissa lähde-, väli- ja kohdeverkkolaitteissa.
- MAC-osoitteen oppiminen on poistettu käytöstä RSPAN VLANissa.
Kapseloitu etä-SPAN (ERSPAN)
Kapseloitu etä-SPAN (ERSPAN) tarjoaa yleisen reitityskapseloinnin (GRE) kaikelle siepatulle liikenteelle ja mahdollistaa sen laajentamisen kerroksen 3 verkkotunnusten yli.
ERSPAN onCiscon omaominaisuus ja on tällä hetkellä saatavilla vain Catalyst 6500-, 7600-, Nexus- ja ASR 1000 -alustoille. ASR 1000 tukee ERSPAN-lähdettä (valvontaa) vain Fast Ethernet-, Gigabit Ethernet- ja porttikanavaliitännöissä.
ERSPANin ohjeet tai rajoitukset:
- ERSPAN-lähdeistunnot eivät kopioi ERSPAN GRE -kapseloitua liikennettä lähdeporteista. Jokaisella ERSPAN-lähdeistunnolla voi olla lähteinä joko portteja tai VLANeja, mutta ei molempia.
- Määritetystä MTU-koosta riippumatta ERSPAN luo Layer 3 -paketteja, jotka voivat olla jopa 9 202 tavua pitkiä. ERSPAN-liikennettä voi katkaista mikä tahansa verkon rajapinta, joka vaatii alle 9 202 tavun MTU-koon.
- ERSPAN ei tue pakettien fragmentointia. "Älä fragmentoi" -bitti on asetettu ERSPAN-pakettien IP-otsikkoon. ERSPAN-kohdeistunnot eivät voi koota uudelleen fragmentoituja ERSPAN-paketteja.
- ERSPAN-tunnus erottaa samaan kohde-IP-osoitteeseen saapuvan ERSPAN-liikenteen eri ERSPAN-lähdeistunnoista; määritetyn ERSPAN-tunnuksen on oltava sama lähde- ja kohdelaitteissa.
- Lähdeportin tai lähde-VLANin osalta ERSPAN voi valvoa saapuvaa, lähtevää tai sekä saapuvaa että lähtevää liikennettä. Oletusarvoisesti ERSPAN valvoo kaikkea liikennettä, mukaan lukien monilähetys- ja Bridge Protocol Data Unit (BPDU) -kehykset.
- ERSPAN-lähdeistunnon lähdeportteina tuetut tunnelirajapinnat ovat GRE, IPinIP, SVTI, IPv6, IPv6 over IP -tunnel, Multipoint GRE (mGRE) ja Secure Virtual Tunnel Interfaces (SVTI).
- VLAN-suodatusvaihtoehto ei toimi ERSPAN-valvontaistunnossa WAN-liitännöissä.
- Cisco ASR 1000 -sarjan reitittimien ERSPAN tukee vain kerroksen 3 rajapintoja. Ethernet-rajapintoja ei tueta ERSPANissa, kun ne on määritetty kerroksen 2 rajapinnoiksi.
- Kun istunto konfiguroidaan ERSPAN-konfigurointikomennon komentorivikäyttöliittymän kautta, istuntotunnusta ja istuntotyyppiä ei voi muuttaa. Jos haluat muuttaa niitä, sinun on ensin poistettava istunto konfigurointikomennon no-muodossa ja määritettävä se sitten uudelleen.
- Cisco IOS XE Release 3.4S: - Ei-IPsec-suojattujen tunnelipakettien valvontaa tuetaan IPv6- ja IPv6 over IP -tunnelirajapinnoissa vain ERSPAN-lähdeistuntoihin, ei ERSPAN-kohdeistuntoihin.
- Cisco IOS XE Release 3.5S:ään lisättiin tuki seuraavantyyppisille WAN-rajapinnoille lähdeportteina lähdeistunnossa: sarjaportti (T1/E1, T3/E3, DS0), pakettiportti SONETin kautta (POS) (OC3, OC12) ja Multilink PPP (avainsanat multilink, pos ja serial lisättiin lähderajapintakomentoon).
ERSPANin käyttäminen paikallisena SPANina:
Jotta ERSPANia voidaan käyttää liikenteen valvontaan yhden tai useamman portin tai VLANin kautta samassa laitteessa, meidän on luotava ERSPAN-lähde- ja ERSPAN-kohdeistunnot samaan laitteeseen. Tiedonsiirto tapahtuu reitittimen sisällä, mikä on samanlaista kuin paikallisessa SPANissa.
Seuraavat tekijät ovat sovellettavissa käytettäessä ERSPANia paikallisena SPANina:
- Molemmilla istunnoilla on sama ERSPAN-tunnus.
- Molemmilla istunnoilla on sama IP-osoite. Tämä IP-osoite on reitittimen oma IP-osoite eli loopback-IP-osoite tai mille tahansa portille määritetty IP-osoite.
| (config)# monitor session 10 tyyppi erspan-source |
| (config-mon-erspan-src)# lähdeliitäntä Gig0/0/0 |
| (config-mon-erspan-src)# kohde |
| (config-mon-erspan-src-dst)# ip-osoite 10.10.10.1 |
| (config-mon-erspan-src-dst)# alkuperäisen IP-osoitteen 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Julkaisun aika: 28.8.2024
