SPAN, RSPAN i ERSPAN són tècniques que s'utilitzen en xarxes per capturar i monitoritzar el trànsit per a l'anàlisi. Aquí teniu una breu descripció general de cadascuna:
SPAN (Analitzador de ports commutats)
Finalitat: S'utilitza per duplicar el trànsit de ports o VLAN específics en un commutador a un altre port per a la supervisió.
Cas d'ús: Ideal per a l'anàlisi del trànsit local en un únic commutador. El trànsit es duplica a un port designat on un analitzador de xarxa el pot capturar.
RSPAN (SPAN remot)
Objectiu: Amplia les capacitats SPAN a través de diversos commutadors d'una xarxa.
Cas d'ús: Permet la supervisió del trànsit d'un commutador a un altre a través d'un enllaç troncal. Útil per a escenaris en què el dispositiu de supervisió es troba en un commutador diferent.
ERSPAN (SPAN remot encapsulat)
Propòsit: Combina RSPAN amb GRE (Generic Routing Encapsulation) per encapsular el trànsit duplicat.
Cas d'ús: Permet la supervisió del trànsit a través de xarxes encaminades. Això és útil en arquitectures de xarxa complexes on cal capturar el trànsit a través de diferents segments.
Switch Port Analyzer (SPAN) és un sistema de monitorització de trànsit eficient i d'alt rendiment. Dirigeix o reflecteix el trànsit des d'un port d'origen o VLAN fins a un port de destinació. Això de vegades s'anomena monitorització de sessió. SPAN s'utilitza per resoldre problemes de connectivitat i calcular la utilització i el rendiment de la xarxa, entre molts altres. Hi ha tres tipus de SPAN compatibles amb els productes Cisco...
a. SPAN o SPAN local.
b. SPAN remot (RSPAN).
c. SPAN remot encapsulat (ERSPAN).
A saber: "Mylinking™ Network Packet Broker amb funcions SPAN, RSPAN i ERSPAN"
El SPAN / tràfic mirroring / port mirroring s'utilitza per a molts propòsits, a continuació s'en inclouen alguns.
- Implementació d'IDS/IPS en mode promiscu.
- Solucions d'enregistrament de trucades VoIP.
- Motius de compliment de la seguretat per monitoritzar i analitzar el trànsit.
- Resolució de problemes de connexió, monitorització del trànsit.
Independentment del tipus SPAN en execució, l'origen SPAN pot ser qualsevol tipus de port, és a dir, un port encaminat, un port de commutador físic, un port d'accés, un tronc, una VLAN (tots els ports actius es monitoritzen des del commutador), un EtherChannel (ja sigui un port o interfícies port-canal senceres), etc. Tingueu en compte que un port configurat per a la destinació SPAN NO POT formar part d'una VLAN d'origen SPAN.
Les sessions SPAN permeten la monitorització del trànsit d'entrada (SPAN d'entrada), del trànsit de sortida (SPAN de sortida) o del trànsit que flueix en ambdues direccions.
- L'SPAN d'entrada (RX) copia el trànsit rebut pels ports d'origen i les VLAN al port de destinació. L'SPAN copia el trànsit abans de qualsevol modificació (per exemple, abans de qualsevol filtre VACL o ACL, QoS o control d'entrada o sortida).
- El SPAN de sortida (TX) copia el trànsit transmès des dels ports d'origen i les VLAN al port de destinació. Totes les accions rellevants de filtratge o modificació mitjançant filtres VACL o ACL, QoS o control d'entrada o sortida es duen a terme abans que el commutador reenviï el trànsit al port de destinació SPAN.
- Quan s'utilitza la paraula clau both, SPAN copia el trànsit de xarxa rebut i transmès pels ports d'origen i les VLAN al port de destinació.
- SPAN/RSPAN normalment ignora les trames CDP, STP BPDU, VTP, DTP i PAgP. Tanmateix, aquests tipus de trànsit es poden reenviar si es configura l'ordre de replicació d'encapsulació.
SPAN o SPAN local
L'SPAN replica el trànsit d'una o més interfícies del commutador a una o més interfícies del mateix commutador; per tant, l'SPAN es coneix principalment com a LOCAL SPAN.
Directrius o restriccions per a l'SPAN local:
- Tant els ports commutats de capa 2 com els ports de capa 3 es poden configurar com a ports d'origen o de destinació.
- L'origen pot ser un o més ports o una VLAN, però no una barreja d'aquests.
- Els ports troncals són ports d'origen vàlids barrejats amb ports d'origen que no són troncals.
Es poden configurar fins a 64 ports de destinació SPAN en un commutador.
- Quan configurem un port de destinació, la seva configuració original se sobreescriu. Si s'elimina la configuració SPAN, es restaura la configuració original d'aquest port.
- Quan es configura un port de destinació, el port s'elimina de qualsevol paquet EtherChannel si en formava part. Si fos un port encaminat, la configuració de destinació SPAN anul·la la configuració del port encaminat.
- Els ports de destinació no admeten la seguretat de ports, l'autenticació 802.1x ni les VLAN privades.
- Un port només pot actuar com a port de destinació per a una sessió SPAN.
- No es pot configurar un port com a port de destinació si és un port d'origen d'una sessió d'abast o part d'una VLAN d'origen.
- Les interfícies de canal de port (EtherChannel) es poden configurar com a ports d'origen però no com a port de destinació per a SPAN.
- La direcció del trànsit és "ambdues" per defecte per a les fonts SPAN.
- Els ports de destinació no participen mai en una instància de spanning-tree. No pot admetre DTP, CDP, etc. L'SPAN local inclou BPDU al trànsit monitoritzat, de manera que qualsevol BPDU que es vegi al port de destinació es copia del port d'origen. Per tant, no connecteu mai un commutador a aquest tipus de SPAN, ja que podria causar un bucle de xarxa. Les eines d'IA milloraran l'eficiència del treball iIA indetectableel servei pot millorar la qualitat de les eines d'IA.
- Quan la VLAN està configurada com a font SPAN (normalment anomenada VSPAN) amb les opcions d'entrada i sortida configurades, reenvieu els paquets duplicats des del port d'origen només si els paquets es commuten a la mateixa VLAN. Una còpia del paquet prové del trànsit d'entrada al port d'entrada i l'altra còpia del paquet prové del trànsit de sortida al port de sortida.
- VSPAN només monitoritza el trànsit que surt o entra dels ports de capa 2 de la VLAN.
SPAN remot (RSPAN)
L'SPAN remot (RSPAN) és similar a l'SPAN, però admet ports d'origen, VLAN d'origen i ports de destinació en diferents commutadors, que proporcionen un trànsit de monitorització remota des de ports d'origen distribuïts en diversos commutadors i permeten centralitzar els dispositius de captura de xarxa de destinació. Cada sessió d'RSPAN transporta el trànsit SPAN a través d'una VLAN RSPAN dedicada especificada per l'usuari en tots els commutadors participants. Aquesta VLAN es connecta a altres commutadors, permetent que el trànsit de la sessió RSPAN es transporti a través de diversos commutadors i es lliuri a l'estació de captura de destinació. L'RSPAN consta d'una sessió d'origen RSPAN, una VLAN RSPAN i una sessió de destinació RSPAN.
Directrius o restriccions per a RSPAN:
- Cal configurar una VLAN específica per a la destinació SPAN, que travessarà els commutadors intermedis a través d'enllaços troncals cap al port de destinació.
- Es pot crear el mateix tipus de font: almenys un port o almenys una VLAN, però no es pot barrejar.
- La destinació de la sessió és la VLAN RSPAN en lloc del port únic del commutador, de manera que tots els ports de la VLAN RSPAN rebran el trànsit duplicat.
- Configura qualsevol VLAN com a VLAN RSPAN sempre que tots els dispositius de xarxa participants admetin la configuració de VLAN RSPAN i utilitzin la mateixa VLAN RSPAN per a cada sessió RSPAN.
- El VTP pot propagar la configuració de les VLAN numerades de l'1 al 1024 com a VLAN RSPAN, però ha de configurar manualment les VLAN numerades superiors a 1024 com a VLAN RSPAN en tots els dispositius de xarxa d'origen, intermedis i de destinació.
- L'aprenentatge d'adreces MAC està desactivat a la VLAN RSPAN.
SPAN remot encapsulat (ERSPAN)
L'SPAN remot encapsulat (ERSPAN) aporta l'encapsulació d'encaminament genèric (GRE) per a tot el trànsit capturat i permet que s'estengui a través de dominis de capa 3.
ERSPAN és unPropietat de Ciscofunció i només està disponible per a les plataformes Catalyst 6500, 7600, Nexus i ASR 1000 fins ara. L'ASR 1000 només admet la font ERSPAN (monitorització) en interfícies Fast Ethernet, Gigabit Ethernet i port-canal.
Directrius o restriccions per a ERSPAN:
- Les sessions d'origen ERSPAN no copien el trànsit encapsulat per ERSPAN GRE dels ports d'origen. Cada sessió d'origen ERSPAN pot tenir ports o VLAN com a orígens, però no tots dos.
- Independentment de la mida de MTU configurada, ERSPAN crea paquets de capa 3 que poden tenir una longitud de fins a 9.202 bytes. El trànsit ERSPAN pot ser descartat per qualsevol interfície de la xarxa que imposi una mida de MTU inferior a 9.202 bytes.
- ERSPAN no admet la fragmentació de paquets. El bit "no fragmentar" està definit a la capçalera IP dels paquets ERSPAN. Les sessions de destinació ERSPAN no poden tornar a muntar paquets ERSPAN fragmentats.
- L'ID ERSPAN diferencia el trànsit ERSPAN que arriba a la mateixa adreça IP de destinació de diverses sessions d'origen ERSPAN; l'ID ERSPAN configurat ha de coincidir als dispositius d'origen i de destinació.
- Per a un port d'origen o una VLAN d'origen, l'ERSPAN pot supervisar el trànsit d'entrada, sortida o tant el trànsit d'entrada com el de sortida. Per defecte, l'ERSPAN supervisa tot el trànsit, inclosos els marcs de multicast i BPDU (Bridge Protocol Data Unit).
- Les interfícies de túnel compatibles amb els ports d'origen per a una sessió d'origen ERSPAN són GRE, IPinIP, SVTI, IPv6, túnel IPv6 sobre IP, Multipoint GRE (mGRE) i Secure Virtual Tunnel Interfaces (SVTI).
- L'opció de filtre VLAN no és funcional en una sessió de supervisió ERSPAN en interfícies WAN.
- ERSPAN en encaminadors Cisco ASR sèrie 1000 només admet interfícies de capa 3. Les interfícies Ethernet no són compatibles amb ERSPAN quan es configuren com a interfícies de capa 2.
- Quan es configura una sessió a través de la CLI de configuració d'ERSPAN, no es poden canviar l'ID de sessió ni el tipus de sessió. Per canviar-los, primer cal utilitzar la forma no de l'ordre de configuració per eliminar la sessió i, a continuació, reconfigurar-la.
- Cisco IOS XE versió 3.4S: la supervisió dels paquets de túnel no protegits per IPsec només és compatible amb les interfícies de túnel IPv6 i IPv6 sobre IP a les sessions d'origen ERSPAN, no a les sessions de destinació ERSPAN.
- Cisco IOS XE versió 3.5S, s'ha afegit compatibilitat amb els següents tipus d'interfícies WAN com a ports d'origen per a una sessió d'origen: sèrie (T1/E1, T3/E3, DS0), paquets sobre SONET (POS) (OC3, OC12) i multienllaç PPP (s'han afegit les paraules clau multilink, pos i serial a l'ordre source interface).
Ús d'ERSPAN com a SPAN local:
Per utilitzar ERSPAN per monitoritzar el trànsit a través d'un o més ports o VLAN en un mateix dispositiu, hem de crear una sessió d'origen ERSPAN i una de destinació ERSPAN en un mateix dispositiu. El flux de dades té lloc dins del router, de manera similar al de l'SPAN local.
Els factors següents són aplicables quan s'utilitza ERSPAN com a SPAN local:
- Ambdues sessions tenen el mateix ID ERSPAN.
- Ambdues sessions tenen la mateixa adreça IP. Aquesta adreça IP és la pròpia adreça IP dels encaminadors; és a dir, l'adreça IP de bucle o l'adreça IP configurada en qualsevol port.
| (config)# monitor sessió 10 type erspan-source |
| (config-mon-erspan-src)# interfície font Gig0/0/0 |
| (config-mon-erspan-src)# destinació |
| (config-mon-erspan-src-dst)# adreça IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adreça IP d'origen 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Data de publicació: 28 d'agost de 2024
