SPAN, RSPAN e ERSPAN son técnicas empregadas na rede para capturar e controlar o tráfico para a súa análise. Aquí tes unha breve visión xeral de cada un:
Span (analizador de portos conmutado)
Finalidade: úsase para reflectir o tráfico desde portos específicos ou VLANs nun interruptor a outro porto para o seguimento.
Caso de uso: ideal para a análise de tráfico local nun único interruptor. O tráfico está reflectido a un porto designado onde un analizador de rede pode capturalo.
RSPAN (SPAN remoto)
Finalidade: estende as capacidades de extensión a través de varios interruptores nunha rede.
Caso de uso: permite o control do tráfico dun interruptor a outro a través dunha ligazón do tronco. Útil para escenarios onde o dispositivo de vixilancia está situado nun interruptor diferente.
Erspan (extensión remota encapsulada)
Finalidade: combina RSPAN con GRE (encapsulado xenérico de enrutamento) para encapsular o tráfico espello.
Caso de uso: permite o control do tráfico a través de redes enrutadas. Isto é útil en arquitecturas de rede complexas onde o tráfico debe ser capturado en diferentes segmentos.
Switch Port Analyzer (SPAN) é un sistema eficiente de control de tráfico de alto rendemento. Dirixe ou reflicte o tráfico desde un porto de orixe ou VLAN a un porto de destino. Ás veces chámase Monitorización de sesións. O SPAN úsase para solucionar problemas de conectividade e calcular a utilización e rendemento da rede, entre moitos outros. Hai tres tipos de extensións apoiadas nos produtos Cisco ...
A. Intervalo ou intervalo local.
b. Span remoto (RSPAN).
c. Span remoto encapsulado (ERSPAN).
Para saber: "MyLinking ™ Network Packet Broker con características SPAN, RSPAN e ERSPAN"
A continuación, inclúe algúns.
- Implementación de IDS/IPS en modo promiscuo.
- VoIP Solutions de gravación de chamadas.
- Razóns de cumprimento da seguridade para controlar e analizar o tráfico.
- Resolución de problemas de conexión, controlar o tráfico.
Independentemente do tipo de extensión que funcione, a fonte de intervalo pode ser calquera tipo de porto, é dicir, un porto enrutado, un porto de conmutador físico, un porto de acceso, tronco, VLAN (todos os portos activos están controlados do conmutador), un etherchannel (xa sexa un porto ou toda a canal de porto), etc. Teña en conta que un porto configurado para o destino non pode ser parte dunha fonte de span Vlan.
As sesións de SPAN admiten o control do tráfico de entrada (intervalo de entrada), o tráfico de egres (rango de saída) ou o tráfico que flúe en ambas as direccións.
- Ingress Span (RX) Copia o tráfico recibido polos portos de orixe e VLAN ao porto de destino. SPAN copia o tráfico antes de calquera modificación (por exemplo antes de calquera filtro VACL ou ACL, QoS ou Ingress ou Policing de saída).
- Egress Span (TX) Copia o tráfico transmitido desde os portos de orixe e VLANs ao porto de destino. Todos os filtrados ou modificacións relevantes mediante filtro VACL ou ACL, QoS ou Ingress ou Egress Policing accións realízanse antes de que o tráfico de Switch Forwards cara ao porto de destino.
- Cando se usa a palabra clave, abrangue o tráfico de rede recibido e transmitido polos portos de orixe e VLANs ao porto de destino.
- Span/rspan normalmente ignora os cadros CDP, STP BPDU, VTP, DTP e PAGP. Non obstante, estes tipos de tráfico pódense reenviar se se configura o comando replicado de encapsulado.
Extensión ou intervalo local
Span reflicte o tráfico dunha ou máis interface no interruptor a unha ou varias interfaces no mesmo interruptor; Polo tanto, o intervalo é maioritariamente denominado intervalo local.
Directrices ou restricións ao intervalo local:
- Pódense configurar tanto os portos conmutados de capa 2 como os portos de capa 3 como portos de orixe ou destino.
- A fonte pode ser un ou máis portos ou unha VLAN, pero non unha mestura destes.
- Os portos de tronco son portos de fonte válidos mesturados con portos de fonte non trunk.
- Pódense configurar ata 64 portos de destino de extensión nun interruptor.
- Cando configuramos un porto de destino, a súa configuración orixinal está sobrescrita. Se se elimina a configuración de SPAN, a configuración orixinal nese porto está restaurada.
- Cando configure un porto de destino, o porto elimínase de calquera paquete de etherChannel se fose parte dun. Se fose un porto encamiñado, a configuración de destino de SPAN anula a configuración do porto enrutada.
- Os portos de destino non admiten a seguridade do porto, a autenticación 802.1x ou as VLAN privadas.
- Un porto pode actuar como porto de destino para só unha sesión de intervalo.
- Non se pode configurar un porto como porto de destino se se trata dun porto de orixe dunha sesión de extensión ou parte da fonte VLAN.
- As interfaces de canle de porto (EtherChannel) pódense configurar como portos de orixe pero non como un porto de destino para SPAN.
- A dirección do tráfico é "ambas" de xeito predeterminado para fontes de SPAN.
- Os portos de destino nunca participan nunha instancia de árbore de extensión. Non se pode soportar DTP, CDP, etc. Span local inclúe BPDUs no tráfico controlado, polo que calquera BPDU visto no porto de destino está copiado desde o porto de orixe. Polo tanto, nunca conecte un conmutador a este tipo de intervalo xa que podería causar un bucle de rede. As ferramentas AI mellorarán a eficiencia laboral eAi indetectableO servizo pode mellorar a calidade das ferramentas de AI.
- Cando VLAN está configurado como fonte de SPAN (principalmente denominada VSPAN) con opcións de entrada e saída configuradas, os paquetes duplicados reenviados do porto de orixe só se os paquetes están cambiados na mesma VLAN. Unha copia do paquete é do tráfico de entrada no porto de entrada, e a outra copia do paquete é do tráfico de egress no porto de Egress.
- VSPAN controla só o tráfico que deixa ou entra por portos de capa 2 na VLAN.
Span remoto (rspan)
Span remoto (RSPAN) é similar ao SPAN, pero admite portos de orixe, VLAN de orixe e portos de destino en diferentes interruptores, que proporcionan tráfico de control remoto dos portos de orixe distribuídos por varios interruptores e permite centralizar os dispositivos de captura de rede de destino. Cada sesión RSPAN leva o tráfico de intervalo sobre un RSPAN dedicado especificado polo usuario en todos os interruptores participantes. Esta VLAN é entón triturada a outros interruptores, permitindo que o tráfico de sesión RSPAN sexa transportado a través de varios interruptores e entregado á estación de captura de destino. RSPAN consta dunha sesión de fontes RSPAN, un RSPAN VLAN e unha sesión de destino RSPAN.
Directrices ou restricións a RSPAN:
- Debe configurarse un VLAN específico para o destino de SPAN que atravesará os interruptores intermedios a través de ligazóns do tronco cara ao porto de destino.
- Pode crear o mesmo tipo de fonte - polo menos un porto ou polo menos un VLAN pero non pode ser a mestura.
- O destino para a sesión é RSPAN VLAN en lugar do único porto en conmutador, polo que todos os portos de RSPAN VLAN recibirán o tráfico espello.
- Configure calquera VLAN como RSPAN VLAN sempre que todos os dispositivos de rede participantes admitan a configuración de RSPAN VLAN
- VTP pode propagar a configuración de VLANs numeradas 1 a 1024 como VLANs RSPAN, debe configurar manualmente as VLANs numeradas superiores a 1024 como VLANs RSPAN en todos os dispositivos de rede de orixe, intermedio e de destino.
- A aprendizaxe de enderezos MAC está desactivada no RSPAN VLAN.
Span remoto encapsulado (erspan)
O intervalo remoto encapsulado (ERSPAN) trae encapsulado xenérico de enrutamento (GRE) para todo o tráfico capturado e permítelle estenderse a través dos dominios da capa 3.
Erspan é aCisco PropiedadeCaracterística e está dispoñible só para as plataformas Catalyst 6500, 7600, Nexus e ASR 1000 ata a data. O ASR 1000 admite a fonte ERSPAN (monitorización) só en interfaces rápidas de Ethernet, Gigabit Ethernet e canal de porto.
Directrices ou restricións a erspan:
- As sesións de fontes ERSPAN non copian o tráfico encapsulado por ERSPAN en portos de orixe. Cada sesión de fonte ERSPAN pode ter portos ou VLAN como fontes, pero non ambas.
- Independentemente de calquera tamaño MTU configurado, Erspan crea paquetes de capa 3 que poden ser ata 9.202 bytes. O tráfico ERSPAN pode ser abandonado por calquera interface da rede que faga cumprir un tamaño MTU inferior a 9.202 bytes.
- Erspan non admite a fragmentación de paquetes. O bit "non fragmento" está configurado na cabeceira IP dos paquetes ERSPAN. As sesións de destino de Erspan non poden montar paquetes ERSPAN fragmentados.
- O ID ERSPAN diferencia o tráfico ERSPAN que chega ao mesmo enderezo IP de destino de diversas sesións de fonte ERSPAN; O ID de ERSPAN configurado debe coincidir nos dispositivos de orixe e destino.
- Para un porto de orixe ou unha fonte VLAN, o ERSPAN pode controlar a entrada, a saída ou tanto o tráfico de entrada como de saída. De xeito predeterminado, ERSPAN controla todo o tráfico, incluíndo cadros da unidade de datos de datos multicast e ponte (BPDU).
- A interface de túnel soportada como portos de orixe para unha sesión de fonte ERSPAN son GRE, IPINIP, SVTI, IPV6, IPv6 a través do túnel IP, MultiPoint GRE (MGRE) e interfaces de túnel virtual seguras (SVTI).
- A opción VLAN do filtro non é funcional nunha sesión de monitorización de erspan en interfaces WAN.
- ERSPAN nos enrutadores da serie Cisco ASR 1000 admite só as interfaces de capa 3. As interfaces Ethernet non son compatibles con ERSPAN cando se configuran como interfaces de capa 2.
- Cando se configura unha sesión a través da CLI de configuración de ERSPAN, non se pode cambiar o ID da sesión e o tipo de sesión. Para cambialos, primeiro debes usar o formulario SO do comando de configuración para eliminar a sesión e logo reconfigurar a sesión.
- Cisco IOS XE Release 3.4S:- O seguimento de paquetes de túneles non protexidos por IPSEC é compatible con IPv6 e IPv6 sobre as interfaces de túnel IP só para sesións de fonte ERSPAN, non para sesións de destino de Erspan.
- Cisco IOS XE Release 3.5s, engadiuse soporte para os seguintes tipos de interfaces WAN como portos de orixe para unha sesión de orixe: serie (T1/E1, T3/E3, DS0), Packet Over SONET (POS) (OC3, OC12) e Multilink PPP (MultiLink, POS e POS e en serie de palabras en serie A interface).
Usando Erspan como intervalo local:
Para usar ERSPAN para controlar o tráfico a través dun ou varios portos ou VLANs no mesmo dispositivo, debemos ter que crear unha fonte ERSPAN e sesións de destino ERSPAN no mesmo dispositivo, o fluxo de datos ten lugar dentro do enrutador, que é similar ao do intervalo local.
Os seguintes factores son aplicables ao usar Erspan como intervalo local:
- Ambas as sesións teñen a mesma identificación ERSPAN.
- Ambas as sesións teñen o mesmo enderezo IP. Este enderezo IP é o enderezo IP propio dos enrutadores; é dicir, o enderezo IP de loopback ou o enderezo IP configurado en calquera porto.
| (Config)# Monitor Sesión 10 Tipo de Erspan-Source |
| (config-mon-erspan-src)# interface fonte gig0/0/0 |
| (Config-Mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# Enderezo IP 10.10.10.1 |
| (Config-Mon-Erspan-SRC-DST)# Orixe Enderezo IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Tempo de publicación: agosto-28-2024
