SPAN, RSPAN és ERSPANolyan technikák, amelyeket a hálózatépítésben használnak a forgalom rögzítésére és megfigyelésére elemzés céljából. Íme egy rövid áttekintés mindegyikről:
SPAN (Switched Port Analyzer)
Cél: A kapcsoló meghatározott portjairól vagy VLAN-jairól érkező forgalom tükrözésére szolgál egy másik portra figyelés céljából.
Használati eset: Ideális helyi forgalom elemzéséhez egyetlen kapcsolón. A forgalom tükröződik egy kijelölt portra, ahol a hálózati elemző rögzítheti azt.
RSPAN (távoli SPAN)
Cél: A SPAN képességeket kiterjeszti egy hálózat több kapcsolójára.
Használati eset: Lehetővé teszi az egyik kapcsolótól a másikig tartó forgalom figyelését fővonali kapcsolaton keresztül. Hasznos olyan esetekben, amikor a felügyeleti eszköz egy másik kapcsolón található.
ERSPAN (Encapsulated Remote SPAN)
Cél: Az RSPAN és a GRE (Generic Routing Encapsulation) kombinálása a tükrözött forgalom beágyazásához.
Használati eset: Lehetővé teszi az irányított hálózatokon keresztüli forgalom figyelését. Ez hasznos az összetett hálózati architektúrákban, ahol a forgalmat különböző szegmenseken kell rögzíteni.
Kapcsoló port elemző (SPAN)egy hatékony, nagy teljesítményű forgalomfigyelő rendszer. A forgalmat a forrásportról vagy a VLAN-ról irányítja vagy tükrözi a célportra. Ezt néha munkamenet-figyelésnek is nevezik. A SPAN többek között a csatlakozási problémák hibaelhárítására, valamint a hálózat kihasználtságának és teljesítményének kiszámítására szolgál. A Cisco termékek háromféle SPAN-t támogatnak…
a. SPAN vagy helyi SPAN.
b. Távoli SPAN (RSPAN).
c. Tokozott távoli SPAN (ERSPAN).
Tudni: "Mylinking™ Network Packet Broker SPAN, RSPAN és ERSPAN funkciókkal"
A SPAN / forgalmi tükrözés / port tükrözés sokféle célra használható, az alábbiakban néhányat tartalmaz.
- IDS/IPS megvalósítása promiszkuális módban.
- VOIP hívásrögzítési megoldások.
- Biztonsági megfelelőségi okok a forgalom figyeléséhez és elemzéséhez.
- Kapcsolódási problémák hibaelhárítása, forgalom figyelése.
Függetlenül a futó SPAN típustól, a SPAN forrás bármilyen típusú port lehet, pl. irányított port, fizikai switch port, hozzáférési port, trönk, VLAN (a switch minden aktív portját felügyeli), EtherChannel (akár egy port, akár egy teljes port -channel interfészek) stb. Vegye figyelembe, hogy a SPAN célhoz konfigurált port NEM lehet része a SPAN forrás VLAN-nak.
A SPAN szekciók támogatják a bemeneti forgalom (ingress SPAN), a kilépő forgalom (egress SPAN) vagy a mindkét irányban áramló forgalom figyelését.
- Az Ingress SPAN (RX) a forrásportok és VLAN-ok által fogadott forgalmat a célportra másolja. A SPAN minden módosítás előtt lemásolja a forgalmat (például bármely VACL- vagy ACL-szűrő, QoS vagy be- vagy kilépési rendszabályozás előtt).
- Az Egress SPAN (TX) a forrásportokról és a VLAN-okról továbbított forgalmat a célportra másolja. Minden lényeges szűrést vagy módosítást a VACL vagy ACL szűrő, a QoS vagy a bemeneti vagy kilépési rendszabályozási művelet megtesz, mielőtt a kapcsoló a forgalmat a SPAN célportra továbbítja.
- Ha mindkét kulcsszót használja, a SPAN a forrásportok és VLAN-ok által fogadott és továbbított hálózati forgalmat a célportra másolja.
- A SPAN/RSPAN általában figyelmen kívül hagyja a CDP, STP BPDU, VTP, DTP és PAgP kereteket. Azonban ezek a forgalomtípusok továbbíthatók, ha az encapsulation replikáció parancs be van állítva.
SPAN vagy helyi SPAN
A SPAN tükrözi a forgalmat a kapcsoló egy vagy több felületéről ugyanazon a kapcsolón lévő egy vagy több interfészre; ezért a SPAN-t többnyire HELYI SPAN-nak nevezik.
A helyi SPAN-ra vonatkozó irányelvek vagy korlátozások:
- A Layer 2 kapcsolt portok és a Layer 3 portok is konfigurálhatók forrás- vagy célportként.
- A forrás lehet egy vagy több port vagy VLAN, de nem ezek keveréke.
- A fővonali portok érvényes forrásportok keverve nem fővonali forrásportokkal.
- Egy kapcsolón legfeljebb 64 SPAN célport konfigurálható.
- Amikor konfigurálunk egy célportot, az eredeti konfiguráció felülíródik. Ha a SPAN konfigurációt eltávolítják, akkor az adott porton lévő eredeti konfiguráció visszaáll.
- A célport konfigurálásakor a port eltávolításra kerül minden EtherChannel-kötegből, ha annak része volt. Ha ez egy irányított port lenne, a SPAN célkonfigurációja felülírja az irányított port konfigurációját.
- A célportok nem támogatják a portbiztonságot, a 802.1x hitelesítést vagy a privát VLAN-okat.
- Egy port csak egy SPAN szekció célportjaként működhet.
- A port nem konfigurálható célportként, ha egy span munkamenet forrásportja vagy a forrás VLAN része.
- A portcsatorna interfészek (EtherChannel) konfigurálhatók forrásportként, de nem célportként a SPAN számára.
- A forgalom iránya alapértelmezés szerint „mindkettő” a SPAN forrásoknál.
- A célportok soha nem vesznek részt egy átívelő fa példányban. Nem támogatja a DTP-t, CDP-t stb. A helyi SPAN BPDU-kat tartalmaz a figyelt forgalomban, így a célporton látható BPDU-k a forrásportról másolódnak. Ezért soha ne csatlakoztasson kapcsolót az ilyen típusú SPAN-hoz, mivel az hálózati hurkot okozhat.
- Ha a VLAN SPAN-forrásként van konfigurálva (többnyire VSPAN-ként emlegetve), és mind a bemeneti, mind a kilépési opciók be vannak állítva, csak akkor továbbítsa a duplikált csomagokat a forrásportról, ha a csomagok ugyanabban a VLAN-ban kapcsolódnak. A csomag egyik példánya a bemeneti port bemeneti forgalmából származik, a csomag másik példánya a kimenő porton lévő kimenő forgalomból származik.
- A VSPAN csak a VLAN 2. rétegbeli portjait elhagyó vagy belépő forgalmat figyeli.
A SPAN, RSPAN és ERSPAN olyan technikák, amelyeket a hálózatépítésben használnak a forgalom rögzítésére és megfigyelésére elemzés céljából. Íme egy rövid áttekintés mindegyikről:
SPAN (Switched Port Analyzer)
- Cél: A kapcsoló meghatározott portjairól vagy VLAN-jairól érkező forgalom tükrözésére szolgál egy másik portra figyelés céljából.
- Használati eset: Ideális helyi forgalom elemzéséhez egyetlen kapcsolón. A forgalom tükröződik egy kijelölt portra, ahol a hálózati elemző rögzítheti azt.
RSPAN (távoli SPAN)
- Cél: Kibővíti a SPAN képességeket egy hálózat több kapcsolójára.
- Használati eset: Lehetővé teszi az egyik kapcsolótól a másikig tartó forgalom figyelését fővonali kapcsolaton keresztül. Hasznos olyan esetekben, amikor a felügyeleti eszköz egy másik kapcsolón található.
ERSPAN (Encapsulated Remote SPAN)
- Cél: Az RSPAN és a GRE (Generic Routing Encapsulation) kombinációja a tükrözött forgalom beágyazásához.
- Használati eset: Lehetővé teszi az irányított hálózatokon keresztüli forgalom figyelését. Ez hasznos az összetett hálózati architektúrákban, ahol a forgalmat különböző szegmenseken kell rögzíteni.
Távoli SPAN (RSPAN)
A Remote SPAN (RSPAN) hasonló a SPAN-hoz, de támogatja a forrásportokat, a forrás VLAN-okat és a célportokat a különböző kapcsolókon, amelyek távfelügyeleti forgalmat biztosítanak a több kapcsolón elosztott forrásportokról, és lehetővé teszik a célállomás központosított hálózati rögzítőeszközöket. Minden RSPAN-munkamenet a SPAN-forgalmat egy felhasználó által megadott dedikált RSPAN VLAN-on keresztül továbbítja az összes résztvevő kapcsolóban. Ezt a VLAN-t ezután más kapcsolókhoz kötik, lehetővé téve az RSPAN munkamenet forgalom több kapcsolón keresztül történő továbbítását, és a cél rögzítő állomásra való eljuttatását. Az RSPAN egy RSPAN forrásmunkamenetből, egy RSPAN VLAN-ból és egy RSPAN célmunkamenetből áll.
Az RSPAN-ra vonatkozó irányelvek vagy korlátozások:
- Egy adott VLAN-t kell konfigurálni a SPAN célállomáshoz, amely a közbülső kapcsolókon áthalad a fővonali kapcsolatokon keresztül a célport felé.
- Létrehozhat azonos forrástípust – legalább egy portot vagy legalább egy VLAN-t, de nem lehet keverék.
- A munkamenet célja az RSPAN VLAN, nem pedig a kapcsoló egyetlen portja, így az RSPAN VLAN összes portja megkapja a tükrözött forgalmat.
- Konfiguráljon bármely VLAN-t RSPAN VLAN-ként, amíg az összes részt vevő hálózati eszköz támogatja az RSPAN VLAN-ok konfigurálását, és ugyanazt az RSPAN VLAN-t használja minden RSPAN-munkamenethez
- A VTP képes továbbítani az 1-től 1024-ig számozott VLAN-ok konfigurációját RSPAN VLAN-ként, az 1024-nél nagyobb VLAN-okat pedig manuálisan kell konfigurálnia RSPAN VLAN-ként minden forrás-, köztes- és célhálózati eszközön.
- A MAC-cím tanulása le van tiltva az RSPAN VLAN-ban.
Tokozott távoli SPAN (ERSPAN)
A beágyazott távoli SPAN (ERSPAN) általános útválasztási beágyazást (GRE) biztosít az összes rögzített forgalom számára, és lehetővé teszi a 3. rétegbeli tartományok közötti kiterjesztését.
Az ERSPAN aCisco szabadalmaztatottfunkció, és eddig csak a Catalyst 6500, 7600, Nexus és ASR 1000 platformokon érhető el. Az ASR 1000 csak Fast Ethernet, Gigabit Ethernet és port-csatorna interfészek esetén támogatja az ERSPAN forrást (monitoring).
Az ERSPAN-ra vonatkozó irányelvek vagy korlátozások:
- Az ERSPAN forrásmunkamenetek nem másolják át az ERSPAN GRE-beágyazott forgalmat a forrásportokról. Minden ERSPAN-forrásmunkamenet tartalmazhat portokat vagy VLAN-okat forrásként, de mindkettőt nem.
- A konfigurált MTU-mérettől függetlenül az ERSPAN 3. rétegbeli csomagokat hoz létre, amelyek akár 9202 bájt hosszúak is lehetnek. Az ERSPAN forgalmat a hálózat bármely olyan interfésze csökkentheti, amely 9202 bájtnál kisebb MTU-méretet kényszerít ki.
- Az ERSPAN nem támogatja a csomagdarabolást. A „nem töredezett” bit az ERSPAN-csomagok IP-fejlécében van beállítva. Az ERSPAN célmunkamenetei nem tudják újra összeállítani a töredezett ERSPAN-csomagokat.
- Az ERSPAN azonosító megkülönbözteti az azonos cél IP-címre érkező ERSPAN forgalmat a különböző ERSPAN forrásmunkamenetekből; a konfigurált ERSPAN-azonosítónak meg kell egyeznie a forrás- és a céleszközökön.
- Forrásport vagy forrás VLAN esetén az ERSPAN figyelheti a be- és kimenő forgalmat, illetve a be- és kimenő forgalmat egyaránt. Alapértelmezés szerint az ERSPAN figyeli az összes forgalmat, beleértve a csoportos küldést és a Bridge Protocol Data Unit (BPDU) kereteket is.
- Az ERSPAN forrásmunkamenet forrásportjaként támogatott alagútinterfész: GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) és Secure Virtual Tunnel Interfaces (SVTI).
- A szűrő VLAN opció nem működik a WAN interfészek ERSPAN megfigyelési munkamenetében.
- A Cisco ASR 1000 sorozatú routerek ERSPAN-ja csak a Layer 3 interfészeket támogatja. Az Ethernet interfészek nem támogatottak az ERSPAN-on, ha 2. rétegbeli interfészként vannak konfigurálva.
- Ha egy munkamenetet az ERSPAN konfigurációs parancssori felületén keresztül konfigurálnak, a munkamenet azonosítója és típusa nem módosítható. A módosításukhoz először a konfigurációs parancs no formáját kell használnia a munkamenet eltávolításához, majd újra kell konfigurálnia a munkamenetet.
- Cisco IOS XE 3.4S kiadás: - A nem IPsec-védett alagútcsomagok figyelése az IPv6 és az IPv6 over IP alagút interfészeken csak az ERSPAN forrásmunkamenetekhez támogatott, az ERSPAN célmunkameneteihez nem.
- Cisco IOS XE Release 3.5S, a következő típusú WAN-interfészek támogatása a forrás-munkamenetek forrásportjaként: soros (T1/E1, T3/E3, DS0) , SONET-en keresztüli csomag (POS) (OC3, OC12) és Multilink PPP (multilink, pos és serial kulcsszavak hozzáadva a forrás interfész parancshoz).
Az ERSPAN használata helyi SPANként:
Ahhoz, hogy az ERSPAN-t használhassuk egy vagy több porton vagy VLAN-on keresztül ugyanazon az eszközön keresztül történő forgalom figyelésére, létre kell hoznunk egy ERSPAN-forrást és egy ERSPAN-célmunkamenetet ugyanazon az eszközön, az adatáramlás az útválasztón belül zajlik, ami hasonló a helyi SPAN-hoz.
Ha az ERSPAN-t helyi SPAN-ként használja, a következő tényezők érvényesek:
- Mindkét munkamenetnek ugyanaz az ERSPAN azonosítója.
- Mindkét munkamenetnek ugyanaz az IP-címe. Ez az IP-cím a router saját IP-címe; vagyis a visszahurkolt IP-cím vagy bármely porton konfigurált IP-cím.
| (config)# monitor session 10 típusú erspan-source |
| (config-mon-erspan-src)# forrás interfész Gig0/0/0 |
| (config-mon-erspan-src)# cél |
| (config-mon-erspan-src-dst)# IP-cím 10.10.10.1 |
| (config-mon-erspan-src-dst)# origin IP-cím 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Feladás időpontja: 2024. augusztus 28
