Pochopení SPAN, RSPAN a ERSPAN: Techniky pro monitorování síťového provozu

SPAN, RSPAN a ERSPAN jsou techniky používané v sítích k zachycení a monitorování provozu za účelem analýzy. Zde je stručný přehled každého z nich:

SPAN (analyzátor přepínaných portů)

Účel: Používá se k zrcadlení provozu z konkrétních portů nebo sítí VLAN na přepínači na jiný port pro monitorování.

Případ použití: Ideální pro analýzu místního provozu na jediném přepínači. Provoz je zrcadlen na určený port, kde jej může síťový analyzátor zachytit.

RSPAN (vzdálené SPAN)

Účel: Rozšiřuje možnosti SPAN přes více přepínačů v síti.

Případ použití: Umožňuje sledování provozu z jednoho přepínače na druhý přes hlavní linku. Užitečné pro scénáře, kdy je monitorovací zařízení umístěno na jiném přepínači.

ERSPAN (Encapsulated Remote SPAN)

Účel: Kombinuje RSPAN s GRE (Generic Routing Encapsulation) k zapouzdření zrcadleného provozu.

Případ použití: Umožňuje monitorování provozu napříč směrovanými sítěmi. To je užitečné ve složitých síťových architekturách, kde je potřeba zachytit provoz v různých segmentech.

Switch port Analyzer (SPAN) je účinný, vysoce výkonný systém pro monitorování provozu. Směruje nebo zrcadlí provoz ze zdrojového portu nebo VLAN do cílového portu. To se někdy nazývá monitorování relace. SPAN se mimo jiné používá k odstraňování problémů s konektivitou a výpočtu využití a výkonu sítě. Produkty Cisco podporují tři typy SPAN…

A. SPAN nebo místní SPAN.

b. Vzdálené SPAN (RSPAN).

C. Zapouzdřený vzdálený SPAN (ERSPAN).

Vědět: "Mylinking™ Network Packet Broker s funkcemi SPAN, RSPAN a ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / zrcadlení provozu / zrcadlení portů se používá k mnoha účelům, níže některé zahrnují.

- Implementace IDS/IPS v promiskuitním režimu.

- Řešení nahrávání hovorů VOIP.

- Důvody shody se zabezpečením pro sledování a analýzu provozu.

- Odstraňování problémů s připojením, sledování provozu.

Bez ohledu na spuštěný typ SPAN může být zdrojem SPAN jakýkoli typ portu, tj. směrovaný port, fyzický port switche, přístupový port, trunk, VLAN (všechny aktivní porty jsou monitorovány na switchi), EtherChannel (buď port nebo celý port -channel interfaces) atd. Všimněte si, že port nakonfigurovaný pro cíl SPAN NEMŮŽE být součástí zdrojové VLAN SPAN.

Relace SPAN podporují monitorování příchozího provozu (ingress SPAN), odchozího provozu (výstupní SPAN) nebo provozu proudícího v obou směrech.

- Ingress SPAN (RX) kopíruje provoz přijatý zdrojovými porty a VLAN do cílového portu. SPAN zkopíruje provoz před jakoukoli úpravou (například před jakýmkoli filtrem VACL nebo ACL, QoS nebo kontrolou vstupu nebo výstupu).

- Egress SPAN (TX) kopíruje provoz přenášený ze zdrojových portů a VLAN do cílového portu. Veškeré relevantní filtrování nebo modifikace pomocí VACL nebo ACL filtru, QoS nebo ingress nebo egress policing akce jsou provedeny předtím, než přepínač předá provoz do SPAN cílového portu.

- Když je použito klíčové slovo both, SPAN zkopíruje síťový provoz přijatý a vysílaný zdrojovými porty a VLAN do cílového portu.

- SPAN/RSPAN obvykle ignoruje rámce CDP, STP BPDU, VTP, DTP a PAgP. Tyto typy provozu však mohou být předány, pokud je nakonfigurován příkaz encapsulation replikace.

SPAN nebo Local SPAN

SPAN zrcadlí provoz z jednoho nebo více rozhraní na přepínači do jednoho nebo více rozhraní na stejném přepínači; proto je SPAN většinou označován jako LOCAL SPAN.

Pokyny nebo omezení pro místní SPAN:

- Přepínané porty vrstvy 2 i porty vrstvy 3 lze nakonfigurovat jako zdrojové nebo cílové porty.

- Zdrojem může být jeden nebo více portů nebo VLAN, ale ne jejich kombinace.

- Trunk porty jsou platné zdrojové porty smíšené s ne-trunkovými zdrojovými porty.

- Na přepínači lze nakonfigurovat až 64 cílových portů SPAN.

- Když nakonfigurujeme cílový port, jeho původní konfigurace se přepíše. Pokud je konfigurace SPAN odstraněna, obnoví se původní konfigurace na tomto portu.

- Při konfiguraci cílového portu je port odstraněn z jakéhokoli balíčku EtherChannel, pokud byl součástí nějakého balíčku. Pokud by se jednalo o směrovaný port, konfigurace cíle SPAN přepíše konfiguraci směrovaného portu.

- Cílové porty nepodporují zabezpečení portů, ověřování 802.1x ani soukromé sítě VLAN.

- Port může fungovat jako cílový port pouze pro jednu relaci SPAN.

- Port nemůže být konfigurován jako cílový port, pokud je zdrojovým portem relace span nebo součástí zdrojové VLAN.

- Rozhraní portového kanálu (EtherChannel) lze konfigurovat jako zdrojové porty, ale ne jako cílový port pro SPAN.

- Směr provozu je ve výchozím nastavení pro zdroje SPAN „obě“.

- Cílové porty se nikdy neúčastní instance spanning-tree. Nelze podporovat DTP, CDP atd. Local SPAN zahrnuje BPDU ve sledovaném provozu, takže všechny BPDU viděné na cílovém portu jsou zkopírovány ze zdrojového portu. Proto nikdy nepřipojujte přepínač k tomuto typu SPAN, protože by to mohlo způsobit síťovou smyčku. Nástroje AI zlepší efektivitu práce anedetekovatelná AImůže zlepšit kvalitu nástrojů AI.

- Když je VLAN nakonfigurována jako zdroj SPAN (většinou označovaná jako VSPAN) s nakonfigurovanými možnostmi vstupu i výstupu, přepošle duplicitní pakety ze zdrojového portu pouze v případě, že se pakety přepnou ve stejné VLAN. Jedna kopie paketu pochází z příchozího provozu na vstupním portu a druhá kopie paketu je z odchozího provozu na výstupním portu.

- VSPAN monitoruje pouze provoz, který opouští nebo vstupuje na porty vrstvy 2 ve VLAN.

SPAN, RSPAN, ERSPAN 1

Vzdálené SPAN (RSPAN)

Vzdálené SPAN (RSPAN) je podobné SPAN, ale podporuje zdrojové porty, zdrojové VLAN a cílové porty na různých přepínačích, které poskytují vzdálené monitorování provozu ze zdrojových portů distribuovaných přes více přepínačů a umožňují cílovou centralizaci zařízení pro zachycení sítě. Každá relace RSPAN přenáší provoz SPAN přes uživatelem specifikovanou vyhrazenou RSPAN VLAN ve všech zúčastněných přepínačích. Tato VLAN je pak sdružena do jiných přepínačů, což umožňuje přenos provozu relace RSPAN přes více přepínačů a doručení do cílové zachycovací stanice. RSPAN se skládá ze zdrojové relace RSPAN, RSPAN VLAN a cílové relace RSPAN.

Pokyny nebo omezení RSPAN:

- Pro cíl SPAN musí být nakonfigurována specifická VLAN, která bude procházet přes mezilehlé přepínače pomocí trunkových linek směrem k cílovému portu.

- Může vytvořit stejný typ zdroje – alespoň jeden port nebo alespoň jednu VLAN, ale nemůže to být mix.

- Cíl relace je RSPAN VLAN spíše než jeden port v přepínači, takže všechny porty v RSPAN VLAN budou přijímat zrcadlený provoz.

- Nakonfigurujte jakoukoli VLAN jako RSPAN VLAN, pokud všechna zúčastněná síťová zařízení podporují konfiguraci RSPAN VLAN, a použijte stejnou RSPAN VLAN pro každou relaci RSPAN

- VTP může šířit konfiguraci VLAN s číslem 1 až 1024 jako RSPAN VLAN, musí ručně nakonfigurovat VLAN s číslem vyšším než 1024 jako RSPAN VLAN na všech zdrojových, mezilehlých a cílových síťových zařízeních.

- Učení MAC adres je v RSPAN VLAN zakázáno.

SPAN, RSPAN, ERSPAN 2

Zapouzdřený vzdálený SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) přináší generické zapouzdření směrování (GRE) pro veškerý zachycený provoz a umožňuje jeho rozšíření přes domény 3. vrstvy.

ERSPAN je aProprietární Ciscoa je k dnešnímu dni k dispozici pouze pro platformy Catalyst 6500, 7600, Nexus a ASR 1000. ASR 1000 podporuje zdroj ERSPAN (monitorování) pouze na rozhraních Fast Ethernet, Gigabit Ethernet a port-channel.

Pokyny nebo omezení pro ERSPAN:

- Zdrojové relace ERSPAN nekopírují provoz zapouzdřený ERSPAN GRE ze zdrojových portů. Každá zdrojová relace ERSPAN může mít jako zdroje buď porty, nebo sítě VLAN, ale ne obojí.

- Bez ohledu na jakoukoli nakonfigurovanou velikost MTU vytváří ERSPAN pakety vrstvy 3, které mohou být dlouhé až 9 202 bajtů. Provoz ERSPAN může být zrušen kterýmkoli rozhraním v síti, které vynucuje velikost MTU menší než 9 202 bajtů.

- ERSPAN nepodporuje fragmentaci paketů. Bit "nefragmentovat" je nastaven v hlavičce IP paketů ERSPAN. Cílové relace ERSPAN nemohou znovu sestavit fragmentované pakety ERSPAN.

- ERSPAN ID rozlišuje ERSPAN provoz přicházející na stejnou cílovou IP adresu z různých různých zdrojových ERSPAN relací; nakonfigurované ERSPAN ID se musí na zdrojovém a cílovém zařízení shodovat.

- Pro zdrojový port nebo zdrojovou VLAN může ERSPAN monitorovat příchozí a odchozí provoz nebo jak příchozí, tak odchozí provoz. Ve výchozím nastavení ERSPAN monitoruje veškerý provoz, včetně rámců multicast a Bridge Protocol Data Unit (BPDU).

- Rozhraní tunelu podporované jako zdrojové porty pro zdrojovou relaci ERSPAN jsou GRE, IPinIP, SVTI, IPv6, IPv6 přes IP tunel, Multipoint GRE (mGRE) a Secure Virtual Tunnel Interfaces (SVTI).

- Možnost filtrování VLAN není funkční v monitorovací relaci ERSPAN na rozhraních WAN.

- ERSPAN na směrovačích Cisco ASR 1000 Series podporuje pouze rozhraní vrstvy 3. Rozhraní Ethernet nejsou podporována na ERSPAN, pokud jsou nakonfigurována jako rozhraní vrstvy 2.

- Když je relace konfigurována prostřednictvím konfiguračního CLI ERSPAN, ID relace a typ relace nelze změnit. Chcete-li je změnit, musíte nejprve pomocí konfiguračního příkazu ve tvaru no odstranit relaci a poté relaci znovu nakonfigurovat.

- Cisco IOS XE Release 3.4S: - Monitorování paketů tunelu nechráněných protokolem IPsec je podporováno na rozhraních tunelu IPv6 a IPv6 přes IP pouze pro zdrojové relace ERSPAN, nikoli pro cílové relace ERSPAN.

- Cisco IOS XE Release 3.5S, byla přidána podpora pro následující typy rozhraní WAN jako zdrojové porty pro zdrojovou relaci: sériový (T1/E1, T3/E3, DS0) , paket přes SONET (POS) (OC3, OC12) a Multilink PPP (k příkazu zdrojového rozhraní byla přidána klíčová slova multilink, pos a serial).

SPAN, RSPAN, ERSPAN 3

Použití ERSPAN jako místního SPAN:

Chcete-li použít ERSPAN k monitorování provozu přes jeden nebo více portů nebo VLAN na stejném zařízení, musíme vytvořit ERSPAN zdrojové a ERSPAN cílové relace ve stejném zařízení, datový tok probíhá uvnitř routeru, což je podobné jako v lokálním SPAN.

Při používání ERSPAN jako místního SPAN platí následující faktory:

- Obě relace mají stejné ERSPAN ID.

- Obě relace mají stejnou IP adresu. Tato IP adresa je vlastní IP adresou routeru; to znamená adresu IP zpětné smyčky nebo adresu IP nakonfigurovanou na libovolném portu.

(config)# monitor session 10 typu erspan-source
(config-mon-erspan-src)# zdrojové rozhraní Gig0/0/0
(config-mon-erspan-src)# cíl
(config-mon-erspan-src-dst)# IP adresa 10.10.10.1
(config-mon-erspan-src-dst)# původní ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Čas odeslání: 28. srpna 2024