SPAN, RSPAN і ERSPAN - гэта метады, якія выкарыстоўваюцца ў сетках для захопу і маніторынгу трафіку для аналізу. Вось кароткі агляд кожнага з іх:
SPAN (аналізатар камутаваных партоў)
Прызначэнне: выкарыстоўваецца для адлюстравання трафіку з пэўных партоў або VLAN на камутатары на іншы порт для маніторынгу.
Выпадак выкарыстання: ідэальна падыходзіць для аналізу лакальнага трафіку на адным камутатары. Трафік адлюстроўваецца на прызначаны порт, дзе аналізатар сеткі можа яго захапіць.
RSPAN (аддалены SPAN)
Прызначэнне: пашырае магчымасці SPAN на некалькі камутатараў у сетцы.
Выпадак выкарыстання: Дазваляе кантраляваць трафік ад аднаго камутатара да іншага па магістральнай сувязі. Карысна для сцэнарыяў, калі прылада маніторынгу знаходзіцца на іншым камутатары.
ERSPAN (інкапсуляваны аддалены SPAN)
Прызначэнне: аб'ядноўвае RSPAN з GRE (агульная інкапсуляцыя маршрутызацыі) для інкапсуляцыі адлюстраванага трафіку.
Выпадак выкарыстання: Дазваляе кантраляваць трафік праз маршрутызаваныя сеткі. Гэта карысна ў складанай сеткавай архітэктуры, дзе трафік трэба захопліваць у розных сегментах.
Switch port Analyzer (SPAN) - гэта эфектыўная высокапрадукцыйная сістэма маніторынгу трафіку. Ён накіроўвае або адлюстроўвае трафік ад зыходнага порта або VLAN да порта прызначэння. Гэта часам называюць маніторынгам сесіі. SPAN выкарыстоўваецца сярод многіх іншых для вырашэння праблем з падключэннем і разліку выкарыстання і прадукцыйнасці сеткі. У прадуктах Cisco падтрымліваюцца тры тыпы SPAN...
а. SPAN або лакальны SPAN.
б. Аддалены SPAN (RSPAN).
в. Інкапсуляваны аддалены SPAN (ERSPAN).
Ведаць: "Mylinking™ Брокер сеткавых пакетаў з функцыямі SPAN, RSPAN і ERSPAN"
SPAN / адлюстраванне трафіку / адлюстраванне партоў выкарыстоўваецца ў многіх мэтах, некаторыя з іх прыведзены ніжэй.
- Укараненне IDS/IPS у бязладным рэжыме.
- Рашэнні для запісу выклікаў VOIP.
- Прычыны захавання бяспекі для маніторынгу і аналізу трафіку.
- Вырашэнне праблем з падключэннем, маніторынг трафіку.
Незалежна ад тыпу запушчанага SPAN, крыніцай SPAN можа быць любы тып порта, напрыклад маршрутызаваны порт, фізічны порт камутатара, порт доступу, транк, VLAN (усе актыўныя парты камутатара кантралююцца), EtherChannel (альбо порт, альбо ўвесь порт). -канальныя інтэрфейсы) і г. д. Звярніце ўвагу, што порт, сканфігураваны для прызначэння SPAN, НЕ МОЖА быць часткай зыходнай VLAN SPAN.
Сеансы SPAN падтрымліваюць маніторынг уваходнага трафіку (уваходны SPAN), выхаднога трафіку (выхадны SPAN) або трафіку, які цячэ ў абодвух напрамках.
- Ingress SPAN (RX) капіюе трафік, атрыманы зыходнымі партамі і VLAN, у порт прызначэння. SPAN капіюе трафік перад любымі мадыфікацыямі (напрыклад, перад любым фільтрам VACL або ACL, QoS або кантролем ўваходу і выхаду).
- Выхадны SPAN (TX) капіюе трафік, які перадаецца ад зыходных партоў і VLAN да порта прызначэння. Усе адпаведныя дзеянні фільтрацыі або мадыфікацыі з дапамогай фільтра VACL або ACL, QoS або кантролю ўваходу і выхаду выконваюцца перад тым, як камутатар перакідвае трафік на порт прызначэння SPAN.
- Калі выкарыстоўваецца ключавое слова абодва, SPAN капіруе сеткавы трафік, атрыманы і перададзены зыходнымі партамі і VLAN, у порт прызначэння.
- SPAN/RSPAN звычайна ігнаруе кадры CDP, STP BPDU, VTP, DTP і PAgP. Аднак гэтыя тыпы трафіку могуць быць перанакіраваны, калі наладжана каманда рэплікацыі інкапсуляцыі.
SPAN або лакальны SPAN
SPAN адлюстроўвае трафік з аднаго або некалькіх інтэрфейсаў на камутатары на адзін або некалькі інтэрфейсаў на тым жа камутатары; таму SPAN у асноўным называюць LOCAL SPAN.
Рэкамендацыі або абмежаванні для лакальнага SPAN:
- Як камутаваныя парты ўзроўню 2, так і парты ўзроўню 3 можна наладзіць як парты крыніцы або прызначэння.
- Крыніцай можа быць адзін або некалькі партоў або VLAN, але не іх сумесь.
- Магістральныя парты - гэта сапраўдныя зыходныя парты ў сумесі з немагістральнымі зыходнымі партамі.
- На камутатары можна наладзіць да 64 партоў прызначэння SPAN.
- Калі мы наладжваем порт прызначэння, яго першапачатковая канфігурацыя перазапісваецца. Калі канфігурацыя SPAN выдалена, першапачатковая канфігурацыя гэтага порта аднаўляецца.
- Пры наладжванні порта прызначэння порт выдаляецца з любога пакета EtherChannel, калі ён быў яго часткай. Калі б гэта быў маршрутызаваны порт, канфігурацыя прызначэння SPAN пераважвае канфігурацыю маршрутызаванага порта.
- Парты прызначэння не падтрымліваюць бяспеку партоў, аўтэнтыфікацыю 802.1x або прыватныя VLAN.
- Порт можа дзейнічаць як порт прызначэння толькі для адной сесіі SPAN.
- Порт не можа быць сканфігураваны ў якасці порта прызначэння, калі ён з'яўляецца зыходным портам сеансу span або часткай зыходнай VLAN.
- Інтэрфейсы каналаў партоў (EtherChannel) можна наладзіць як зыходныя парты, але не порт прызначэння для SPAN.
- Па змаўчанні для крыніц SPAN кірунак трафіку "абодва".
- Парты прызначэння ніколі не ўдзельнічаюць у асобніку spanning-tree. Не можа падтрымліваць DTP, CDP і г. д. Лакальны SPAN уключае BPDU у кантраляваны трафік, таму любыя BPDU, якія бачаць у порце прызначэння, капіююцца з зыходнага порта. Таму ніколі не падключайце камутатар да гэтага тыпу SPAN, бо гэта можа выклікаць сеткавае замыканне. Інструменты штучнага інтэлекту павысяць эфектыўнасць працы іневыяўны AIсэрвіс можа палепшыць якасць інструментаў штучнага інтэлекту.
- Калі VLAN наладжана як крыніца SPAN (часцей за ўсё называецца VSPAN) з наладжанымі параметрамі ўваходу і выхаду, перасылайце дублікаты пакетаў з порта-крыніцы, толькі калі пакеты пераключаюцца ў адной і той жа VLAN. Адна копія пакета - з уваходнага трафіку на ўваходным порце, а другая копія пакета - з выхаднога трафіку на выхадным порце.
- VSPAN кантралюе толькі трафік, які пакідае або ўваходзіць у парты ўзроўню 2 у VLAN.
Аддалены SPAN (RSPAN)
Remote SPAN (RSPAN) падобны на SPAN, але ён падтрымлівае зыходныя парты, зыходныя VLAN і парты прызначэння на розных камутатарах, якія забяспечваюць аддалены маніторынг трафіку з зыходных партоў, размеркаваных па некалькіх камутатарах, і дазваляюць цэнтралізаваць прылады захопу сеткі прызначэння. Кожны сеанс RSPAN перадае трафік SPAN па вызначанай карыстальнікам выдзеленай VLAN RSPAN ва ўсіх камутатарах, якія ўдзельнічаюць. Затым гэты VLAN транкінгуецца да іншых камутатараў, што дазваляе транспартаваць трафік сеансу RSPAN праз некалькі камутатараў і дастаўляць яго на станцыю захопу. RSPAN складаецца з зыходнай сесіі RSPAN, VLAN RSPAN і сесіі прызначэння RSPAN.
Рэкамендацыі або абмежаванні для RSPAN:
- Канкрэтны VLAN павінен быць сканфігураваны для прызначэння SPAN, які будзе праходзіць праз прамежкавыя камутатары праз магістральныя сувязі да порта прызначэння.
- Можна стварыць адзін і той жа тып крыніцы - прынамсі адзін порт або прынамсі адну VLAN, але не можа быць камбінацыяй.
- Мэтай сеансу з'яўляецца RSPAN VLAN, а не адзін порт у камутатары, таму ўсе парты ў RSPAN VLAN будуць атрымліваць люстраны трафік.
- Наладзьце любую VLAN як RSPAN VLAN, калі ўсе сеткавыя прылады, якія ўдзельнічаюць, падтрымліваюць канфігурацыю RSPAN VLAN, і выкарыстоўвайце адну і тую ж RSPAN VLAN для кожнай сесіі RSPAN
- VTP можа распаўсюджваць канфігурацыю VLAN з нумарамі ад 1 да 1024 як RSPAN VLAN, павінен уручную наладжваць VLAN з нумарам вышэй за 1024 як RSPAN VLAN на ўсіх зыходных, прамежкавых і мэтавых сеткавых прыладах.
- Вывучэнне MAC-адрасоў адключана ў RSPAN VLAN.
Інкапсуляваны аддалены SPAN (ERSPAN)
Інкапсуляваны аддалены SPAN (ERSPAN) забяспечвае агульную інкапсуляцыю маршрутызацыі (GRE) для ўсяго захопленага трафіку і дазваляе распаўсюджваць яго на дамены ўзроўню 3.
ERSPAN - гэта аПрапрыетарны Ciscoі на сённяшні дзень даступны толькі для платформаў Catalyst 6500, 7600, Nexus і ASR 1000. ASR 1000 падтрымлівае крыніцу ERSPAN (маніторынг) толькі на інтэрфейсах Fast Ethernet, Gigabit Ethernet і порт-канал.
Інструкцыі або абмежаванні для ERSPAN:
- Зыходныя сеансы ERSPAN не капіююць інкапсуляваны трафік ERSPAN GRE з зыходных партоў. Кожны зыходны сеанс ERSPAN можа мець у якасці крыніц парты або VLAN, але не абодва.
- Незалежна ад любога настроенага памеру MTU, ERSPAN стварае пакеты ўзроўню 3, якія могуць быць да 9202 байтаў. Трафік ERSPAN можа быць спынены любым інтэрфейсам у сетцы, які забяспечвае памер MTU менш за 9202 байт.
- ERSPAN не падтрымлівае фрагментацыю пакетаў. Біт "не фрагментаваць" усталёўваецца ў IP-загалоўку пакетаў ERSPAN. Сеансы прызначэння ERSPAN не могуць сабраць фрагментаваныя пакеты ERSPAN.
- Ідэнтыфікатар ERSPAN адрознівае трафік ERSPAN, які паступае на адзін і той жа IP-адрас прызначэння з розных сеансаў крыніцы ERSPAN; сканфігураваны ERSPAN ID павінен супадаць на прыладах крыніцы і прызначэння.
- Для зыходнага порта або зыходнай VLAN ERSPAN можа кантраляваць уваходны і выходны трафік або як уваходны, так і выходны трафік. Па змаўчанні ERSPAN кантралюе ўвесь трафік, уключаючы шматадрасную перадачу і кадры Bridge Protocol Data Unit (BPDU).
- Тунэльны інтэрфейс, які падтрымліваецца ў якасці зыходных партоў для зыходнага сеансу ERSPAN, - гэта GRE, IPinIP, SVTI, IPv6, IPv6 праз IP-тунэль, шматкропкавы GRE (mGRE) і інтэрфейсы бяспечнага віртуальнага тунэлю (SVTI).
- Параметр фільтра VLAN не працуе ў сеансе маніторынгу ERSPAN на інтэрфейсах WAN.
- ERSPAN на маршрутызатарах Cisco ASR серыі 1000 падтрымлівае толькі інтэрфейсы ўзроўню 3. Інтэрфейсы Ethernet не падтрымліваюцца ў ERSPAN, калі наладжаны як інтэрфейсы ўзроўню 2.
- Калі сеанс наладжваецца праз канфігурацыйны CLI ERSPAN, ідэнтыфікатар і тып сеанса не могуць быць зменены. Каб змяніць іх, вы павінны спачатку выкарыстаць форму no каманды канфігурацыі, каб выдаліць сеанс, а затым пераналадзіць сеанс.
- Cisco IOS XE Release 3.4S: - Маніторынг неабароненых IPsec тунэльных пакетаў падтрымліваецца на тунэльных інтэрфейсах IPv6 і IPv6 праз IP толькі для зыходных сеансаў ERSPAN, а не для сеансаў прызначэння ERSPAN.
- Cisco IOS XE Release 3.5S, была дададзена падтрымка наступных тыпаў інтэрфейсаў WAN у якасці зыходных партоў для зыходнага сеансу: паслядоўны (T1/E1, T3/E3, DS0), пакет па SONET (POS) (OC3, OC12) і Multilink PPP (ключавыя словы multilink, pos і serial былі дададзены ў каманду зыходнага інтэрфейсу).
Выкарыстанне ERSPAN як лакальнага SPAN:
Каб выкарыстоўваць ERSPAN для маніторынгу трафіку праз адзін або некалькі партоў або сетак VLAN на той жа прыладзе, мы павінны стварыць сеансы крыніцы ERSPAN і сесіі прызначэння ERSPAN на адной прыладзе, паток даных адбываецца ўнутры маршрутызатара, які падобны да патоку ў лакальным SPAN.
Пры выкарыстанні ERSPAN у якасці лакальнага SPAN прымяняюцца наступныя фактары:
- Абедзве сесіі маюць аднолькавы ID ERSPAN.
- Абедзве сесіі маюць аднолькавы IP-адрас. Гэты IP-адрас з'яўляецца ўласным IP-адрасам маршрутызатара; гэта значыць зваротны IP-адрас або IP-адрас, настроены на любым порце.
(канфігурацыя)# сесія манітора 10 тыпу erspan-source |
(config-mon-erspan-src)# зыходны інтэрфейс Gig0/0/0 |
(config-mon-erspan-src)# пункт прызначэння |
(config-mon-erspan-src-dst)# IP-адрас 10.10.10.1 |
(config-mon-erspan-src-dst)# першапачатковы IP-адрас 10.10.10.1 |
(config-mon-erspan-src-dst)# erspan-id 100 |
Час публікацыі: 28 жніўня 2024 г