SPAN, RSPAN e ERSPAN son técnicas utilizadas en redes para capturar e supervisar o tráfico para a súa análise. Aquí tes un breve resumo de cada un:
SPAN (analizador de portos conmutados)
Propósito: Úsase para reflectir o tráfico de portos ou VLAN específicos nun conmutador a outro porto para a súa supervisión.
Caso de uso: ideal para a análise do tráfico local nun único interruptor. O tráfico réplicase nun porto designado onde un analizador de rede pode capturalo.
RSPAN (SPAN remoto)
Propósito: Amplía as capacidades de SPAN a través de varios switches nunha rede.
Caso de uso: permite supervisar o tráfico dun interruptor a outro a través dunha ligazón troncal. Útil para escenarios nos que o dispositivo de vixilancia está situado nun interruptor diferente.
ERSPAN (SPAN remoto encapsulado)
Propósito: Combina RSPAN con GRE (Encapsulación de enrutamiento xenérico) para encapsular el tráfico reflejado.
Caso de uso: permite supervisar o tráfico en redes enrutadas. Isto é útil en arquitecturas de rede complexas onde o tráfico debe ser capturado en diferentes segmentos.
Switch port Analyzer (SPAN) é un sistema de seguimento de tráfico eficiente e de alto rendemento. Dirixe ou reflicte o tráfico desde un porto de orixe ou VLAN ata un porto de destino. Isto ás veces denomínase seguimento da sesión. SPAN úsase para solucionar problemas de conectividade e calcular a utilización e o rendemento da rede, entre moitos outros. Hai tres tipos de SPAN admitidos nos produtos Cisco...
a. SPAN ou SPAN local.
b. SPAN remoto (RSPAN).
c. SPAN remoto encapsulado (ERSPAN).
Para saber: "Mylinking™ Network Packet Broker con funcións SPAN, RSPAN e ERSPAN"
SPAN / réplica de tráfico / réplica de portos úsase para moitos propósitos, a continuación inclúense algúns.
- Implementación de IDS/IPS en modo promiscuo.
- Solucións de gravación de chamadas VOIP.
- Motivos de cumprimento de seguridade para supervisar e analizar o tráfico.
- Solución de problemas de conexión, seguimento do tráfico.
Independentemente do tipo de SPAN en execución, a fonte SPAN pode ser calquera tipo de porto, é dicir, un porto enrutado, un porto de conmutador físico, un porto de acceso, un tronco, unha VLAN (todos os portos activos son monitorizados do switch), un EtherChannel (un porto ou un porto completo). -channel interfaces) etc. Teña en conta que un porto configurado para o destino SPAN NON PODE formar parte dunha VLAN de orixe SPAN.
As sesións SPAN admiten o seguimento do tráfico de entrada (SPAN de entrada), o tráfico de saída (SPAN de saída) ou o tráfico que circula en ambas direccións.
- Ingress SPAN (RX) copia o tráfico recibido polos portos de orixe e as VLAN ao porto de destino. SPAN copia o tráfico antes de calquera modificación (por exemplo, antes de calquera filtro VACL ou ACL, QoS ou control de entrada ou saída).
- Egress SPAN (TX) copia o tráfico transmitido desde os portos de orixe e as VLAN ao porto de destino. Todos os filtrados ou modificacións relevantes mediante o filtro VACL ou ACL, QoS ou as accións policiais de entrada ou saída lévanse a cabo antes de que o switch reenvíe o tráfico ao porto de destino SPAN.
- Cando se usa ambas palabras clave, SPAN copia o tráfico de rede recibido e transmitido polos portos de orixe e as VLAN ao porto de destino.
- SPAN/RSPAN normalmente ignora as tramas CDP, STP BPDU, VTP, DTP e PAgP. Non obstante, estes tipos de tráfico pódense reenviar se se configura o comando encapsulation replicate.
SPAN ou SPAN local
SPAN reflicte o tráfico dunha ou máis interfaces no switch a unha ou máis interfaces no mesmo switch; polo tanto, SPAN denomínase principalmente SPAN LOCAL.
Directrices ou restricións ao SPAN local:
- Tanto os portos conmutados de capa 2 como os portos de capa 3 pódense configurar como portos de orixe ou destino.
- A fonte pode ser un ou máis portos ou unha VLAN, pero non unha mestura destes.
- Os portos de troncal son portos de orixe válidos mesturados con portos de orixe non troncais.
- Pódense configurar ata 64 portos de destino SPAN nun switch.
- Cando configuramos un porto de destino, sobrescríbese a súa configuración orixinal. Se se elimina a configuración SPAN, restaurarase a configuración orixinal nese porto.
- Cando se configura un porto de destino, o porto elimínase de calquera paquete EtherChannel se fose parte dun. Se fose un porto enrutado, a configuración de destino SPAN anula a configuración do porto enrutado.
- Os portos de destino non admiten a seguridade dos portos, a autenticación 802.1x nin as VLAN privadas.
- Un porto pode actuar como porto de destino só para unha sesión SPAN.
- Non se pode configurar un porto como porto de destino se é un porto de orixe dunha sesión span ou parte da VLAN de orixe.
- As interfaces de canles de portos (EtherChannel) pódense configurar como portos de orixe pero non como portos de destino para SPAN.
- A dirección do tráfico é "ambas" por defecto para as fontes SPAN.
- Os portos de destino nunca participan nunha instancia de spanning-tree. Non é compatible con DTP, CDP, etc. O SPAN local inclúe BPDU no tráfico supervisado, polo que calquera BPDU que se ve no porto de destino cópiase do porto de orixe. Polo tanto, nunca conecte un interruptor a este tipo de SPAN xa que podería provocar un bucle de rede. As ferramentas de IA mellorarán a eficiencia do traballo eIA indetectableo servizo pode mellorar a calidade das ferramentas de IA.
- Cando a VLAN está configurada como fonte SPAN (denominada principalmente VSPAN) coas opcións de entrada e saída configuradas, reenvíe os paquetes duplicados desde o porto de orixe só se os paquetes se cambian na mesma VLAN. Unha copia do paquete é do tráfico de entrada no porto de entrada e a outra copia do paquete é do tráfico de saída no porto de saída.
- VSPAN supervisa só o tráfico que sae ou entra nos portos de capa 2 na VLAN.
SPAN remoto (RSPAN)
Remote SPAN (RSPAN) é semellante ao SPAN, pero admite portos de orixe, VLAN de orixe e portos de destino en diferentes conmutadores, que proporcionan un seguimento remoto do tráfico desde os portos de orixe distribuídos en varios conmutadores e permiten centralizar o destino dos dispositivos de captura de rede. Cada sesión RSPAN transporta o tráfico SPAN a través dunha VLAN RSPAN dedicada especificada polo usuario en todos os switches participantes. Esta VLAN engádese entón a outros switches, o que permite que o tráfico da sesión RSPAN sexa transportado a través de varios switches e entregue á estación de captura de destino. RSPAN consiste nunha sesión de orixe RSPAN, unha VLAN RSPAN e unha sesión de destino RSPAN.
Directrices ou restricións para RSPAN:
- Debe configurarse unha VLAN específica para o destino SPAN que atravesará os interruptores intermedios a través de enlaces troncais cara ao porto de destino.
- Pode crear o mesmo tipo de fonte: polo menos un porto ou polo menos unha VLAN, pero non pode ser a mestura.
- O destino da sesión é a VLAN RSPAN en lugar do porto único do switch, polo que todos os portos da VLAN RSPAN recibirán o tráfico reflectido.
- Configure calquera VLAN como unha VLAN RSPAN sempre que todos os dispositivos de rede participantes admitan a configuración de VLAN RSPAN e usen a mesma VLAN RSPAN para cada sesión RSPAN
- VTP pode propagar a configuración das VLAN numeradas do 1 ao 1024 como VLAN RSPAN , debe configurar manualmente as VLAN numeradas superiores a 1024 como VLAN RSPAN en todos os dispositivos de rede de orixe, intermedio e destino.
- A aprendizaxe de enderezos MAC está desactivada na VLAN RSPAN.
SPAN remoto encapsulado (ERSPAN)
O SPAN remoto encapsulado (ERSPAN) trae o encapsulamento de enrutamento xenérico (GRE) para todo o tráfico capturado e permite que se estenda a través dos dominios de capa 3.
ERSPAN é unPropiedade de Ciscoe ata agora só está dispoñible para as plataformas Catalyst 6500, 7600, Nexus e ASR 1000. O ASR 1000 só admite a fonte ERSPAN (monitorización) en interfaces Fast Ethernet, Gigabit Ethernet e canle de portos.
Directrices ou restricións a ERSPAN:
- As sesións de orixe de ERSPAN non copian o tráfico encapsulado en ERSPAN GRE dos portos de orixe. Cada sesión de orixe ERSPAN pode ter portos ou VLAN como fontes, pero non as dúas.
- Independentemente de calquera tamaño de MTU configurado, ERSPAN crea paquetes de capa 3 que poden ter unha lonxitude de ata 9.202 bytes. O tráfico ERSPAN pode ser eliminado por calquera interface da rede que impoña un tamaño de MTU inferior a 9.202 bytes.
- ERSPAN non admite a fragmentación de paquetes. O bit "non fragmentar" establécese na cabeceira IP dos paquetes ERSPAN. As sesións de destino ERSPAN non poden recompoñer paquetes ERSPAN fragmentados.
- O ID ERSPAN diferencia o tráfico ERSPAN que chega ao mesmo enderezo IP de destino de varias sesións de orixe ERSPAN diferentes; O ID de ERSPAN configurado debe coincidir nos dispositivos de orixe e destino.
- Para un porto de orixe ou unha VLAN de orixe, o ERSPAN pode supervisar a entrada, a saída ou o tráfico de entrada e saída. De forma predeterminada, ERSPAN supervisa todo o tráfico, incluídas as tramas de multicast e Bridge Protocol Data Unit (BPDU).
- As interfaces de túnel admitidas como portos de orixe para unha sesión de orixe ERSPAN son GRE, IPinIP, SVTI, IPv6, IPv6 sobre túnel IP, GRE multipunto (mGRE) e Secure Virtual Tunnel Interfaces (SVTI).
- A opción de filtro VLAN non funciona nunha sesión de monitorización de ERSPAN en interfaces WAN.
- ERSPAN nos routers da serie Cisco ASR 1000 só admite interfaces de capa 3. As interfaces Ethernet non son compatibles con ERSPAN cando se configuran como interfaces de capa 2.
- Cando se configura unha sesión a través da CLI de configuración de ERSPAN, o ID de sesión e o tipo de sesión non se poden cambiar. Para cambialos, primeiro debes usar o formulario no do comando de configuración para eliminar a sesión e, a continuación, reconfigurar a sesión.
- Cisco IOS XE Release 3.4S: - A monitorización de paquetes de túnel non protexidos con IPsec é compatible con interfaces de túnel IPv6 e IPv6 sobre IP só para sesións de orixe ERSPAN, non para sesións de destino ERSPAN.
- Cisco IOS XE Release 3.5S, engadiuse soporte para os seguintes tipos de interfaces WAN como portos de orixe para unha sesión de orixe: Serial (T1/E1, T3/E3, DS0), Paquete sobre SONET (POS) (OC3, OC12) e Multilink PPP (engadíronse palabras clave multilink, pos e serie ao comando da interface de orixe).
Usando ERSPAN como SPAN local:
Para usar ERSPAN para supervisar o tráfico a través dun ou máis portos ou VLAN nun mesmo dispositivo, debemos ter que crear unha fonte ERSPAN e sesións de destino ERSPAN no mesmo dispositivo, o fluxo de datos lévase a cabo dentro do enrutador, que é similar ao do SPAN local.
Os seguintes factores son aplicables ao usar ERSPAN como SPAN local:
- Ambas sesións teñen o mesmo ID ERSPAN.
- Ambas sesións teñen o mesmo enderezo IP. Este enderezo IP é o enderezo IP do propio enrutador; é dicir, o enderezo IP de loopback ou o enderezo IP configurado en calquera porto.
Hora de publicación: 28-ago-2024