Span, RSPAN og ERSPAN er teknikker, der bruges til netværk til at fange og overvåge trafik til analyse. Her er en kort oversigt over hver:
Span (skiftet portanalysator)
Formål: Bruges til at spejle trafik fra specifikke porte eller VLAN'er på en skift til en anden port til overvågning.
Brug sag: Ideel til lokal trafikanalyse på en enkelt switch. Trafik spejles til en udpeget port, hvor en netværksanalysator kan fange den.
RSPAN (fjerntliggende span)
Formål: udvider span -kapaciteter på tværs af flere switches i et netværk.
Brug sag: Tillader overvågning af trafik fra en switch til en anden over et bagagerumslink. Nyttigt til scenarier, hvor overvågningsenheden er placeret på en anden switch.
Erspan (indkapslet fjernspænding)
Formål: Kombinerer RSPAN med GRE (generisk routingindkapsling) for at indkapslet den spejlede trafik.
Brug sag: Tillader overvågning af trafik på tværs af routede netværk. Dette er nyttigt i komplekse netværksarkitekturer, hvor trafikken skal fanges i forskellige segmenter.
Switch Port Analyzer (Span) er et effektivt overvågningssystem med højtydende trafik. Det leder eller spejler trafik fra en kildeport eller VLAN til en destinationsport. Dette omtales undertiden som sessionovervågning. Span bruges til fejlfinding af forbindelsesproblemer og beregning af netværksudnyttelse og ydeevne blandt mange andre. Der er tre typer spænder understøttet på Cisco -produkter ...
en. Span eller lokalt span.
b. Fjerntliggende span (RSPAN).
c. Indkapslet fjernspænding (erspan).
At vide: "MyLinking ™ Network Packet Broker med Span, RSPAN og ERSPAN -funktioner"
Span / Traffic Mirroring / Port Mirroring bruges til mange formål nedenfor inkluderer nogle.
- Implementering af ID'er/IP'er i promiskuøs tilstand.
- VoIP Call Recording Solutions.
- Sikkerhedsoverholdelse af grunde til at overvåge og analysere trafik.
- Fejlfinding af forbindelsesproblemer, overvågning af trafik.
Uanset spanetypen, der kører, kan Span Source være enhver form for port, dvs. en rutet port, fysisk switch-port, en adgangsport, bagagerum, VLAN (alle aktive porte overvåges af kontakten), en EtherChannel (enten en port eller hele port-kanalgrænseflader) osv. Bemærk, at en port, der er konfigureret til span-destination, ikke kan være en del af en spansk kilde Vlan.
Span -sessioner understøtter overvågning af indtrængningstrafik (indtrængen), udgangstrafik (udgangsspænding) eller trafik, der flyder i begge retninger.
- Ingress Span (RX) kopierer trafik modtaget af kildeporte og VLAN'er til destinationsporten. Span kopierer trafikken før nogen ændring (for eksempel før et VACL- eller ACL -filter, QoS eller Ingress eller Egress -politi).
- Egress Span (TX) kopierer trafik transmitteret fra kildeporte og VLAN'er til destinationsporten. Al relevant filtrering eller ændring med VACL- eller ACL -filter, QoS eller Ingress eller Egress Policing -handlinger træffes inden kontakten fremover trafik til at spænde til destinationsport.
- Når begge nøgleord bruges, kopierer spænd, at den netværkstrafik, der er modtaget og transmitteret af kildeporte og VLAN'er til destinationsporten.
- Span/RSPAN ignorerer normalt CDP, STP BPDU, VTP, DTP og PAGP -rammer. Imidlertid kan disse trafiktyper videresendes, hvis kommandoen indkapslet replikat er konfigureret.
Span eller lokal rækkevidde
Span spejle trafik fra en eller flere interface på kontakten til en eller flere grænseflader på den samme switch; Derfor omtales for det meste som lokalt span.
Retningslinjer eller begrænsninger for lokalt spænd:
- Både lag 2 -skiftede porte og lag 3 -porte kan konfigureres som kilde- eller destinationsporte.
- Kilden kan være enten en eller flere porte eller en VLAN, men ikke en blanding af disse.
- Bagagerumsporte er gyldige kildeporte blandet med ikke-trunk kildeporte.
- Op til 64 span -destinationsporte kan konfigureres på en switch.
- Når vi konfigurerer en destinationsport, overskrives dens oprindelige konfiguration. Hvis span -konfigurationen fjernes, gendannes den originale konfiguration på denne port.
- Når du konfigurerer en destinationsport, fjernes porten fra ethvert EtherChannel -bundt, hvis det var en del af en. Hvis det var en rutet port, tilsidesætter Span Destination Configuration den rutede portkonfiguration.
- Destinationsporte understøtter ikke portsikkerhed, 802.1X -godkendelse eller private VLAN'er.
- En port kan fungere som destinationsporten for kun en span -session.
- En port kan ikke konfigureres som en destinationsport, hvis det er en kildeport på en span -session eller en del af Source VLAN.
- Portkanalgrænseflader (EtherChannel) kan konfigureres som kildeporte, men ikke en destinationsport for Span.
- Trafikretning er "begge" som standard for span -kilder.
- Destinationsporte deltager aldrig i en spandende træinstans. Kan ikke understøtte DTP, CDP osv. Lokalt span inkluderer BPDU'er i den overvågede trafik, så enhver BPDU'er, der ses på destinationsporten, kopieres fra kildeporten. Forbind aldrig en switch til denne type spændvidde, da det kan forårsage en netværkssløjfe. AI -værktøjer vil forbedre arbejdseffektiviteten ogUvoldbar AIService kan forbedre kvaliteten af AI -værktøjer.
- Når VLAN er konfigureret som spanskilde (for det meste benævnt VSPAN) med både indtrængen og udgangsmuligheder konfigureret, fremskaffer du duplikatpakker fra kildeporten, hvis pakkerne skiftes i den samme VLAN. Den ene kopi af pakken er fra Ingress -trafikken på Ingress -porten, og den anden kopi af pakken er fra udgangstrafikken på udgangsporten.
- VSPAN overvåger kun trafik, der forlader eller kommer ind i lag 2 -porte i VLAN.
Fjernspænding (RSPAN)
Remote span (RSPAN) ligner span, men det understøtter kildeporte, kilde VLAN'er og destinationsporte på forskellige switches, som giver fjernovervågningstrafik fra kildeporte, der er distribueret over flere switches og tillader destination at centralisere netværksfangstenheder. Hver RSPAN-session bærer spantrafikken over en brugerspecificeret dedikeret RSPAN VLAN i alle deltagende switches. Denne VLAN bagageres derefter til andre switches, hvilket gør det muligt at transportere RSPAN -sessionstrafikken over flere switches og leveres til Destination Capture Station. RSPAN består af en RSPAN -kildesession, en RSPAN VLAN og en RSPAN -destinationssession.
Retningslinjer eller begrænsninger til RSPAN:
- En bestemt VLAN skal konfigureres til span -destination, der krydser over mellemkontakterne via bagagerumslink til destinationsporten.
- Kan oprette samme kildetype - mindst en port eller mindst en VLAN, men kan ikke være blandingen.
- Destinationen for sessionen er RSPAN VLAN snarere end den enkelte port i switch, så alle porte i RSPAN VLAN modtager den spejlede trafik.
- Konfigurer enhver VLAN som en RSPAN VLAN, så længe alle deltagende netværksenheder understøtter konfiguration af RSPAN VLAN'er, og brug den samme RSPAN VLAN til hver RSPAN -session
- VTP kan udbrede konfiguration af VLAN'er nummereret 1 til 1024 som RSPAN VLAN'er, skal manuelt konfigurere VLAN'er, der er nummereret højere end 1024 som RSPAN VLAN'er på alle kilde-, mellem- og destinationsnetværksenheder.
- MAC -adresseindlæring er deaktiveret i RSPAN VLAN.
Indkapslet fjernspænding (erspan)
Indkapslet fjernspænding (ERSPAN) bringer generisk routingindkapsling (GRE) for al fanget trafik og gør det muligt at forlænge den på tværs af lag 3 -domæner.
Erspan er enCisco ProprietaryFunktion og er kun tilgængelig for Catalyst 6500, 7600, Nexus og ASR 1000 platforme til dato. ASR 1000 understøtter ERSPAN-kilde (overvågning) kun på Fast Ethernet, Gigabit Ethernet og port-kanals grænseflader.
Retningslinjer eller begrænsninger til ERSPAN:
- ERSPAN-kildesessioner kopierer ikke erspan-grå-indkapslet trafik fra kildeporte. Hver ERSPAN -kildesession kan have enten porte eller VLAN'er som kilder, men ikke begge dele.
- Uanset hvilken som helst konfigureret MTU -størrelse, opretter ERSPAN lag 3 -pakker, der kan være så længe som 9.202 byte. ERSPAN -trafik kan blive droppet af enhver grænseflade i netværket, der håndhæver en MTU -størrelse mindre end 9.202 byte.
- ERSPAN understøtter ikke pakkefragmentering. Biten "ikke fragmenter" indstilles i IP -overskriften på ERSPAN -pakker. ERSPAN -destinationssessioner kan ikke samle fragmenterede ERSPAN -pakker.
- ERSPAN -ID differentierer ERSPAN -trafikken, der ankommer til den samme Destination IP -adresse fra forskellige ERSPAN -kildesessioner; Konfigureret ERSPAN -ID skal matche på kilde- og destinationsenheder.
- For en kildeport eller en kilde VLAN kan ERSPAN overvåge indtrængen, udgang eller både indtrængen og udgangstrafik. Som standard overvåger ERSPAN al trafik, inklusive multicast- og bro -protokoldata -enheder (BPDU) rammer.
- Tunnelgrænseflade understøttet som kildeporte til en ERSPAN -kildesession er GRE, IPINIP, SVTI, IPv6, IPv6 over IP Tunnel, Multipoint GRE (MGRE) og Secure Virtual Tunnel Interfaces (SVTI).
- Indstillingen Filter VLAN er ikke funktionel i en ERSPAN -overvågningssession på WAN -grænseflader.
- ERSPAN på Cisco ASR 1000 -serie routere understøtter kun lag 3 -grænseflader. Ethernet -grænseflader understøttes ikke på ERSPAN, når de konfigureres som lag 2 -grænseflader.
- Når en session er konfigureret via ERSPAN -konfiguration CLI, kan session -ID og sessionstypen ikke ændres. For at ændre dem skal du først bruge ingen form for konfigurationskommando for at fjerne sessionen og derefter konfigurere sessionen igen.
- Cisco IOS XE Release 3.4S:- Overvågning af ikke-IPSEC-beskyttede tunnelpakker understøttes kun på IPv6 og IPv6 over IP-tunnelgrænseflader til ERSPAN-kildesessioner, ikke til ERSPAN-destinationssessioner.
- Cisco iOS XE -frigivelse 3.5s, support blev tilføjet til følgende typer WAN -grænseflader som kildeporte til en kildesession: Serial (T1/E1, T3/E3, DS0), pakken over SONET (POS) (OC3, OC12) og Multilink PPP (Multilink, POS og serielle nøgleord blev tilføjet til Source Interface Command Command).
Brug af ERSPAN som lokalt span:
For at bruge ERSPAN til at overvåge trafik gennem en eller flere porte eller VLAN'er på samme enhed, skal vi være nødt til at oprette en ERSPAN -kilde og ERSPAN -destinationssessioner på samme enhed, dataflow finder sted inde i routeren, der ligner den i lokalt spenn.
Følgende faktorer gælder, mens de bruger ERSPAN som et lokalt span:
- Begge sessioner har det samme ERSPAN -ID.
- Begge sessioner har den samme IP -adresse. Denne IP -adresse er routerne egen IP -adresse; Det vil sige, loopback IP -adressen eller IP -adressen konfigureret på enhver port.
| (Config)# Monitor Session 10 Type Erspan-Source |
| (config-mon-arspan-src)# kildegrænseflade Gig0/0/0 |
| (config-mon-arspan-src)# destination |
| (config-mon-arspan-src-dst)# ip-adresse 10.10.10.1 |
| (config-mon-arspan-src-dst)# Origin IP-adresse 10.10.10.1 |
| (config-mon-arspan-src-dst)# erspan-id 100 |
Posttid: Aug-28-2024
