Span, RSPAN og erspan er teknikker som brukes i nettverk for å fange og overvåke trafikk for analyse. Her er en kort oversikt over hver:
Span (Switched Port Analyzer)
Formål: Brukes til å speile trafikk fra spesifikke porter eller VLAN -er på en bytte til en annen port for overvåking.
Bruk sak: Ideell for lokal trafikkanalyse på en enkelt bryter. Trafikk speiles til en utpekt port der en nettverksanalysator kan fange den.
RSPAN (ekstern spenn)
Formål: utvider spennfunksjonene over flere brytere i et nettverk.
Bruk sak: Tillater overvåking av trafikk fra en bryter til en annen over en bagasjeromslenke. Nyttig for scenarier der overvåkningsenheten er plassert på en annen bryter.
Erspan (innkapslet ekstern spenn)
Formål: Kombinerer RSPAN med GRE (generisk rutinginnkapsling) for å innkapsler den speilede trafikken.
Bruk sak: Tillater overvåking av trafikk på tvers av rutede nettverk. Dette er nyttig i komplekse nettverksarkitekturer der trafikk må fanges opp over forskjellige segmenter.
Switch Port Analyzer (SPAN) er et effektivt overvåkingssystem med høy ytelse. Det leder eller speiler trafikk fra en kildeport eller VLAN til en destinasjonsport. Noen ganger blir dette referert til som øktovervåking. Span brukes til å feilsøke tilkoblingsproblemer og beregne nettverksutnyttelse og ytelse, blant mange andre. Det er tre typer spenn støttet på Cisco -produkter ...
en. Spenn eller lokalt spenn.
b. Fjernspenn (RSPAN).
c. Innkapslet fjernspenn (erspan).
Å vite: "MyLinking ™ nettverkspakkemegler med spenn, rspan og erspan -funksjoner"
Span / trafikkspeiling / portspeiling brukes til mange formål, nedenfor inkluderer noen.
- Implementering av IDS/IP -er i promiskuøs modus.
- VOIP -samtaleropptaksløsninger.
- Sikkerhetsoverholdelsesgrunner til å overvåke og analysere trafikk.
- Feilsøking av tilkoblingsproblemer, overvåking av trafikk.
Uansett hvilken spenntype kjøring, kan spennkilde være hvilken som helst type port, dvs. en rutet port, fysisk bryterport, en tilgangsport, bagasjerom, VLAN (alle aktive porter overvåkes av bryteren), en EtherChannel (enten en port eller hele portkanalsgrensesnitt) osv. Merk at en port konfigurert for span-destinasjon ikke kan være en del av en span-kilde VL.
Spanøkter støtter overvåking av inntrengningstrafikk (inntrengningsspenn), egress -trafikk (egressespenn) eller trafikk som flyter i begge retninger.
- Ingress Span (RX) kopierer trafikk mottatt av kildeportene og VLAN -ene til destinasjonsporten. Span kopierer trafikken før noen modifisering (for eksempel før noe VACL- eller ACL -filter, QoS eller Ingress eller Egress Policing).
- Egress Span (TX) kopierer trafikk som er overført fra kildeportene og VLAN -ene til destinasjonsporten. All relevant filtrering eller modifisering av VACL- eller ACL -filter, QoS eller Ingress eller Egress Policing Actions tas før bryteren sprer trafikk til spenndestinasjonsport.
- Når begge nøkkelordene brukes, spenner spennet til nettverkstrafikken som er mottatt og overført av kildeportene og VLAN -ene til destinasjonsporten.
- Span/Rspan ignorerer vanligvis CDP, STP BPDU, VTP, DTP og PAGP -rammer. Imidlertid kan disse trafikktypene videresendes hvis innkapslingsreplikatkommandoen er konfigurert.
Spenn eller lokalt spenn
Span speiler trafikk fra ett eller flere grensesnitt på bryteren til ett eller flere grensesnitt på samme bryter; Derfor blir spenn for det meste referert til som lokalt spenn.
Retningslinjer eller begrensninger i lokal spenn:
- Begge lag 2 -byttet porter og lag 3 -porter kan konfigureres som kilde- eller destinasjonsporter.
- Kilden kan være en eller flere porter eller en VLAN, men ikke en blanding av disse.
- Trunkporter er gyldige kildeporter blandet med ikke-stakk kildeporter.
- Opptil 64 spenndestinasjonsporter kan konfigureres på en bryter.
- Når vi konfigurerer en destinasjonsport, overskrives den opprinnelige konfigurasjonen. Hvis spennkonfigurasjonen fjernes, gjenopprettes den opprinnelige konfigurasjonen på den porten.
- Når du konfigurerer en destinasjonsport, fjernes porten fra ethvert EtherChannel -pakke hvis den var en del av en. Hvis det var en rutet port, overstyrer spenndestinasjonskonfigurasjonen den rutede portkonfigurasjonen.
- Destinasjonsporter støtter ikke portsikkerhet, 802.1x autentisering eller private VLAN -er.
- En port kan fungere som destinasjonsport for bare en spennøkt.
- En port kan ikke konfigureres som en destinasjonsport hvis det er en kildeport i en spennøkt eller en del av kilde VLAN.
- Portkanalgrensesnitt (EtherChannel) kan konfigureres som kildeporter, men ikke en destinasjonsport for spenn.
- Trafikkretning er "begge deler" som standard for spennkilder.
- Destinasjonsporter deltar aldri i et spanning-tre-forekomst. Kan ikke støtte DTP, CDP etc. Lokalt spenn inkluderer BPDUer i den overvåkede trafikken, så alle BPDU -er som er sett på destinasjonsporten blir kopiert fra kildeporten. Koble derfor aldri en bryter til denne typen spenn, da det kan forårsake en nettverkssløyfe. AI -verktøy vil forbedre arbeidseffektiviteten, oguoppdagelig AITjenesten kan forbedre kvaliteten på AI -verktøy.
- Når VLAN er konfigurert som spennkilde (for det meste referert til som VSPAN) med både inntrengnings- og egressalternativer konfigurert, kan du sende dupliserte pakker fra kildeporten bare hvis pakkene blir byttet i samme VLAN. Den ene kopien av pakken er fra inntrengingstrafikken på inntrengningen, og den andre kopien av pakken er fra egressstrafikken på egresshavnen.
- VSPAN overvåker bare trafikk som etterlater eller kommer inn i lag 2 -porter i VLAN.
Ekstern spenn (rspan)
Fjernspenn (RSPAN) ligner på spenn, men den støtter kildeporter, kilde VLAN -er og destinasjonsporter på forskjellige brytere, som gir ekstern overvåkningstrafikk fra kildeporter fordelt over flere brytere og tillater destinasjon sentraliserer nettverksfangstenheter. Hver RSPAN-økt bærer spenntrafikken over en brukerspesifisert dedikert RSPAN VLAN i alle deltakende brytere. Denne VLAN blir deretter trunket til andre brytere, slik at RSPAN -økttrafikken kan transporteres over flere brytere og leveres til destinasjonsfangststasjon. RSPAN består av en RSPAN -kildeøkt, en RSPAN VLAN og en RSPAN -destinasjonsøkt.
Retningslinjer eller begrensninger til RSPAN:
- En spesifikk VLAN må konfigureres for spenndestinasjon som vil krysse over mellombryterne via bagasjeromskoblinger mot destinasjonsport.
- kan opprette samme kildetype - minst en port eller minst en VLAN, men kan ikke være blandingen.
- Destinasjonen for økten er Rspan VLAN i stedet for enkeltporten i Switch, så alle porter i RSPAN VLAN vil motta den speilede trafikken.
- Konfigurer hvilken som helst VLAN som en RSPAN VLAN så lenge alle deltakende nettverksenheter støtter konfigurasjon av RSPAN VLAN -er, og bruk samme RSPAN VLAN for hver RSPAN -økt
- VTP kan forplante konfigurasjon av VLAN -er nummerert 1 til 1024 som RSPAN VLAN, må manuelt konfigurere VLAN -er nummerert høyere enn 1024 som RSPAN VLAN på alle kilde-, mellom- og destinasjonsnettverksenheter.
- MAC -adresse læring er deaktivert i RSPAN VLAN.
Innkapslet fjernspenn (erspan)
Innkapslet ekstern spenn (ERSPan) bringer generisk rutinginnkapsling (GRE) for all fanget trafikk og lar den forlenges over lag 3 -domener.
Erspan er enCisco proprietærfunksjon og er bare tilgjengelig for Catalyst 6500, 7600, Nexus og ASR 1000 plattformer til dags dato. ASR 1000 støtter ERSPan-kilden (overvåking) bare på Fast Ethernet, Gigabit Ethernet og portkanalsgrensesnitt.
Retningslinjer eller begrensninger til erspan:
- ERSPAN Source Sessions Kopier ikke erspan GRE-innkapslet trafikk fra kildeporter. Hver erspan -kildeøkt kan ha enten porter eller VLAN -er som kilder, men ikke begge deler.
- Uansett hvilken som helst konfigurert MTU -størrelse, oppretter ERSPAN Layer 3 -pakker som kan være så lenge som 9 202 byte. ERSPAN -trafikk kan bli droppet med et hvilket som helst grensesnitt i nettverket som håndhever en MTU -størrelse mindre enn 9 202 byte.
- ERSPan støtter ikke pakkefragmentering. Biten "Ikke fragment" er satt i IP -overskriften til erspan -pakker. Erspan -destinasjonsøkter kan ikke samle fragmenterte erspan -pakker.
- ERSPan -IDen skiller erspan -trafikken som kommer til den samme destinasjons -IP -adressen fra forskjellige forskjellige erspan -kildeøkter; Konfigurert erspan -ID må samsvare med kilde- og destinasjonsenheter.
- For en kildeport eller en kilde VLAN kan erspanet overvåke inntrengningen, egressen eller både inntrengning og egress. Som standard overvåker ERSPan all trafikk, inkludert rammer med multicast og bridge protokoll (BPDU).
- Tunnelgrensesnitt støttet som kildeporter for en erspan -kildeøkt er GRE, Ipinip, SVTI, IPv6, IPv6 over IP -tunnel, multipoint GRE (MGRE) og Secure Virtual Tunnel Interfaces (SVTI).
- Alternativet Filter VLAN er ikke funksjonelt i en ERSPAN -overvåkningsøkt om WAN -grensesnitt.
- erspan på Cisco ASR 1000 -serien Rutere støtter bare lag 3 -grensesnitt. Ethernet -grensesnitt støttes ikke på erspan når de er konfigurert som lag 2 -grensesnitt.
- Når en økt er konfigurert gjennom ERSPan -konfigurasjonen CLI, kan ikke økt -IDen og økttypen endres. For å endre dem, må du først bruke ingen form for konfigurasjonskommandoen for å fjerne økten og deretter konfigurere økten på nytt.
- Cisco IOS XE Release 3.4s:- Overvåking av ikke-IPSEC-beskyttede tunnelpakker støttes på IPv6 og IPv6 over IP-tunnelgrensesnitt bare til ERSPan Source Sessions, ikke til ERSPan destinasjonsøkter.
- Cisco IOS XE Release 3.5s, støtte ble lagt til for følgende typer WAN -grensesnitt som kildeporter for en kildeøkt: Serial (T1/E1, T3/E3, DS0), pakke over Sonet (POS) (OC3, OC12) og Multilink PPP (Multilink, POS og Serial Keywords var lagt til til kilden til kilden til kilden til kilden til kilden til kilden til kilden PPP (Multilink, POS og serielt nøkkelord var lagt til til kilden til kilden PPP (Multilink, POS) (POS) (POS) (POS), OC3, OC12) og multilink (POS).
Bruker erspan som lokalt spenn:
For å bruke erspan for å overvåke trafikk gjennom en eller flere porter eller VLAN -er på samme enhet, må vi måtte opprette en erspan -kilde og erspan -destinasjonsøkter i samme enhet, dataflyt foregår inne i ruteren, som ligner den i lokal spenn.
Følgende faktorer er aktuelle mens du bruker erspan som et lokalt spenn:
- Begge øktene har samme erspan -ID.
- Begge øktene har samme IP -adresse. Denne IP -adressen er rutere egen IP -adresse; Det vil si Loopback IP -adressen eller IP -adressen som er konfigurert i en hvilken som helst port.
| (Config)# Monitor Session 10 Type erspan-source |
| (Config-mon -sSpan-Src)# kildegrensesnitt GIG0/0/0 |
| (Config-Mon-Erspan-SRC)# Destinasjon |
| (Config-mon-erspan-SRC-DST)# IP-adresse 10.10.10.1 |
| (Config-mon -sSpan-Src-DST)# Origin IP-adresse 10.10.10.1 |
| (Config-Mon-Erspan-SRC-DST)# erspan-ID 100 |
Post Time: Aug-28-2024
