Span, RSPAN i ERSPAN són tècniques utilitzades en xarxa per capturar i supervisar el trànsit per a l’anàlisi. Aquí teniu una breu visió general de cadascun:
Span (analitzador de ports commutat)
Finalitat: S'utilitza per reflectir el trànsit de ports específics o VLAN en un commutador a un altre port per a la seva vigilància.
Cas d’ús: ideal per a l’anàlisi del trànsit local en un sol interruptor. El trànsit es reflecteix a un port designat on un analitzador de xarxa pot capturar -lo.
RSPAN (Remote Span)
Finalitat: estén les capacitats d’abast a través de diversos commutadors d’una xarxa.
Cas d’ús: permet el seguiment del trànsit d’un interruptor a un altre sobre un enllaç de tronc. Útil per a escenaris on el dispositiu de control es troba en un interruptor diferent.
Erspan (Remote Span encapsulat)
Finalitat: combina RSPAN amb GRE (encapsulació d'encaminament genèric) per encapsular el trànsit mirall.
Cas d’ús: permet el seguiment del trànsit a les xarxes encaminades. Això és útil en arquitectures de xarxa complexes on cal capturar el trànsit sobre diferents segments.
Switch Port Analyzer (SPAN) és un sistema de control de trànsit d’alt rendiment eficient. Dirigeix o reflecteix el trànsit d’un port font o VLAN a un port de destinació. De vegades es coneix com a monitorització de la sessió. Span s’utilitza per solucionar problemes de connectivitat i calcular l’ús i el rendiment de la xarxa, entre molts altres. Hi ha tres tipus de papes compatibles amb els productes de Cisco ...
a. Span o Local Span.
b. Remote Span (RSPAN).
c. Remote encapsulat (ERSPAN).
Saber: "Broker de paquets de xarxa MyLinking ™ amb funcions Span, RSPAN i ERSPAN"
S'utilitza per a molts propòsits, a continuació, inclou alguns.
- Implementació IDS/IPS en mode promiscu.
- Solucions de gravació de trucades VoIP.
- Motius de compliment de seguretat per controlar i analitzar el trànsit.
- Resolució de problemes problemes de connexió, control del trànsit.
Independentment del tipus d’impulsió que s’executi, la font d’abast pot ser qualsevol tipus de port, és a dir, un port encaminat, un port d’interruptor físic, un port d’accés, tronc, VLAN (tots els ports actius estan controlats de l’interruptor), un etercanal (un port o interfícies de canal sencer), etc.
Les sessions d’implantació admeten el control del trànsit d’entrada (Span Ingress), el trànsit de sortida (Egress Span) o el trànsit que flueix en ambdues direccions.
- Ingress Span (RX) Copia el trànsit rebut pels ports d'origen i les VLAN al port de destinació. El trànsit copia el trànsit abans de qualsevol modificació (per exemple, abans de qualsevol filtre VACL o ACL, QoS o Ingress o Policació de sortida).
- Egress Span (TX) copia el trànsit transmès des dels ports d'origen i les VLAN al port de destinació. Totes les accions de filtratge o modificació rellevants per filtre VACL o ACL, es prenen accions de policia QoS o Ingress o Excedència abans que el commutador reenviï el trànsit al port de destinació.
- Quan s'utilitza la paraula clau, Span copia el trànsit de xarxa rebuda i transmesa pels ports d'origen i les VLAN al port de destinació.
- Span/rspan sol ignorar els marcs CDP, STP BPDU, VTP, DTP i PAGP. Tot i això, aquests tipus de trànsit es poden reenviar si es configura la comanda replicat de l'encapsulament.
Span o Local Span
Span reflecteix el trànsit d’una o més interfície a l’interruptor a una o més interfícies del mateix interruptor; Per tant, Span es coneix principalment com a abast local.
Directrius o restriccions a la durada local:
- Els ports commutats de la capa 2 i els ports de la capa 3 es poden configurar com a ports font o de destinació.
- La font pot ser un o més ports o un VLAN, però no una barreja.
- Els ports de tronc són ports d'origen vàlids barrejats amb ports de font no tronc.
- Es poden configurar fins a 64 ports de destinació en un commutador.
- Quan configurem un port de destinació, la seva configuració original es sobreescriu. Si s’elimina la configuració de l’abast, es restableix la configuració original d’aquest port.
- Quan configureu un port de destinació, el port s’elimina de qualsevol paquet d’etherChannel si en formés part. Si es tractés d’un port encaminat, la configuració de la destinació de Span substitueix la configuració del port encaminada.
- Els ports de destinació no admeten la seguretat del port, autenticació 802.1x o VLAN privades.
- Un port pot actuar com a port de destinació per a una sola sessió de span.
- No es pot configurar un port com a port de destinació si es tracta d’un port font d’una sessió d’implantació o part de la Source VLAN.
- Les interfícies del canal de port (EtherChannel) es poden configurar com a ports d'origen, però no un port de destinació per a l'abast.
- De manera predeterminada, la direcció del trànsit és "ambdues" per a fonts d'intercanvi.
- Els ports de destinació no participen mai en una instància d’arbre d’abast. No es pot donar suport a DTP, CDP, etc. La extensió local inclou BPDUs al trànsit monitoritzat, de manera que es copien les BPDU vistes al port de destinació del port font. Per tant, no connecteu mai un commutador a aquest tipus de span, ja que podria causar un bucle de xarxa. Les eines AI milloraran l'eficiència del treball iAi indetectableEl servei pot millorar la qualitat de les eines d’AI.
- Quan VLAN es configura com a font d’abast (principalment coneguda com VSPAN) amb opcions d’entrada i sortida configurades, reenvia els paquets duplicats del port font només si els paquets es canvien en el mateix VLAN. Una de les còpies del paquet és del trànsit d'entrada al port d'entrada i l'altra còpia del paquet és del trànsit de sortida al port de sortida.
- VSPAN monitoritza només el trànsit que deixa o entra a la capa 2 ports a la VLAN.
Remote Span (RSPAN)
Remote Span (RSPAN) és similar a la de Span, però admet els ports d'origen, les VLAN de font i els ports de destinació en diferents interruptors, que proporcionen trànsit de control remot dels ports d'origen distribuïts en diversos interruptors i permet la destinació centralitza els dispositius de captura de xarxa. Cada sessió de RSPAN porta el trànsit de Span sobre un RSPAN VLAN dedicat especificat per l'usuari a tots els interruptors participants. A continuació, aquesta VLAN es tromera a altres interruptors, permetent transportar el trànsit de sessió RSPAN a través de diversos interruptors i es lliura a l'estació de captura de destinació. RSPAN consisteix en una sessió d'origen RSPAN, un RSPAN VLAN i una sessió de destinació RSPAN.
Directrius o restriccions a RSPAN:
- S'ha de configurar una VLAN específica per a la destinació que recorrerà els interruptors intermedis mitjançant enllaços de tronc cap al port de destinació.
- Pot crear el mateix tipus d'origen: almenys un port o almenys un VLAN, però no pot ser la barreja.
- La destinació per a la sessió és RSPAN VLAN en lloc del port únic a Switch, de manera que tots els ports de RSPAN VLAN rebran el trànsit mirallat.
- Configura qualsevol VLAN com a RSPAN VLAN sempre que tots els dispositius de xarxa participants admetin la configuració de RSPAN VLAN i utilitzeu el mateix RSPAN VLAN per a cada sessió RSPAN
- VTP pot propagar la configuració de VLAN numerades 1 a 1024 com a RSPAN VLANS, ha de configurar manualment les VLAN numerades superiors a 1024 com a VLAN RSPAN en tots els dispositius de xarxa de font, intermedi i de destinació.
- L’aprenentatge d’adreces MAC està desactivat a la RSPAN VLAN.
Remote encapsulat (ERSPAN)
L’intercanvi remot encapsulat (ERSPAN) aporta un encapsulació d’encaminament genèric (GRE) per a tot el trànsit capturat i permet que s’estengui a través dels dominis de la capa 3.
Erspan és unPropietari de CiscoFunciona i només està disponible per a les plataformes Catalyst 6500, 7600, Nexus i ASR 1000 fins ara. L’ASR 1000 admet la font ERSPAN (monitoratge) només en interfícies Ethernet, Gigabit Ethernet i interfícies de canal de port.
Directrius o restriccions a Erspan:
- Les sessions d'origen erspan no copien el trànsit encapsulat per GRE dels ports d'origen. Cada sessió d'origen erspan pot tenir ports o VLAN com a fonts, però no ambdues.
- Independentment de qualsevol mida MTU configurada, Erspan crea paquets de capa 3 que poden arribar a ser de 9.202 bytes. El trànsit Erspan es pot deixar caure per qualsevol interfície de la xarxa que apliqui una mida MTU inferior a 9.202 bytes.
- erspan no admet la fragmentació dels paquets. El bit "no fragment" s'estableix a la capçalera IP dels paquets Erspan. Les sessions de destinació erspan no poden muntar paquets Erspan fragmentats.
- L'identificador ERSPAN diferencia el trànsit ERSPAN que arriba a la mateixa adreça IP de destinació de diverses sessions d'origen ERSPAN; ID ERSPAN configurat ha de coincidir amb els dispositius de la font i de la destinació.
- Per a un port font o una font VLAN, l'ERSPAN pot supervisar l'entrada, el despreniment o el trànsit d'entrada i la sortida. De manera predeterminada, Erspan supervisa tot el trànsit, inclosos els marcs de dades de protocol multicast i pont (BPDU).
- La interfície del túnel compatible amb els ports de font per a una sessió d'origen ERSPAN són GRE, IPINIP, SVTI, IPv6, IPv6 sobre el túnel IP, les interfícies de túnel virtual multipoint (MGRE) i les interfícies virtuals segures (SVTI).
- L’opció VLAN del filtre no és funcional en una sessió de control erspan en interfícies WAN.
- Els encaminadors de la sèrie Cisco ASR 1000 només admeten les interfícies de la capa 3. Les interfícies Ethernet no són compatibles amb ERSPAN quan es configuren com a interfícies de capa 2.
- Quan una sessió es configura mitjançant la configuració ERSPAN CLI, l'ID de sessió i el tipus de sessió no es poden canviar. Per canviar -los, primer heu d'utilitzar la forma sense forma de l'ordre de configuració per eliminar la sessió i després reconfigurar la sessió.
- Cisco IOS XE Release 3.4S:- El control de paquets de túnel no protegits no protegits és compatible a IPv6 i IPv6 sobre les interfícies de túnel IP només a les sessions de font ERSPAN, no a les sessions de destinació ERSPAN.
- Cisco IOS XE Release 3.5S, es va afegir suport per als següents tipus d’interfícies WAN com a ports d’origen per a una sessió font: Serial (T1/E1, T3/E3, DS0), Packet Over SONET (POS) (OC3, OC12) i PPP multilink (MultiLink, POS i paraules clau en sèrie es van afegir a l’ordre de la interfície font).
Utilitzant Erspan com a abast local:
Per utilitzar Erspan per supervisar el trànsit a través d’un o més ports o VLANs al mateix dispositiu, hem de crear una font erspan i sessions de destinació erspan al mateix dispositiu, el flux de dades té lloc a l’interior del router, que és similar a la de l’interval local.
Els factors següents són aplicables mentre utilitzeu Erspan com a abast local:
- Les dues sessions tenen el mateix identificador.
- Les dues sessions tenen la mateixa adreça IP. Aquesta adreça IP és l’adreça IP pròpia dels encaminadors; És a dir, l’adreça IP de Loopback o l’adreça IP configurada en qualsevol port.
| (config)# Monitor Sessió 10 Tipus Erspan-Source |
| (Config-Mon-Erspan-Src)# Interfície de la font GIG0/0/0 |
| (config-mon-eRspan-src)# destinació |
| (Config-Mon-Erspan-SRC-DST)# IP Adreça 10.10.10.1 |
| (Config-Mon-Erspan-SRC-DST)# Adreça IP Origen 10.10.10.1 |
| (config-mon-eRspan-src-dst)# erspan-id 100 |
Hora del missatge: 28-2024 d'agost
