English

Forstå SPAN, RSPAN og ERSPAN: Techniques for Network Traffic Monitoring

SPAN, RSPAN og ERSPANer teknikker som brukes i nettverk for å fange opp og overvåke trafikk for analyse. Her er en kort oversikt over hver:

SPAN (Switched Port Analyzer)

Formål: Brukes til å speile trafikk fra spesifikke porter eller VLAN på en switch til en annen port for overvåking.

Bruksområde: Ideell for lokal trafikkanalyse på en enkelt svitsj. Trafikk speiles til en utpekt port der en nettverksanalysator kan fange den.

RSPAN (Remote SPAN)

Formål: Utvider SPAN-funksjoner på tvers av flere svitsjer i et nettverk.

Use Case: Tillater overvåking av trafikk fra en svitsj til en annen over en trunklink. Nyttig for scenarier der overvåkingsenheten er plassert på en annen bryter.

ERSPAN (Encapsulated Remote SPAN)

Formål: Kombinerer RSPAN med GRE (Generic Routing Encapsulation) for å kapsle inn speilet trafikk.

Brukstilfelle: Gir mulighet for overvåking av trafikk på tvers av rutede nettverk. Dette er nyttig i komplekse nettverksarkitekturer der trafikk må fanges opp over forskjellige segmenter.

Switch port Analyzer (SPAN)er et effektivt trafikkovervåkingssystem med høy ytelse. Den dirigerer eller speiler trafikk fra en kildeport eller VLAN til en destinasjonsport. Dette blir noen ganger referert til som øktovervåking. SPAN brukes til å feilsøke tilkoblingsproblemer og beregne nettverksutnyttelse og ytelse, blant mange andre. Det er tre typer SPAN-er som støttes på Cisco-produkter ...

en. SPAN eller lokal SPAN.

b. Eksternt SPAN (RSPAN).

c. Innkapslet ekstern SPAN (ERSPAN).

Å vite: "Mylinking™ Network Packet Broker med SPAN-, RSPAN- og ERSPAN-funksjoner"

SPAN, RSPAN, ERSPAN

SPAN / trafikkspeiling / portspeiling brukes til mange formål, nedenfor inkluderer noen.

- Implementering av IDS/IPS i promiskuøs modus.

- VOIP samtaleopptaksløsninger.

- Årsaker til overholdelse av sikkerhet for å overvåke og analysere trafikk.

- Feilsøking av tilkoblingsproblemer, overvåking av trafikk.

Uansett hvilken SPAN-type som kjører, kan SPAN-kilden være en hvilken som helst type port, dvs. en rutet port, fysisk svitsjport, en tilgangsport, trunk, VLAN (alle aktive porter overvåkes av svitsjen), en EtherChannel (enten en port eller hele porten). -kanalgrensesnitt) osv. Merk at en port konfigurert for SPAN-destinasjon IKKE KAN være en del av et SPAN-kilde-VLAN.

SPAN-økter støtter overvåking av inngående trafikk (ingress SPAN), utgående trafikk (egress SPAN) eller trafikk som flyter i begge retninger.

- Ingress SPAN (RX) kopierer trafikk mottatt av kildeportene og VLAN-ene til destinasjonsporten. SPAN kopierer trafikken før enhver endring (for eksempel før et hvilket som helst VACL- eller ACL-filter, QoS eller ingress- eller egress-politi).

- Egress SPAN (TX) kopierer trafikk som sendes fra kildeportene og VLAN-ene til destinasjonsporten. All relevant filtrering eller modifikasjon av VACL- eller ACL-filter, QoS eller ingress- eller egress-politihandlinger utføres før svitsjen videresender trafikk til SPAN-destinasjonsporten.

- Når begge nøkkelordet brukes, kopierer SPAN nettverkstrafikken som mottas og overføres av kildeportene og VLANene til destinasjonsporten.

- SPAN/RSPAN ignorerer vanligvis CDP, STP BPDU, VTP, DTP og PAgP rammer. Disse trafikktypene kan imidlertid videresendes hvis innkapslingsreplikeringskommandoen er konfigurert.

SPAN eller Local SPAN

SPAN speiler trafikk fra ett eller flere grensesnitt på svitsjen til ett eller flere grensesnitt på samme svitsj; derfor blir SPAN for det meste referert til som LOCAL SPAN.

Retningslinjer eller begrensninger for lokale SPAN:

- Både Layer 2-svitsjede porter og Layer 3-porter kan konfigureres som kilde- eller målporter.

– Kilden kan enten være én eller flere porter eller et VLAN, men ikke en blanding av disse.

- Trunk-porter er gyldige kildeporter blandet med ikke-trunk-kildeporter.

- Opptil 64 SPAN-destinasjonsporter kan konfigureres på en svitsj.

- Når vi konfigurerer en destinasjonsport, blir dens opprinnelige konfigurasjon overskrevet. Hvis SPAN-konfigurasjonen fjernes, gjenopprettes den opprinnelige konfigurasjonen på den porten.

- Når du konfigurerer en destinasjonsport, fjernes porten fra enhver EtherChannel-pakke hvis den var en del av en. Hvis det var en rutet port, overstyrer SPAN-destinasjonskonfigurasjonen den rutede portkonfigurasjonen.

- Destinasjonsporter støtter ikke portsikkerhet, 802.1x-autentisering eller private VLAN.

- En port kan fungere som målport for kun én SPAN-økt.

- En port kan ikke konfigureres som en destinasjonsport hvis den er en kildeport for en span-økt eller en del av kilde-VLAN.

- Portkanalgrensesnitt (EtherChannel) kan konfigureres som kildeporter, men ikke en destinasjonsport for SPAN.

- Trafikkretning er "begge" som standard for SPAN-kilder.

- Destinasjonsporter deltar aldri i en spanning-tree-forekomst. Kan ikke støtte DTP, CDP osv. Local SPAN inkluderer BPDUer i den overvåkede trafikken, så alle BPDUer som sees på målporten kopieres fra kildeporten. Koble derfor aldri en svitsj til denne typen SPAN, da det kan forårsake en nettverkssløyfe.

- Når VLAN er konfigurert som SPAN-kilde (for det meste referert til som VSPAN) med både inn- og utgangsalternativer konfigurert, videresend dupliserte pakker fra kildeporten bare hvis pakkene blir byttet i samme VLAN. En kopi av pakken er fra inngående trafikk på inngangsporten, og den andre kopien av pakken er fra utgangstrafikken på utgangsporten.

- VSPAN overvåker kun trafikk som forlater eller går inn i Layer 2-porter i VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN og ERSPAN er teknikker som brukes i nettverk for å fange opp og overvåke trafikk for analyse. Her er en kort oversikt over hver:

SPAN (Switched Port Analyzer)

  • Hensikt: Brukes til å speile trafikk fra spesifikke porter eller VLAN på en svitsj til en annen port for overvåking.
  • Bruk Case: Ideell for lokal trafikkanalyse på en enkelt bryter. Trafikk speiles til en utpekt port der en nettverksanalysator kan fange den.

RSPAN (Remote SPAN)

  • Hensikt: Utvider SPAN-funksjoner over flere svitsjer i et nettverk.
  • Bruk Case: Tillater overvåking av trafikk fra en svitsj til en annen over en trunklink. Nyttig for scenarier der overvåkingsenheten er plassert på en annen bryter.

ERSPAN (Encapsulated Remote SPAN)

  • Hensikt: Kombinerer RSPAN med GRE (Generic Routing Encapsulation) for å kapsle inn speilet trafikk.
  • Bruk Case: Gir mulighet for overvåking av trafikk på tvers av rutede nettverk. Dette er nyttig i komplekse nettverksarkitekturer der trafikk må fanges opp over forskjellige segmenter.

Eksternt SPAN (RSPAN)

Remote SPAN (RSPAN) ligner på SPAN, men den støtter kildeporter, kilde-VLANer og destinasjonsporter på forskjellige svitsjer, som gir ekstern overvåkingstrafikk fra kildeporter fordelt over flere svitsjer og lar destinasjonssentralisere nettverksfangstenheter. Hver RSPAN-økt fører SPAN-trafikken over et brukerspesifisert dedikert RSPAN-VLAN i alle deltakende svitsjer. Dette VLAN-nettverket blir deretter trunket til andre svitsjer, slik at RSPAN-øktstrafikken kan transporteres over flere svitsjer og leveres til destinasjonsfangststasjonen. RSPAN består av en RSPAN-kildeøkt, en RSPAN VLAN og en RSPAN-destinasjonsøkt.

Retningslinjer eller begrensninger for RSPAN:

- Et spesifikt VLAN må konfigureres for SPAN-destinasjon som vil krysse de mellomliggende svitsjene via trunklinker mot destinasjonsporten.

- Kan lage samme kildetype – minst én port eller minst én VLAN, men kan ikke være blandingen.

- Destinasjonen for økten er RSPAN VLAN i stedet for enkeltporten i svitsjen, så alle porter i RSPAN VLAN vil motta speilet trafikk.

- Konfigurer et hvilket som helst VLAN som et RSPAN VLAN så lenge alle deltakende nettverksenheter støtter konfigurasjon av RSPAN VLAN, og bruk samme RSPAN VLAN for hver RSPAN økt

- VTP kan spre konfigurasjon av VLAN-er nummerert 1 til 1024 som RSPAN-VLAN-er, må manuelt konfigurere VLAN-er nummerert høyere enn 1024 som RSPAN-VLAN-er på alle kilde-, mellom- og destinasjonsnettverksenheter.

- MAC-adresselæring er deaktivert i RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Innkapslet ekstern SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bringer generisk routing-innkapsling (GRE) for all fanget trafikk og lar den utvides på tvers av Layer 3-domener.

ERSPAN er enCisco proprietærfunksjon og er kun tilgjengelig for Catalyst 6500, 7600, Nexus og ASR 1000-plattformer til dags dato. ASR 1000 støtter ERSPAN-kilde (overvåking) kun på Fast Ethernet, Gigabit Ethernet og port-kanal-grensesnitt.

Retningslinjer eller begrensninger for ERSPAN:

- ERSPAN-kildeøkter kopierer ikke ERSPAN GRE-innkapslet trafikk fra kildeporter. Hver ERSPAN-kildeøkt kan ha enten porter eller VLAN som kilder, men ikke begge deler.

- Uavhengig av hvilken som helst konfigurert MTU-størrelse, lager ERSPAN Layer 3-pakker som kan være så lange som 9202 byte. ERSPAN-trafikk kan bli droppet av et hvilket som helst grensesnitt i nettverket som håndhever en MTU-størrelse mindre enn 9 202 byte.

- ERSPAN støtter ikke pakkefragmentering. "Ikke fragmenter"-biten er satt i IP-headeren til ERSPAN-pakker. ERSPAN-destinasjonsøkter kan ikke sette sammen fragmenterte ERSPAN-pakker på nytt.

- ERSPAN-ID-en skiller ERSPAN-trafikken som kommer til samme destinasjons-IP-adresse fra forskjellige ERSPAN-kildesesjoner; konfigurert ERSPAN ID må samsvare på kilde- og målenheter.

- For en kildeport eller et kilde-VLAN kan ERSPAN overvåke inngående, utgående eller både inngående og utgående trafikk. Som standard overvåker ERSPAN all trafikk, inkludert multicast- og Bridge Protocol Data Unit-rammer (BPDU).

- Tunnelgrensesnitt som støttes som kildeporter for en ERSPAN-kildeøkt er GRE, IPinIP, SVTI, IPv6, IPv6 over IP-tunnel, Multipoint GRE (mGRE) og Secure Virtual Tunnel Interfaces (SVTI).

- Filter VLAN-alternativet fungerer ikke i en ERSPAN-overvåkingsøkt på WAN-grensesnitt.

- ERSPAN på Cisco ASR 1000 Series-rutere støtter bare Layer 3-grensesnitt. Ethernet-grensesnitt støttes ikke på ERSPAN når de er konfigurert som Layer 2-grensesnitt.

- Når en økt er konfigurert gjennom ERSPAN-konfigurasjons-CLI, kan ikke økt-ID og sesjonstype endres. For å endre dem må du først bruke no-formen for konfigurasjonskommandoen for å fjerne økten og deretter rekonfigurere økten.

- Cisco IOS XE Release 3.4S:- Overvåking av ikke-IPsec-beskyttede tunnelpakker støttes på IPv6 og IPv6 over IP-tunnelgrensesnitt kun til ERSPAN-kildesesjoner, ikke til ERSPAN-destinasjonssesjoner.

- Cisco IOS XE Release 3.5S, støtte ble lagt til for følgende typer WAN-grensesnitt som kildeporter for en kildeøkt: Seriell (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) og Multilink PPP (multilink-, pos- og serielle nøkkelord ble lagt til i kildegrensesnittkommandoen).

SPAN, RSPAN, ERSPAN 3

Bruke ERSPAN som lokalt SPAN:

For å bruke ERSPAN til å overvåke trafikk gjennom en eller flere porter eller VLAN-er i samme enhet, må vi lage en ERSPAN-kilde og ERSPAN-destinasjonsøkter i samme enhet, dataflyten finner sted inne i ruteren, som er lik den i lokale SPAN.

Følgende faktorer gjelder når du bruker ERSPAN som et lokalt SPAN:

- Begge øktene har samme ERSPAN-ID.

- Begge øktene har samme IP-adresse. Denne IP-adressen er ruterens egen IP-adresse; dvs. loopback-IP-adressen eller IP-adressen som er konfigurert på en hvilken som helst port.

(config)# monitor sesjon 10 skriv inn erspan-source
(config-mon-erspan-src)# kildegrensesnitt Gig0/0/0
(config-mon-erspan-src)# destinasjon
(config-mon-erspan-src-dst)# ip-adresse 10.10.10.1
(config-mon-erspan-src-dst)# opprinnelses-ip-adresse 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Innleggstid: 28. august 2024
Trykk på Enter for å søke eller ESC for å lukke