SPAN, RSPAN, è ERSPAN sò tecniche aduprate in rete per catturà è monitorà u trafficu per l'analisi. Eccu una breve panoramica di ognuna:
SPAN (Analizzatore di Porte Commutate)
Scopu: Adupratu per riflettà u trafficu da porti specifici o VLAN nantu à un switch à un altru portu per u monitoraghju.
Casu d'usu: Ideale per l'analisi di u trafficu lucale nantu à un unicu switch. U trafficu hè specchiatu versu un portu designatu induve un analizzatore di rete pò catturallu.
RSPAN (SPAN Remotu)
Scopu: Estende e capacità SPAN à traversu parechji switch in una rete.
Casu d'usu: Permette u monitoraghju di u trafficu da un switch à l'altru via un ligame trunk. Utile per scenarii induve u dispusitivu di monitoraghju si trova nantu à un switch differente.
ERSPAN (SPAN Remotu Incapsulatu)
Scopu: Combina RSPAN cù GRE (Generic Routing Encapsulation) per incapsulà u trafficu speculare.
Casu d'usu: Permette u monitoraghju di u trafficu attraversu e rete instradate. Questu hè utile in architetture di rete cumplesse induve u trafficu deve esse catturatu annantu à diversi segmenti.
Switch port Analyzer (SPAN) hè un sistema di monitoraghju di u trafficu efficiente è d'altu rendimentu. Dirige o riflette u trafficu da un portu d'origine o VLAN à un portu di destinazione. Questu hè qualchì volta chjamatu monitoraghju di sessione. SPAN hè adupratu per risolve i prublemi di cunnessione è calculà l'utilizazione è e prestazioni di a rete, frà parechji altri. Ci sò trè tippi di SPAN supportati nantu à i prudutti Cisco...
a. SPAN o SPAN lucale.
b. SPAN remotu (RSPAN).
c. SPAN remotu incapsulatu (ERSPAN).
Per sapè: "Mylinking™ Network Packet Broker cù Funzioni SPAN, RSPAN è ERSPAN"
SPAN / traffic mirroring / port mirroring hè adupratu per parechji scopi, quì sottu ne include alcuni.
- Implementazione di IDS/IPS in modu promiscuu.
- Soluzioni di registrazione di chjamate VOIP.
- Ragioni di cunfurmità di sicurezza per monitorà è analizà u trafficu.
- Risoluzione di prublemi di cunnessione, monitoraghju di u trafficu.
Indipendentemente da u tipu SPAN in esecuzione, a fonte SPAN pò esse qualsiasi tipu di portu, vale à dì un portu instradatu, un portu di switch fisicu, un portu d'accessu, un trunk, una VLAN (tutti i porti attivi sò monitorati da u switch), un EtherChannel (sia un portu sia intere interfacce portu-canale) ecc. Nutate bè chì un portu cunfiguratu per a destinazione SPAN ÙN PÒ fà parte di una VLAN fonte SPAN.
E sessioni SPAN supportanu u monitoraghju di u trafficu d'entrata (SPAN d'entrata), di u trafficu d'uscita (SPAN d'uscita), o di u trafficu chì scorre in e duie direzzione.
- Ingress SPAN (RX) copia u trafficu ricevutu da i porti surghjenti è e VLAN à u portu di destinazione. SPAN copia u trafficu prima di qualsiasi mudificazione (per esempiu prima di qualsiasi filtru VACL o ACL, QoS o cuntrollu di ingressu o uscita).
- U SPAN in uscita (TX) copia u trafficu trasmessu da i porti di fonte è e VLAN à u portu di destinazione. Tutte l'azzioni di filtrazione o mudificazione pertinenti da u filtru VACL o ACL, QoS o di pulizza in entrata o in uscita sò prese prima chì u switch trasmetti u trafficu à u portu di destinazione SPAN.
Quandu a parola chjave both hè aduprata, SPAN copia u trafficu di rete ricevutu è trasmessu da i porti di fonte è e VLAN à u portu di destinazione.
- SPAN/RSPAN ignora di solitu i frame CDP, STP BPDU, VTP, DTP è PAgP. Tuttavia, questi tipi di trafficu ponu esse trasmessi se u cumandamentu di replicazione di encapsulazione hè cunfiguratu.
SPAN o SPAN lucale
SPAN riflette u trafficu da una o più interfacce nantu à u switch à una o più interfacce nantu à u listessu switch; dunque SPAN hè soprattuttu chjamatu LOCAL SPAN.
Linee guida o restrizioni à u SPAN lucale:
- Sia i porti di cummutazione di Layer 2 sia i porti di Layer 3 ponu esse cunfigurati cum'è porti di fonte o di destinazione.
- A surghjente pò esse unu o più porti o una VLAN, ma micca una mistura di questi.
- I porti di trunk sò porti di fonte validi mischiati cù porti di fonte micca di trunk.
Finu à 64 porti di destinazione SPAN ponu esse cunfigurati nantu à un switch.
- Quandu cunfiguremu un portu di destinazione, a so cunfigurazione originale hè sovrascritta. Se a cunfigurazione SPAN hè eliminata, a cunfigurazione originale di quellu portu hè restaurata.
- Quandu si cunfigura un portu di destinazione, u portu hè eliminatu da qualsiasi fasciu EtherChannel s'ellu ne facia parte. S'ellu era un portu instradatu, a cunfigurazione di destinazione SPAN hà a precedenza nantu à a cunfigurazione di u portu instradatu.
- I porti di destinazione ùn supportanu micca a sicurità di i porti, l'autenticazione 802.1x, o e VLAN private.
Un portu pò agisce cum'è portu di destinazione per una sola sessione SPAN.
- Un portu ùn pò esse cunfiguratu cum'è un portu di destinazione s'ellu hè un portu surghjente di una sessione span o parte di a VLAN surghjente.
- L'interfacce di u canale di portu (EtherChannel) ponu esse cunfigurate cum'è porti di fonte ma micca cum'è portu di destinazione per SPAN.
- A direzzione di u trafficu hè "tramindui" per difettu per e fonti SPAN.
- I porti di destinazione ùn participanu mai à una istanza spanning-tree. Ùn pò micca supportà DTP, CDP ecc. U SPAN lucale include BPDU in u trafficu monitoratu, dunque qualsiasi BPDU vistu nantu à u portu di destinazione hè copiatu da u portu surghjente. Dunque, ùn cunnette mai un switch à questu tipu di SPAN perchè puderia causà un loop di rete. L'arnesi di IA migliuraranu l'efficienza di u travagliu, èIA indetectabileU serviziu pò migliurà a qualità di l'arnesi di l'IA.
- Quandu VLAN hè cunfiguratu cum'è fonte SPAN (chjamata soprattuttu VSPAN) cù l'opzioni d'ingressu è d'uscita cunfigurate, trasmette i pacchetti duplicati da u portu d'origine solu s'è i pacchetti sò scambiati in u listessu VLAN. Una copia di u pacchettu hè da u trafficu d'ingressu nantu à u portu d'ingressu, è l'altra copia di u pacchettu hè da u trafficu d'uscita nantu à u portu d'uscita.
VSPAN surveglia solu u trafficu chì esce o entra da i porti di Layer 2 in a VLAN.
SPAN à distanza (RSPAN)
SPAN Remotu (RSPAN) hè simile à SPAN, ma supporta i porti di origine, e VLAN di origine è i porti di destinazione nantu à diversi switch, chì furniscenu un trafficu di monitoraghju remotu da i porti di origine distribuiti nantu à parechji switch è permettenu à a destinazione di centralizà i dispositivi di cattura di rete. Ogni sessione RSPAN porta u trafficu SPAN nantu à una VLAN RSPAN dedicata specificata da l'utente in tutti i switch partecipanti. Questa VLAN hè poi trunked à altri switch, permettendu à u trafficu di sessione RSPAN di esse trasportatu nantu à parechji switch è mandatu à a stazione di cattura di destinazione. RSPAN hè custituitu da una sessione di origine RSPAN, una VLAN RSPAN è una sessione di destinazione RSPAN.
Linee guida o restrizioni à RSPAN:
- Una VLAN specifica deve esse cunfigurata per a destinazione SPAN chì attraverserà i switch intermedi via i ligami trunk versu u portu di destinazione.
- Pò creà u listessu tipu di fonte - almenu un portu o almenu una VLAN, ma ùn pò esse a mistura.
- A destinazione di a sessione hè RSPAN VLAN piuttostu chè u portu unicu in u switch, dunque tutti i porti in RSPAN VLAN riceveranu u trafficu speculare.
- Cunfigurà qualsiasi VLAN cum'è una VLAN RSPAN fintantu chì tutti i dispusitivi di rete participanti supportanu a cunfigurazione di VLAN RSPAN, è aduprà a stessa VLAN RSPAN per ogni sessione RSPAN
- VTP pò propagà a cunfigurazione di e VLAN numerate da 1 à 1024 cum'è VLAN RSPAN, deve cunfigurà manualmente e VLAN numerate più alte di 1024 cum'è VLAN RSPAN nantu à tutti i dispositivi di rete di origine, intermedi è di destinazione.
- L'apprendimentu di l'indirizzu MAC hè disattivatu in a VLAN RSPAN.
SPAN remotu incapsulatu (ERSPAN)
U SPAN remotu encapsulatu (ERSPAN) porta l'incapsulazione di routing genericu (GRE) per tuttu u trafficu catturatu è permette di estendelu à traversu i duminii di Layer 3.
ERSPAN hè unPruprietariu di Ciscofunzione è hè dispunibule solu per e piattaforme Catalyst 6500, 7600, Nexus è ASR 1000 finu à oghje. L'ASR 1000 supporta a fonte ERSPAN (monitorizazione) solu nantu à l'interfacce Fast Ethernet, Gigabit Ethernet è portu-canale.
Linee guida o restrizioni per ERSPAN:
- E sessioni surghjente ERSPAN ùn copianu micca u trafficu incapsulatu in GRE ERSPAN da i porti surghjente. Ogni sessione surghjente ERSPAN pò avè porti o VLAN cum'è surghjente, ma micca tramindui.
- Indipendentemente da qualsiasi dimensione MTU cunfigurata, ERSPAN crea pacchetti di Layer 3 chì ponu esse longhi finu à 9.202 byte. U trafficu ERSPAN puderia esse abbandunatu da qualsiasi interfaccia in a rete chì impone una dimensione MTU più chjuca di 9.202 byte.
- ERSPAN ùn supporta micca a frammentazione di i pacchetti. U bit "ùn frammentà micca" hè impostu in l'intestazione IP di i pacchetti ERSPAN. E sessioni di destinazione ERSPAN ùn ponu micca riassemblà i pacchetti ERSPAN frammentati.
- L'ID ERSPAN distingue u trafficu ERSPAN chì ghjunghje à u listessu indirizzu IP di destinazione da diverse sessioni di fonte ERSPAN; l'ID ERSPAN cunfiguratu deve currisponde nantu à i dispusitivi di fonte è di destinazione.
- Per un portu d'origine o una VLAN d'origine, l'ERSPAN pò monitorà u trafficu d'entrata, d'uscita, o sia d'entrata sia d'uscita. Per difettu, ERSPAN monitorizza tuttu u trafficu, cumpresi i frame multicast è Bridge Protocol Data Unit (BPDU).
- L'interfaccia di tunnel supportata cum'è porte surghjente per una sessione surghjente ERSPAN sò GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) è Secure Virtual Tunnel Interfaces (SVTI).
- L'opzione di filtru VLAN ùn hè micca funzionale in una sessione di monitoraghju ERSPAN nantu à l'interfacce WAN.
- ERSPAN nantu à i router Cisco ASR serie 1000 supporta solu l'interfacce di livellu 3. L'interfacce Ethernet ùn sò micca supportate nantu à ERSPAN quandu sò cunfigurate cum'è interfacce di livellu 2.
- Quandu una sessione hè cunfigurata per mezu di l'interfaccia di linea di cunfigurazione ERSPAN, l'ID di sessione è u tipu di sessione ùn ponu esse cambiati. Per cambialli, duvete prima aduprà a forma no di u cumandamentu di cunfigurazione per rimuovere a sessione è dopu riconfigurà a sessione.
- Cisco IOS XE versione 3.4S :- U monitoraghju di i pacchetti di tunnel senza prutezzione IPsec hè supportatu nantu à l'interfacce di tunnel IPv6 è IPv6 nantu à IP solu per e sessioni di fonte ERSPAN, micca per e sessioni di destinazione ERSPAN.
- Cisco IOS XE versione 3.5S, hè statu aghjuntu u supportu per i seguenti tipi d'interfacce WAN cum'è porte surghjente per una sessione surghjente: Seriale (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) è Multilink PPP (e parolle chjave multilink, pos è serial sò state aghjunte à u cumandamentu di l'interfaccia surghjente).
Utilizendu ERSPAN cum'è SPAN lucale:
Per aduprà ERSPAN per monitorà u trafficu attraversu unu o più porti o VLAN in u listessu dispusitivu, ci vole à creà una surgente ERSPAN è una sessione di destinazione ERSPAN in u listessu dispusitivu, u flussu di dati si faci in u router, chì hè simile à quellu in u SPAN lucale.
I seguenti fattori sò applicabili quandu si usa ERSPAN cum'è SPAN lucale:
- E duie sessioni anu u listessu ID ERSPAN.
- E duie sessioni anu u listessu indirizzu IP. Questu indirizzu IP hè l'indirizzu IP di u router stessu; vale à dì, l'indirizzu IP di loopback o l'indirizzu IP cunfiguratu nantu à qualsiasi portu.
| (config)# monitor session 10 tipu erspan-source |
| (config-mon-erspan-src)# interfaccia surghjente Gig0/0/0 |
| (config-mon-erspan-src)# destinazione |
| (config-mon-erspan-src-dst)# indirizzu IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# indirizzu IP d'origine 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Data di publicazione: 28 d'aostu 2024
