A SPAN, RSPAN és ERSPAN a hálózatépítésben használt technikák a forgalom rögzítésére és monitorozására elemzés céljából. Íme egy rövid áttekintés mindegyikről:
SPAN (Kapcsolt Port Analyzer)
Cél: Egy kapcsoló adott portjainak vagy VLAN-jainak forgalmának egy másik portra való tükrözésére szolgál monitorozás céljából.
Használati eset: Ideális egyetlen switch helyi forgalomelemzéséhez. A forgalom egy kijelölt portra tükröződik, ahol egy hálózati analizátor rögzíteni tudja.
RSPAN (Távoli SPAN)
Cél: Kiterjeszti a SPAN képességeit egy hálózat több kapcsolójára.
Használati eset: Lehetővé teszi az egyik kapcsolóról a másikra irányuló forgalom figyelését egy trunk kapcsolaton keresztül. Hasznos olyan esetekben, amikor a megfigyelő eszköz egy másik kapcsolón található.
ERSPAN (kapszulázott távoli SPAN)
Cél: Az RSPAN és a GRE (Generic Routing Encapsulation) kombinációja a tükrözött forgalom beágyazásához.
Használati eset: Lehetővé teszi a forgalom monitorozását az útválasztásos hálózatokon keresztül. Ez összetett hálózati architektúrákban hasznos, ahol a forgalmat különböző szegmensekben kell rögzíteni.
A Switch port Analyzer (SPAN) egy hatékony, nagy teljesítményű forgalomfigyelő rendszer. A forrásportról vagy VLAN-ról egy célportra irányítja vagy tükrözi a forgalmat. Ezt néha munkamenet-figyelésnek is nevezik. A SPAN-t többek között a csatlakozási problémák elhárítására, valamint a hálózat kihasználtságának és teljesítményének kiszámítására használják. A Cisco termékek háromféle SPAN-t támogatnak…
a. SPAN vagy helyi SPAN.
b. Távoli SPAN (RSPAN).
c. Beágyazott távoli SPAN (ERSPAN).
Tudnivaló: "Mylinking™ hálózati csomagközvetítő SPAN, RSPAN és ERSPAN funkciókkal"
A SPAN / forgalomtükrözést / porttükrözést számos célra használják, az alábbiakban bemutatunk néhányat.
- IDS/IPS implementálása promiszkuitásos módban.
- VOIP hívásrögzítési megoldások.
- Biztonsági megfelelőségi okok a forgalom monitorozásához és elemzéséhez.
- Kapcsolati problémák elhárítása, forgalomfigyelés.
A futó SPAN típustól függetlenül a SPAN forrás bármilyen típusú port lehet, azaz egy útválasztásos port, fizikai kapcsolóport, hozzáférési port, trunk, VLAN (a kapcsoló összes aktív portját figyeli), egy EtherChannel (akár egy port, akár teljes port-csatorna interfészek) stb. Vegye figyelembe, hogy a SPAN célállomásként konfigurált port NEM lehet része egy SPAN forrás VLAN-nak.
A SPAN munkamenetek támogatják a bejövő forgalom (ingress SPAN), a kimenő forgalom (egress SPAN) vagy a mindkét irányban folyó forgalom monitorozását.
- A belépő SPAN (RX) a forrásportok és VLAN-ok által fogadott forgalmat a célportra másolja. A SPAN a forgalmat bármilyen módosítás előtt másolja (például bármilyen VACL vagy ACL szűrő, QoS vagy belépő vagy kimenő forgalom szabályozása előtt).
- A kimenő SPAN (TX) a forrásportokról és VLAN-okról továbbított forgalmat a célportra másolja. Minden releváns szűrési vagy módosítási művelet (VACL vagy ACL szűrő, QoS, belépő vagy kimenő forgalom szabályozása) végrehajtásra kerül, mielőtt a kapcsoló továbbítaná a forgalmat a SPAN célportra.
- Amikor a „both” kulcsszót használjuk, a SPAN a forrásportok és VLAN-ok által fogadott és továbbított hálózati forgalmat a célportra másolja.
- A SPAN/RSPAN általában figyelmen kívül hagyja a CDP, STP BPDU, VTP, DTP és PAgP kereteket. Azonban ezek a forgalomtípusok továbbíthatók, ha az encapsulation replicate parancs konfigurálva van.
SPAN vagy helyi SPAN
A SPAN tükrözi a forgalmat a kapcsoló egy vagy több interfészéről ugyanazon a kapcsolón lévő egy vagy több interfészre; ezért a SPAN-t többnyire LOCAL SPAN-nek nevezik.
Útmutató vagy korlátozás a helyi SPAN-ra vonatkozóan:
- Mind a 2. rétegbeli kapcsolt portok, mind a 3. rétegbeli portok konfigurálhatók forrás- vagy célportként.
- A forrás lehet egy vagy több port, vagy egy VLAN, de ezek keveréke nem.
- A trunk portok érvényes forrásportok nem trunk forrásportokkal keverve.
- Akár 64 SPAN célport konfigurálható egy switch-en.
- Amikor egy célportot konfigurálunk, az eredeti konfigurációja felülíródik. Ha a SPAN konfigurációt eltávolítjuk, az adott port eredeti konfigurációja visszaáll.
- Célport konfigurálásakor a port eltávolításra kerül minden EtherChannel csomagból, ha annak része. Ha irányított portról van szó, a SPAN célkonfiguráció felülírja az irányított port konfigurációját.
- A célportok nem támogatják a portbiztonságot, a 802.1x hitelesítést vagy a privát VLAN-okat.
- Egy port csak egy SPAN munkamenet célportjaként szolgálhat.
- Egy port nem konfigurálható célportként, ha az egy span munkamenet forrásportja vagy a forrás-VLAN része.
- A portcsatorna-interfészek (EtherChannel) konfigurálhatók forrásportként, de célportként nem a SPAN számára.
- SPAN források esetén a forgalom iránya alapértelmezés szerint „mindkettő”.
- A célportok soha nem vesznek részt feszítőfa példányokban. Nem támogatják a DTP-t, CDP-t stb. A helyi SPAN BPDU-kat is tartalmaz a monitorozott forgalomban, így a célporton látható BPDU-k a forrásportról másolódnak. Ezért soha ne csatlakoztasson switchet ehhez a SPAN-típushoz, mivel hálózati hurkot okozhat. A mesterséges intelligencia eszközei javítják a munka hatékonyságát, ésészrevehetetlen mesterséges intelligenciaszolgáltatás javíthatja a mesterséges intelligencia eszközök minőségét.
- Ha a VLAN SPAN forrásként van konfigurálva (általában VSPAN-ként emlegetik), és mind a belépési, mind a kimenő opciók konfigurálva vannak, akkor a forrásportról csak akkor továbbítsa a duplikált csomagokat, ha a csomagok ugyanabban a VLAN-ban kapcsolódnak. A csomag egyik példánya a belépő porton lévő bejövő forgalomból, a másik példánya pedig a kimenő porton lévő kimenő forgalomból származik.
- A VSPAN csak a VLAN 2. rétegbeli portjain belépő vagy elhagyó forgalmat figyeli.
Távoli SPAN (RSPAN)
A távoli SPAN (RSPAN) hasonló a SPAN-hoz, de támogatja a forrásportokat, forrás VLAN-okat és célportokat különböző kapcsolókon, amelyek távoli felügyeleti forgalmat biztosítanak a több kapcsolóra elosztott forrásportokról, és lehetővé teszik a célállomások számára a hálózati rögzítőeszközök központosítását. Minden RSPAN-munkamenet egy felhasználó által megadott dedikált RSPAN VLAN-on keresztül továbbítja a SPAN forgalmat az összes részt vevő kapcsolóban. Ez a VLAN ezután más kapcsolókhoz van csatolva, lehetővé téve az RSPAN-munkamenet forgalmának több kapcsolón keresztüli továbbítását és a cél rögzítőállomásra történő kézbesítését. Az RSPAN egy RSPAN forrásmunkamenetből, egy RSPAN VLAN-ból és egy RSPAN célmunkamenetből áll.
Az RSPAN-ra vonatkozó irányelvek vagy korlátozások:
- Egy adott VLAN-t kell konfigurálni a SPAN célállomáshoz, amely a közbenső kapcsolókon keresztül, trunk kapcsolatokon keresztül a célport felé halad.
- Létrehozhat azonos forrástípust – legalább egy portot vagy legalább egy VLAN-t, de nem lehet a kettő keveréke.
– A munkamenet célja az RSPAN VLAN, nem pedig a kapcsoló egyetlen portja, így az RSPAN VLAN összes portja fogadja a tükrözött forgalmat.
- Konfiguráljon bármely VLAN-t RSPAN VLAN-ként, amennyiben az összes részt vevő hálózati eszköz támogatja az RSPAN VLAN-ok konfigurációját, és minden RSPAN munkamenethez ugyanazt az RSPAN VLAN-t használja.
- A VTP az 1-től 1024-ig számozott VLAN-ok konfigurációját RSPAN VLAN-ként terjesztheti, az 1024-nél nagyobb számozású VLAN-okat manuálisan kell RSPAN VLAN-ként konfigurálni az összes forrás-, köztes- és cél hálózati eszközön.
- A MAC-cím tanulás le van tiltva az RSPAN VLAN-ban.
Beágyazott távoli SPAN (ERSPAN)
Az Encapsulated Remote SPAN (ERSPAN) általános útválasztási beágyazást (GRE) biztosít az összes rögzített forgalomhoz, és lehetővé teszi annak kiterjesztését a 3. rétegbeli tartományokra.
Az ERSPAN egyCisco saját fejlesztésűfunkció, és jelenleg csak a Catalyst 6500, 7600, Nexus és ASR 1000 platformokon érhető el. Az ASR 1000 az ERSPAN forrást (monitorozást) csak Fast Ethernet, Gigabit Ethernet és port-channel interfészeken támogatja.
Az ERSPAN-ra vonatkozó irányelvek vagy korlátozások:
- Az ERSPAN forrásmunkamenetek nem másolják az ERSPAN GRE-be csomagolt forgalmat a forrásportokról. Minden ERSPAN forrásmunkamenet tartalmazhat forrásként portokat vagy VLAN-okat, de nem mindkettőt.
- A konfigurált MTU-mérettől függetlenül az ERSPAN 3. rétegbeli csomagokat hoz létre, amelyek akár 9202 bájt hosszúak is lehetnek. Az ERSPAN forgalmat a hálózat bármely olyan interfésze eldobhatja, amely 9202 bájtnál kisebb MTU-méretet kényszerít ki.
- Az ERSPAN nem támogatja a csomagfragmentációt. A „ne fragmentáld” bit be van állítva az ERSPAN csomagok IP-fejlécében. Az ERSPAN cél munkamenetek nem tudják újra összerakni a fragmentált ERSPAN csomagokat.
- Az ERSPAN azonosító megkülönbözteti az ugyanarra a cél IP-címre érkező ERSPAN forgalmat a különböző ERSPAN forrás munkamenetektől; a konfigurált ERSPAN azonosítónak egyeznie kell a forrás- és céleszközökön.
- Forrásport vagy forrás-VLAN esetén az ERSPAN képes figyelni a bejövő, kimenő, vagy mindkettő forgalmat. Alapértelmezés szerint az ERSPAN az összes forgalmat figyeli, beleértve a multicast és a Bridge Protocol Data Unit (BPDU) kereteket is.
- Az ERSPAN forrásmunkamenet forrásportjaként támogatott alagút interfészek a GRE, IPinIP, SVTI, IPv6, IPv6 IP tunnel felett, Multipoint GRE (mGRE) és Secure Virtual Tunnel Interfaces (SVTI).
- A VLAN-szűrés opció nem működik ERSPAN monitorozási munkamenetben WAN interfészeken.
- A Cisco ASR 1000 sorozatú routerek ERSPAN protokollja csak a 3. rétegbeli interfészeket támogatja. Az Ethernet interfészek nem támogatottak az ERSPAN protokollján, ha 2. rétegbeli interfészként vannak konfigurálva.
- Amikor egy munkamenetet az ERSPAN konfigurációs parancssori felületén keresztül konfigurálnak, a munkamenet-azonosító és a munkamenet-típus nem módosítható. A módosításhoz először a konfigurációs parancs no formájával kell eltávolítani a munkamenetet, majd újra kell konfigurálni.
- Cisco IOS XE 3.4S kiadás: - A nem IPsec-védett alagútcsomagok monitorozása IPv6 és IPv6 over IP alagút interfészeken csak az ERSPAN forrásmunkamenetek felé támogatott, az ERSPAN célmunkamenetek felé nem.
- A Cisco IOS XE 3.5S verziójában a következő típusú WAN interfészek támogatása került hozzáadásra forrásportként egy forráskapcsolathoz: soros (T1/E1, T3/E3, DS0), csomagkapcsolt átvitel SONET-en keresztül (POS) (OC3, OC12) és többkapcsolatos PPP (a multilink, pos és soros kulcsszavak hozzáadódtak a forrásinterfész parancshoz).
Az ERSPAN használata helyi SPAN-ként:
Ahhoz, hogy az ERSPAN-t ugyanazon eszköz egy vagy több portján vagy VLAN-ján keresztüli forgalom figyelésére használjuk, létre kell hoznunk egy ERSPAN forrás- és ERSPAN cél munkamenetet ugyanazon az eszközön belül. Az adatfolyam a routeren belül zajlik, ami hasonló a helyi SPAN-hoz.
Az ERSPAN helyi SPAN-ként való használatakor a következő tényezők érvényesülnek:
- Mindkét munkamenethez ugyanaz az ERSPAN-azonosító tartozik.
- Mindkét munkamenetnek ugyanaz az IP-címe van. Ez az IP-cím a router saját IP-címe; azaz a loopback IP-címe vagy bármely porton konfigurált IP-cím.
| (config)# monitor session 10 típus erspan-source |
| (config-mon-erspan-src)# forrás interfész Gig0/0/0 |
| (config-mon-erspan-src)# célállomás |
| (config-mon-erspan-src-dst)# ip cím 10.10.10.1 |
| (config-mon-erspan-src-dst)# eredet IP-cím 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Közzététel ideje: 2024. augusztus 28.
