English

Forståelse af SPAN, RSPAN og ERSPAN: Teknikker til netværkstrafikovervågning

SPAN, RSPAN og ERSPANer teknikker, der bruges i netværk til at fange og overvåge trafik til analyse. Her er en kort oversigt over hver:

SPAN (Switched Port Analyzer)

Formål: Bruges til at spejle trafik fra specifikke porte eller VLAN'er på en switch til en anden port til overvågning.

Use Case: Ideel til lokal trafikanalyse på en enkelt switch. Trafikken spejles til en udpeget port, hvor en netværksanalysator kan fange den.

RSPAN (Remote SPAN)

Formål: Udvider SPAN-kapaciteter på tværs af flere switche i et netværk.

Use Case: Tillader overvågning af trafik fra en switch til en anden via en trunklink. Nyttigt til scenarier, hvor overvågningsenheden er placeret på en anden switch.

ERSPAN (Encapsulated Remote SPAN)

Formål: Kombinerer RSPAN med GRE (Generic Routing Encapsulation) for at indkapsle den spejlede trafik.

Use Case: Giver mulighed for overvågning af trafik på tværs af rutede netværk. Dette er nyttigt i komplekse netværksarkitekturer, hvor trafik skal fanges over forskellige segmenter.

Switch port Analyzer (SPAN)er et effektivt, højtydende trafikovervågningssystem. Den dirigerer eller spejler trafik fra en kildeport eller VLAN til en destinationsport. Dette kaldes nogle gange som sessionsovervågning. SPAN bruges blandt mange andre til fejlfinding af forbindelsesproblemer og beregning af netværksudnyttelse og ydeevne. Der er tre typer SPAN'er, der understøttes på Cisco-produkter ...

en. SPAN eller lokal SPAN.

b. Remote SPAN (RSPAN).

c. Indkapslet remote SPAN (ERSPAN).

At vide: "Mylinking™ Network Packet Broker med SPAN-, RSPAN- og ERSPAN-funktioner"

SPAN, RSPAN, ERSPAN

SPAN / trafikspejling / portspejling bruges til mange formål, herunder inkluderer nogle.

- Implementering af IDS/IPS i promiskuøs tilstand.

- VOIP-opkaldsoptagelsesløsninger.

- Sikkerhedsoverholdelsesårsager til at overvåge og analysere trafik.

- Fejlfinding af forbindelsesproblemer, overvågning af trafik.

Uanset hvilken SPAN-type der kører, kan SPAN-kilde være enhver type port, dvs. en routet port, fysisk switchport, en adgangsport, trunk, VLAN (alle aktive porte overvåges af switchen), en EtherChannel (enten en port eller hele porten) -kanalgrænseflader) osv. Bemærk, at en port konfigureret til SPAN-destination IKKE KAN være en del af et SPAN-kilde-VLAN.

SPAN-sessioner understøtter overvågning af indgående trafik (indgående SPAN), udgående trafik (egress SPAN) eller trafik, der flyder i begge retninger.

- Ingress SPAN (RX) kopierer trafik modtaget af kildeportene og VLAN'er til destinationsporten. SPAN kopierer trafikken før enhver ændring (for eksempel før ethvert VACL- eller ACL-filter, QoS eller ingress- eller egress-politi).

- Egress SPAN (TX) kopierer trafik transmitteret fra kildeportene og VLAN'erne til destinationsporten. Al relevant filtrering eller ændring af VACL- eller ACL-filter, QoS eller ingress- eller egress-politihandlinger udføres, før switchen videresender trafik til SPAN-destinationsporten.

- Når begge nøgleordet bruges, kopierer SPAN netværkstrafikken modtaget og transmitteret af kildeportene og VLAN'erne til destinationsporten.

- SPAN/RSPAN ignorerer normalt CDP, STP BPDU, VTP, DTP og PAgP frames. Disse trafiktyper kan dog videresendes, hvis kommandoen encapsulation replicate er konfigureret.

SPAN eller Local SPAN

SPAN spejler trafik fra en eller flere grænseflader på switchen til en eller flere grænseflader på den samme switch; derfor omtales SPAN for det meste som LOCAL SPAN.

Retningslinjer eller begrænsninger for lokale SPAN:

- Både Layer 2 switchede porte og Layer 3 porte kan konfigureres som kilde- eller destinationsporte.

- Kilden kan enten være en eller flere porte eller et VLAN, men ikke en blanding af disse.

- Trunk-porte er gyldige kildeporte blandet med ikke-trunk-kildeporte.

- Op til 64 SPAN destinationsporte kan konfigureres på en switch.

- Når vi konfigurerer en destinationsport, overskrives dens oprindelige konfiguration. Hvis SPAN-konfigurationen fjernes, gendannes den oprindelige konfiguration på den port.

- Når du konfigurerer en destinationsport, fjernes porten fra enhver EtherChannel-pakke, hvis den var en del af en. Hvis det var en routet port, tilsidesætter SPAN-destinationskonfigurationen den routede portkonfiguration.

- Destinationsporte understøtter ikke portsikkerhed, 802.1x-godkendelse eller private VLAN'er.

- En port kan kun fungere som destinationsport for én SPAN-session.

- En port kan ikke konfigureres som en destinationsport, hvis den er en kildeport til en span-session eller en del af kilde-VLAN.

- Portkanalgrænseflader (EtherChannel) kan konfigureres som kildeporte, men ikke en destinationsport for SPAN.

- Trafikretning er "begge" som standard for SPAN-kilder.

- Destinationsporte deltager aldrig i en spanning-tree-instans. Kan ikke understøtte DTP, CDP osv. Local SPAN inkluderer BPDU'er i den overvågede trafik, så alle BPDU'er, der ses på destinationsporten, kopieres fra kildeporten. Tilslut derfor aldrig en switch til denne type SPAN, da det kan forårsage en netværksløkke.

- Når VLAN er konfigureret som SPAN-kilde (for det meste omtalt som VSPAN) med både indgangs- og udgangsindstillinger konfigureret, skal du kun videresende duplikerede pakker fra kildeporten, hvis pakkerne skiftes i det samme VLAN. En kopi af pakken er fra indgangstrafikken på indgangsporten, og den anden kopi af pakken er fra udgangstrafikken på udgangsporten.

- VSPAN overvåger kun trafik, der forlader eller kommer ind i Layer 2-porte i VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN og ERSPAN er teknikker, der bruges i netværk til at fange og overvåge trafik til analyse. Her er en kort oversigt over hver:

SPAN (Switched Port Analyzer)

  • Formål: Bruges til at spejle trafik fra specifikke porte eller VLAN'er på en switch til en anden port til overvågning.
  • Use Case: Ideel til lokal trafikanalyse på en enkelt switch. Trafikken spejles til en udpeget port, hvor en netværksanalysator kan fange den.

RSPAN (Remote SPAN)

  • Formål: Udvider SPAN-kapaciteter på tværs af flere switche i et netværk.
  • Use Case: Tillader overvågning af trafik fra en switch til en anden via en trunklink. Nyttigt til scenarier, hvor overvågningsenheden er placeret på en anden switch.

ERSPAN (Encapsulated Remote SPAN)

  • Formål: Kombinerer RSPAN med GRE (Generic Routing Encapsulation) for at indkapsle den spejlede trafik.
  • Use Case: Giver mulighed for overvågning af trafik på tværs af rutede netværk. Dette er nyttigt i komplekse netværksarkitekturer, hvor trafik skal fanges over forskellige segmenter.

Remote SPAN (RSPAN)

Remote SPAN (RSPAN) ligner SPAN, men det understøtter kildeporte, kilde-VLAN'er og destinationsporte på forskellige switches, som giver fjernovervågningstrafik fra kildeporte fordelt over flere switches og tillader destinationscentralisere netværksopfangningsenheder. Hver RSPAN-session fører SPAN-trafikken over et brugerspecificeret dedikeret RSPAN-VLAN i alle deltagende switches. Dette VLAN bliver derefter trunket til andre switches, hvilket gør det muligt at transportere RSPAN-sessionstrafikken på tværs af flere switches og leveres til destinationsfangststationen. RSPAN består af en RSPAN-kildesession, en RSPAN VLAN og en RSPAN-destinationssession.

Retningslinjer eller begrænsninger for RSPAN:

- Et specifikt VLAN skal konfigureres til SPAN-destination, som vil krydse de mellemliggende switches via trunklinks mod destinationsporten.

- Kan oprette samme kildetype - mindst én port eller mindst ét ​​VLAN, men kan ikke være blandingen.

- Destinationen for sessionen er RSPAN VLAN snarere end den enkelte port i switchen, så alle porte i RSPAN VLAN vil modtage den spejlede trafik.

- Konfigurer ethvert VLAN som et RSPAN VLAN, så længe alle deltagende netværksenheder understøtter konfiguration af RSPAN VLAN'er, og brug det samme RSPAN VLAN for hver RSPAN session

- VTP kan udbrede konfiguration af VLAN'er nummereret 1 til 1024 som RSPAN VLAN'er, skal manuelt konfigurere VLAN'er nummereret højere end 1024 som RSPAN VLAN'er på alle kilde-, mellem- og destinationsnetværksenheder.

- MAC-adresseindlæring er deaktiveret i RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Encapsulated remote SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bringer generisk routing-indkapsling (GRE) for al opsamlet trafik og gør det muligt at udvide den på tværs af Layer 3-domæner.

ERSPAN er enCisco proprietærfunktion og er kun tilgængelig for Catalyst 6500, 7600, Nexus og ASR 1000 platforme til dato. ASR 1000 understøtter kun ERSPAN-kilde (overvågning) på Fast Ethernet, Gigabit Ethernet og port-kanal-interfaces.

Retningslinjer eller begrænsninger for ERSPAN:

- ERSPAN-kildesessioner kopierer ikke ERSPAN GRE-indkapslet trafik fra kildeporte. Hver ERSPAN-kildesession kan have enten porte eller VLAN'er som kilder, men ikke begge dele.

- Uanset hvilken som helst konfigureret MTU-størrelse, opretter ERSPAN Layer 3-pakker, der kan være så lange som 9.202 bytes. ERSPAN-trafik kan blive droppet af enhver grænseflade i netværket, der håndhæver en MTU-størrelse mindre end 9.202 bytes.

- ERSPAN understøtter ikke pakkefragmentering. Bitten "fragmenter ikke" er sat i IP-headeren på ERSPAN-pakker. ERSPAN-destinationssessioner kan ikke samle fragmenterede ERSPAN-pakker igen.

- ERSPAN ID'et adskiller ERSPAN-trafikken, der ankommer til den samme destinations-IP-adresse, fra forskellige ERSPAN-kildesessioner; konfigureret ERSPAN ID skal matche på kilde- og destinationsenheder.

- For en kildeport eller et kilde-VLAN kan ERSPAN overvåge indgående, udgående eller både indgående og udgående trafik. Som standard overvåger ERSPAN al trafik, inklusive multicast og Bridge Protocol Data Unit (BPDU) frames.

- Tunnelgrænseflade, der understøttes som kildeporte til en ERSPAN-kildesession, er GRE, IPinIP, SVTI, IPv6, IPv6 over IP-tunnel, Multipoint GRE (mGRE) og Secure Virtual Tunnel Interfaces (SVTI).

- Filter VLAN-indstillingen er ikke funktionel i en ERSPAN-overvågningssession på WAN-grænseflader.

- ERSPAN på Cisco ASR 1000-seriens routere understøtter kun Layer 3-grænseflader. Ethernet-grænseflader understøttes ikke på ERSPAN, når de er konfigureret som Layer 2-grænseflader.

- Når en session er konfigureret gennem ERSPAN-konfigurations-CLI'en, kan sessions-id'et og sessionstypen ikke ændres. For at ændre dem skal du først bruge no-formen af ​​konfigurationskommandoen til at fjerne sessionen og derefter rekonfigurere sessionen.

- Cisco IOS XE Release 3.4S:- Overvågning af ikke-IPsec-beskyttede tunnelpakker understøttes kun på IPv6 og IPv6 over IP-tunnelgrænseflader til ERSPAN-kildesessioner, ikke til ERSPAN-destinationssessioner.

- Cisco IOS XE Release 3.5S, understøttelse blev tilføjet til følgende typer WAN-grænseflader som kildeporte til en kildesession: Seriel (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) og Multilink PPP (multilink, pos og serielle nøgleord blev tilføjet til kildegrænsefladekommandoen).

SPAN, RSPAN, ERSPAN 3

Brug af ERSPAN som lokalt SPAN:

For at bruge ERSPAN til at overvåge trafik gennem en eller flere porte eller VLAN'er i samme enhed, skal vi oprette en ERSPAN-kilde og ERSPAN-destinationssessioner i samme enhed, dataflow finder sted inde i routeren, hvilket svarer til det i lokale SPAN.

Følgende faktorer er relevante, når du bruger ERSPAN som et lokalt SPAN:

- Begge sessioner har det samme ERSPAN ID.

- Begge sessioner har samme IP-adresse. Denne IP-adresse er routerens egen IP-adresse; dvs. loopback-IP-adressen eller IP-adressen, der er konfigureret på en hvilken som helst port.

(config)# monitor session 10 type erspan-source
(config-mon-erspan-src)# kildegrænseflade Gig0/0/0
(config-mon-erspan-src)# destination
(config-mon-erspan-src-dst)# ip-adresse 10.10.10.1
(config-mon-erspan-src-dst)# oprindelses-ip-adresse 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Indlægstid: 28. august 2024
Tryk på Enter for at søge eller ESC for at lukke