SPAN, RSPAN og ERSPAN er teknikker, der bruges i netværk til at registrere og overvåge trafik med henblik på analyse. Her er en kort oversigt over hver enkelt:
SPAN (Switched Port Analyzer)
Formål: Bruges til at spejle trafik fra bestemte porte eller VLAN'er på en switch til en anden port med henblik på overvågning.
Anvendelsesscenarie: Ideel til lokal trafikanalyse på en enkelt switch. Trafikken spejles til en udpeget port, hvor en netværksanalysator kan opfange den.
RSPAN (Fjern SPAN)
Formål: Udvider SPAN-funktioner på tværs af flere switche i et netværk.
Brugsscenarie: Muliggør overvågning af trafik fra én switch til en anden via et trunk-link. Nyttig i scenarier, hvor overvågningsenheden er placeret på en anden switch.
ERSPAN (Indkapslet fjerntliggende SPAN)
Formål: Kombinerer RSPAN med GRE (Generic Routing Encapsulation) for at indkapsle den spejlede trafik.
Brugsscenarie: Muliggør overvågning af trafik på tværs af rutede netværk. Dette er nyttigt i komplekse netværksarkitekturer, hvor trafik skal registreres på tværs af forskellige segmenter.
Switch Port Analyzer (SPAN) er et effektivt og højtydende trafikovervågningssystem. Det dirigerer eller spejler trafik fra en kildeport eller et VLAN til en destinationsport. Dette kaldes undertiden sessionsovervågning. SPAN bruges til fejlfinding af forbindelsesproblemer og beregning af netværksudnyttelse og -ydeevne, blandt mange andre. Der understøttes tre typer SPAN'er på Cisco-produkter ...
a. SPAN eller lokal SPAN.
b. Fjern SPAN (RSPAN).
c. Indkapslet fjerntliggende SPAN (ERSPAN).
At vide: "Mylinking™ Network Packet Broker med SPAN-, RSPAN- og ERSPAN-funktioner"
SPAN / trafikspejling / portspejling bruges til mange formål, herunder er nogle.
- Implementering af IDS/IPS i promiskuøs tilstand.
- Løsninger til optagelse af VoIP-opkald.
- Grunde til at overvåge og analysere trafik inden for sikkerhedsoverholdelse
- Fejlfinding af forbindelsesproblemer, overvågning af trafik.
Uanset hvilken SPAN-type der kører, kan SPAN-kilden være enhver type port, dvs. en routet port, en fysisk switchport, en adgangsport, en trunk, et VLAN (alle aktive porte overvåges af switchen), en EtherChannel (enten en port eller hele port-kanal-grænseflader) osv. Bemærk, at en port konfigureret til SPAN-destination IKKE KAN være en del af et SPAN-kilde-VLAN.
SPAN-sessioner understøtter overvågning af indgående trafik (ingress SPAN), udgående trafik (egress SPAN) eller trafik, der flyder i begge retninger.
- Ingress SPAN (RX) kopierer trafik modtaget af kildeportene og VLAN'erne til destinationsporten. SPAN kopierer trafikken før enhver ændring (for eksempel før VACL- eller ACL-filter, QoS eller ingress- eller egress-politiering).
- Egress SPAN (TX) kopierer trafik, der transmitteres fra kildeportene og VLAN'erne, til destinationsporten. Al relevant filtrering eller ændring via VACL- eller ACL-filter, QoS eller handlinger til overvågning af indgående eller udgående data udføres, før switchen videresender trafik til SPAN-destinationsporten.
- Når nøgleordet "both" bruges, kopierer SPAN den netværkstrafik, der modtages og transmitteres af kildeportene og VLAN'erne, til destinationsporten.
- SPAN/RSPAN ignorerer normalt CDP-, STP-, BPDU-, VTP-, DTP- og PAgP-rammer. Disse trafiktyper kan dog videresendes, hvis kommandoen "encapsulation replicate" er konfigureret.
SPAN eller lokal SPAN
SPAN spejler trafik fra en eller flere grænseflader på switchen til en eller flere grænseflader på den samme switch; derfor omtales SPAN oftest som LOCAL SPAN.
Retningslinjer eller begrænsninger for lokal SPAN:
- Både Layer 2-switchede porte og Layer 3-porte kan konfigureres som kilde- eller destinationsporte.
- Kilden kan være enten en eller flere porte eller et VLAN, men ikke en blanding af disse.
- Trunk-porte er gyldige kildeporte blandet med ikke-trunk-kildeporte.
- Op til 64 SPAN-destinationsporte kan konfigureres på en switch.
- Når vi konfigurerer en destinationsport, overskrives dens oprindelige konfiguration. Hvis SPAN-konfigurationen fjernes, gendannes den oprindelige konfiguration på den port.
- Når en destinationsport konfigureres, fjernes porten fra enhver EtherChannel-bundt, hvis den var en del af en. Hvis det var en routed port, tilsidesætter SPAN-destinationskonfigurationen den routed port-konfiguration.
- Destinationsporte understøtter ikke portsikkerhed, 802.1x-godkendelse eller private VLAN'er.
- En port kan kun fungere som destinationsport for én SPAN-session.
- En port kan ikke konfigureres som en destinationsport, hvis den er en kildeport for en span-session eller en del af et kilde-VLAN.
- Portkanalgrænseflader (EtherChannel) kan konfigureres som kildeporte, men ikke som destinationsporte for SPAN.
- Trafikretningen er som standard "begge" for SPAN-kilder.
- Destinationsporte deltager aldrig i en spanning-tree-instans. Kan ikke understøtte DTP, CDP osv. Lokal SPAN inkluderer BPDU'er i den overvågede trafik, så alle BPDU'er, der ses på destinationsporten, kopieres fra kildeporten. Tilslut derfor aldrig en switch til denne type SPAN, da det kan forårsage en netværksløkke. AI-værktøjer vil forbedre arbejdseffektiviteten, oguopdagelig AITjenesten kan forbedre kvaliteten af AI-værktøjer.
- Når VLAN er konfigureret som SPAN-kilde (oftest omtalt som VSPAN) med både indgående og udgående indstillinger konfigureret, videresend kun duplikerede pakker fra kildeporten, hvis pakkerne byttes om i det samme VLAN. Én kopi af pakken er fra indgående trafik på indgående port, og den anden kopi af pakken er fra udgående trafik på udgående port.
- VSPAN overvåger kun trafik, der forlader eller går ind i Layer 2-porte i VLAN'et.
Fjern SPAN (RSPAN)
Remote SPAN (RSPAN) ligner SPAN, men understøtter kildeporte, kilde-VLAN'er og destinationsporte på forskellige switche, hvilket giver fjernovervågning af trafik fra kildeporte fordelt over flere switche og giver mulighed for at centralisere netværksopsamlingsenheder på destinationsniveau. Hver RSPAN-session transporterer SPAN-trafikken over et brugerdefineret dedikeret RSPAN VLAN i alle deltagende switche. Dette VLAN trunkes derefter til andre switche, hvilket gør det muligt for RSPAN-sessionstrafikken at blive transporteret på tværs af flere switche og leveret til destinationsopsamlingsstationen. RSPAN består af en RSPAN-kildesession, et RSPAN VLAN og en RSPAN-destinationssession.
Retningslinjer eller begrænsninger for RSPAN:
- Et specifikt VLAN skal konfigureres til SPAN-destinationen, som vil krydse de mellemliggende switche via trunk-links mod destinationsporten.
- Kan oprette samme kildetype – mindst én port eller mindst ét VLAN, men må ikke være en blanding.
- Destinationen for sessionen er RSPAN VLAN i stedet for den enkelte port i switchen, så alle porte i RSPAN VLAN vil modtage den spejlede trafik.
- Konfigurer ethvert VLAN som et RSPAN VLAN, så længe alle deltagende netværksenheder understøtter konfiguration af RSPAN VLAN'er, og brug det samme RSPAN VLAN til hver RSPAN-session
- VTP kan udbrede konfigurationen af VLAN'er nummereret 1 til 1024 som RSPAN VLAN'er. VLAN'er nummereret højere end 1024 skal manuelt konfigureres som RSPAN VLAN'er på alle kilde-, mellemliggende og destinationsnetværksenheder.
- MAC-adresseindlæring er deaktiveret i RSPAN VLAN'et.
Indkapslet fjernbetjening SPAN (ERSPAN)
Encapsulated remote SPAN (ERSPAN) bringer generisk routingindkapsling (GRE) til al optaget trafik og tillader, at den udvides på tværs af Layer 3-domæner.
ERSPAN er enCiscos proprietærefunktionen og er indtil videre kun tilgængelig for Catalyst 6500-, 7600-, Nexus- og ASR 1000-platforme. ASR 1000 understøtter kun ERSPAN-kilde (overvågning) på Fast Ethernet-, Gigabit Ethernet- og portkanalgrænseflader.
Retningslinjer eller begrænsninger for ERSPAN:
- ERSPAN-kildesessioner kopierer ikke ERSPAN GRE-indkapslet trafik fra kildeporte. Hver ERSPAN-kildesession kan have enten porte eller VLAN'er som kilder, men ikke begge dele.
- Uanset den konfigurerede MTU-størrelse opretter ERSPAN Layer 3-pakker, der kan være op til 9.202 bytes lange. ERSPAN-trafik kan blive droppet af enhver grænseflade i netværket, der håndhæver en MTU-størrelse mindre end 9.202 bytes.
- ERSPAN understøtter ikke pakkefragmentering. "Do not fragment"-bitten er angivet i IP-headeren på ERSPAN-pakker. ERSPAN-destinationssessioner kan ikke samle fragmenterede ERSPAN-pakker igen.
- ERSPAN ID'et adskiller ERSPAN-trafikken, der ankommer til den samme destinations-IP-adresse, fra forskellige ERSPAN-kildesessioner; det konfigurerede ERSPAN ID skal stemme overens på kilde- og destinationsenheder.
- For en kildeport eller et kilde-VLAN kan ERSPAN overvåge indgående, udgående eller både indgående og udgående trafik. Som standard overvåger ERSPAN al trafik, inklusive multicast- og Bridge Protocol Data Unit (BPDU)-frames.
- Tunnelgrænseflader, der understøttes som kildeporte til en ERSPAN-kildesession, er GRE, IPinIP, SVTI, IPv6, IPv6 over IP-tunnel, Multipoint GRE (mGRE) og Secure Virtual Tunnel Interfaces (SVTI).
- Filter-VLAN-indstillingen fungerer ikke i en ERSPAN-overvågningssession på WAN-grænseflader.
- ERSPAN på Cisco ASR 1000-seriens routere understøtter kun Layer 3-grænseflader. Ethernet-grænseflader understøttes ikke på ERSPAN, når de er konfigureret som Layer 2-grænseflader.
- Når en session konfigureres via ERSPAN-konfigurations-CLI'en, kan sessions-ID'et og sessionstypen ikke ændres. For at ændre dem skal du først bruge "no"-formen af konfigurationskommandoen for at fjerne sessionen og derefter omkonfigurere sessionen.
- Cisco IOS XE Release 3.4S: - Overvågning af ikke-IPsec-beskyttede tunnelpakker understøttes kun på IPv6- og IPv6 over IP-tunnelgrænseflader til ERSPAN-kildesessioner, ikke til ERSPAN-destinationssessioner.
- Cisco IOS XE Release 3.5S, understøttelse af følgende typer WAN-grænseflader som kildeporte til en kildesession blev tilføjet: Seriel (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) og Multilink PPP (nøgleordene multilink, pos og seriel blev tilføjet til kommandoen source interface).
Brug af ERSPAN som lokal SPAN:
For at bruge ERSPAN til at overvåge trafik gennem en eller flere porte eller VLAN'er på samme enhed, skal vi oprette en ERSPAN-kilde og ERSPAN-destinationssessioner på samme enhed. Dataflowet finder sted inde i routeren, hvilket svarer til det i lokal SPAN.
Følgende faktorer gælder, når ERSPAN bruges som et lokalt SPAN:
- Begge sessioner har det samme ERSPAN ID.
- Begge sessioner har den samme IP-adresse. Denne IP-adresse er routerens egen IP-adresse; det vil sige loopback-IP-adressen eller den IP-adresse, der er konfigureret på en hvilken som helst port.
| (konfiguration)# monitorsession 10 type erspan-kilde |
| (config-mon-erspan-src)# kildegrænseflade Gig0/0/0 |
| (config-mon-erspan-src)# destination |
| (config-mon-erspan-src-dst)# ip-adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# oprindelig ip-adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Opslagstidspunkt: 28. august 2024
