Pochopení SPAN, RSPAN a ERSPAN: Techniky monitorování síťového provozu

SPAN, RSPAN a ERSPAN jsou techniky používané v sítích k zachycení a monitorování provozu za účelem analýzy. Zde je stručný přehled každé z nich:

SPAN (analyzátor přepínaných portů)

Účel: Používá se k zrcadlení provozu z konkrétních portů nebo VLAN na přepínači na jiný port za účelem monitorování.

Případ použití: Ideální pro lokální analýzu provozu na jednom přepínači. Provoz je zrcadlen na určený port, kde jej může zachytit síťový analyzátor.

RSPAN (Vzdálený SPAN)

Účel: Rozšiřuje možnosti SPAN napříč více přepínači v síti.

Případ použití: Umožňuje monitorování provozu z jednoho přepínače do druhého přes kmenovou linku. Užitečné pro scénáře, kdy je monitorovací zařízení umístěno na jiném přepínači.

ERSPAN (Zapouzdřený vzdálený SPAN)

Účel: Kombinuje RSPAN s GRE (Generic Routing Encapsulation) pro zapouzdření zrcadleného provozu.

Případ použití: Umožňuje monitorování provozu napříč směrovanými sítěmi. To je užitečné ve složitých síťových architekturách, kde je třeba zachytit provoz v různých segmentech.

Analyzátor portů přepínače (SPAN) je efektivní a vysoce výkonný systém pro monitorování provozu. Směruje nebo zrcadlí provoz ze zdrojového portu nebo VLAN do cílového portu. Tomu se někdy říká monitorování relace. SPAN se používá mimo jiné k řešení problémů s připojením, výpočtu využití a výkonu sítě. Produkty Cisco podporují tři typy sítí SPAN…

a. SPAN nebo lokální SPAN.

b. Vzdálený SPAN (RSPAN).

c. Zapouzdřený vzdálený SPAN (ERSPAN).

Abychom věděli: "Mylinking™ Network Packet Broker s funkcemi SPAN, RSPAN a ERSPAN"

SPAN / zrcadlení provozu / zrcadlení portů se používá k mnoha účelům, níže uvádíme některé.

- Implementace IDS/IPS v promiskuitním režimu.

- Řešení pro nahrávání VoIP hovorů.

- Důvody dodržování bezpečnostních předpisů pro monitorování a analýzu provozu.

- Řešení problémů s připojením, monitorování provozu.

Bez ohledu na spuštěný typ SPAN může být zdrojem SPAN jakýkoli typ portu, tj. směrovaný port, port fyzického přepínače, přístupový port, trunk, VLAN (všechny aktivní porty jsou monitorovány přepínačem), EtherChannel (buď port, nebo celá rozhraní port-kanál) atd. Upozorňujeme, že port nakonfigurovaný pro cíl SPAN NEMŮŽE být součástí zdrojové VLAN SPAN.

Relace SPAN podporují monitorování příchozího provozu (ingress SPAN), odchozího provozu (egress SPAN) nebo provozu proudícího v obou směrech.

- Vstupní SPAN (RX) kopíruje provoz přijatý zdrojovými porty a VLAN na cílový port. SPAN kopíruje provoz před jakoukoli úpravou (například před jakýmkoli filtrem VACL nebo ACL, QoS nebo před vstupním či výstupním dohledem).

- Výstupní SPAN (TX) kopíruje provoz přenášený ze zdrojových portů a VLAN do cílového portu. Veškeré relevantní filtrování nebo úpravy pomocí filtrů VACL nebo ACL, QoS nebo akcí týkajících se vstupní a výstupní kontroly jsou provedeny předtím, než přepínač přesměruje provoz do cílového portu SPAN.

- Pokud je použito klíčové slovo both, SPAN kopíruje síťový provoz přijatý a přenášený zdrojovými porty a VLAN na cílový port.

- SPAN/RSPAN obvykle ignoruje rámce CDP, STP BPDU, VTP, DTP a PAgP. Tyto typy provozu však lze přeposílat, pokud je nakonfigurován příkaz pro replikaci zapouzdření.

SPAN nebo lokální SPAN

SPAN zrcadlí provoz z jednoho nebo více rozhraní na přepínači na jedno nebo více rozhraní na stejném přepínači; proto se SPAN většinou označuje jako LOCAL SPAN.

Pokyny nebo omezení pro místní SPAN:

- Přepínané porty vrstvy 2 i porty vrstvy 3 lze konfigurovat jako zdrojové nebo cílové porty.

- Zdrojem může být jeden nebo více portů nebo VLAN, ale ne jejich kombinace.

- Porty kmenových linek jsou platné zdrojové porty smíchané se zdrojovými porty mimo kmenové linky.

- Na přepínači lze nakonfigurovat až 64 cílových portů SPAN.

- Při konfiguraci cílového portu se jeho původní konfigurace přepíše. Pokud se konfigurace SPAN odstraní, obnoví se původní konfigurace na daném portu.

- Při konfiguraci cílového portu je port odebrán z jakéhokoli svazku EtherChannel, pokud byl jeho součástí. Pokud by se jednalo o směrovaný port, konfigurace cíle SPAN přepíše konfiguraci směrovaného portu.

- Cílové porty nepodporují zabezpečení portů, ověřování 802.1x ani privátní VLAN.

- Port může sloužit jako cílový port pouze pro jednu relaci SPAN.

- Port nelze nakonfigurovat jako cílový port, pokud je zdrojovým portem relace span nebo součástí zdrojové VLAN.

- Rozhraní portových kanálů (EtherChannel) lze konfigurovat jako zdrojové porty, ale nikoli jako cílové porty pro SPAN.

- Směr provozu je pro zdroje SPAN ve výchozím nastavení „oba“.

- Cílové porty se nikdy neúčastní instance spanning-tree. Nelze podporovat DTP, CDP atd. Lokální SPAN zahrnuje BPDU v monitorovaném provozu, takže všechny BPDU viděné na cílovém portu jsou kopírovány ze zdrojového portu. Proto nikdy nepřipojujte přepínač k tomuto typu SPAN, protože by to mohlo způsobit síťovou smyčku. Nástroje umělé inteligence zlepší efektivitu práce anezjistitelná umělá inteligenceSlužba může zlepšit kvalitu nástrojů umělé inteligence.

- Pokud je VLAN nakonfigurována jako zdroj SPAN (většinou označovaná jako VSPAN) s nakonfigurovanými možnostmi vstupu i výstupu, přeposílejte duplicitní pakety ze zdrojového portu pouze v případě, že jsou pakety přepnuty ve stejné VLAN. Jedna kopie paketu pochází z vstupního provozu na vstupním portu a druhá kopie paketu pochází z výstupního provozu na výstupním portu.

- VSPAN monitoruje pouze provoz, který opouští nebo vstupuje na porty vrstvy 2 ve VLAN.