SPAN, RSPAN è ERSPAN sò tecniche aduprate in rete per catturà è monitorà u trafficu per l'analisi. Eccu una breve panoramica di ognunu:
SPAN (Switched Port Analyzer)
Scopu: Adupratu per speculare u trafficu da porti specifichi o VLAN in un cambiamentu à un altru portu per u monitoraghju.
Casu d'usu: Ideale per l'analisi di u trafficu lucale nantu à un solu switch. U trafficu hè riflessu à un portu designatu induve un analizatore di rete pò catturà.
RSPAN (SPAN Remote)
Scopu: Estende e capacità SPAN in parechje switch in una reta.
Casu d'usu: Permette u monitoraghju di u trafficu da un cambiamentu à l'altru nantu à un ligame troncu. Utile per i scenarii induve u dispusitivu di monitoraghju hè situatu nantu à un altru switch.
ERSPAN (SPAN Remote Encapsulated)
Purpose: Unisce RSPAN cù GRE (Generic Routing Encapsulation) per incapsulà u trafficu mirrored.
Casu d'usu: Permette u monitoraghju di u trafficu à traversu e rete rotte. Questu hè utile in architetture di rete cumplesse induve u trafficu deve esse catturatu nantu à diversi segmenti.
Switch Port Analyzer (SPAN) hè un sistema di monitoraghju di u trafficu efficiente è di altu rendiment. Dirigisce o riflette u trafficu da un portu di fonte o VLAN à un portu di destinazione. Questu hè qualchì volta chjamatu monitoring di sessione. SPAN hè utilizatu per risolve i prublemi di cunnessione è calculà l'utilizazione di a rete è u rendiment, frà parechji altri. Ci sò trè tippi di SPAN supportati nantu à i prudutti Cisco ...
a. SPAN o SPAN locale.
b. SPAN remota (RSPAN).
c. SPAN remoto incapsulatu (ERSPAN).
Per sapè: "Mylinking™ Network Packet Broker cù Funzioni SPAN, RSPAN è ERSPAN"
SPAN / mirroring di trafficu / mirroring portu hè adupratu per parechji scopi, quì sottu include alcuni.
- Implementazione di IDS / IPS in modu promiscuous.
- Soluzioni di registrazione di chjama VOIP.
- Motivi di cunfurmità di sicurità per monitorà è analizà u trafficu.
- Risoluzione di prublemi di cunnessione, monitoraghju di u trafficu.
Indipendentemente da u tipu SPAN in esecuzione, a fonte SPAN pò esse qualsiasi tipu di portu, vale à dì un portu instradatu, un portu di switch fisicu, un portu d'accessu, un troncu, una VLAN (tutti i porti attivi sò monitorati da u switch), un EtherChannel (sia un portu o un portu sanu). -channel interfaces) etc. Nota chì un portu cunfiguratu per a destinazione SPAN ùn pò micca esse parti di una VLAN source SPAN.
E sessioni SPAN supportanu u monitoraghju di u trafficu di ingressu (ingress SPAN), u trafficu di egress (egress SPAN), o di u trafficu chì scorri in i dui sensi.
- Ingress SPAN (RX) copia u trafficu ricevutu da i porti d'origine è VLAN à u portu di destinazione. SPAN copia u trafficu prima di qualsiasi mudificazione (per esempiu, prima di qualsiasi filtru VACL o ACL, QoS o ingress or egress policies).
- Egress SPAN (TX) copia u trafficu trasmessu da i porti fonte è VLAN à u portu di destinazione. Tutti i filtri o mudificazione pertinenti da u filtru VACL o ACL, QoS o l'azzioni di pulizie di entrata o di uscita sò pigliati prima chì u cambiamentu trasmette u trafficu à u portu di destinazione SPAN.
- Quandu i dui chjave sò utilizati, SPAN copia u trafficu di a rete ricevutu è trasmessu da i porti d'origine è VLAN à u portu di destinazione.
- SPAN/RSPAN di solitu ignora i frames CDP, STP BPDU, VTP, DTP è PAgP. Tuttavia, questi tipi di trafficu ponu esse trasmessi se u cumandamentu di replicazione di l'encapsulazione hè cunfigurata.
SPAN o SPAN Local
SPAN riflette u trafficu da una o più interfaccia nantu à u switch à una o più interfacce nantu à u stessu switch; dunque SPAN hè soprattuttu chjamatu SPAN LOCAL.
Linee guida o restrizioni à SPAN lucale:
- Sia i porti cambiati di u Layer 2 sia i porti di u Layer 3 ponu esse cunfigurati cum'è porti d'origine o di destinazione.
- A fonte pò esse unu o più porti o una VLAN, ma micca una mistura di questi.
- I porti di u troncu sò porti d'urighjini validi mischiati cù porti di fonti chì ùn sò micca trunk.
- Finu à 64 porti di destinazione SPAN ponu esse cunfigurati nantu à un switch.
- Quandu cunfiguremu un portu di destinazione, a so cunfigurazione originale hè soprascritta. Se a cunfigurazione SPAN hè eliminata, a cunfigurazione originale in quellu portu hè restaurata.
- Quandu cunfigurà un portu di destinazione, u portu hè sguassatu da qualsiasi bundle EtherChannel s'ellu facia parte di unu. S'ellu si trattava di un portu di routed, a cunfigurazione di destinazione SPAN annulla a cunfigurazione di u portu di routed.
- I porti di destinazione ùn sustene micca a sicurità di u portu, l'autentificazione 802.1x, o VLAN privati.
- Un portu pò agisce cum'è u portu di destinazione per una sola sessione SPAN.
- Un portu ùn pò micca esse cunfiguratu cum'è un portu di destinazione s'ellu hè un portu d'origine di una sessione di span o parte di VLAN d'origine.
- L'interfacce di u canali portu (EtherChannel) ponu esse cunfigurati cum'è porti fonte ma micca un portu di destinazione per SPAN.
- A direzzione di u trafficu hè "i dui" per difettu per e fonti SPAN.
- I porti di destinazione ùn participanu mai à una istanza di spanning-tree. Ùn pò micca supportà DTP, CDP, etc. Local SPAN include BPDU in u trafficu monitoratu, cusì ogni BPDU vistu nantu à u portu di destinazione hè copiatu da u portu di u fonte. Per quessa, ùn cunnetta mai un switch à stu tipu di SPAN perchè puderia causà un ciclu di rete. Strumenti AI migliurà l'efficienza di u travagliu, èIA indetectableserviziu pò migliurà a qualità di i strumenti AI.
- Quandu VLAN hè cunfigurata cum'è fonte SPAN (principalmente chjamata VSPAN) cù l'opzioni di ingressu è di uscita cunfigurate, trasmette i pacchetti duplicati da u portu d'origine solu se i pacchetti sò cambiati in a stessa VLAN. Una copia di u pacchettu hè da u trafficu ingressu nantu à u portu di ingressu, è l'altra copia di u pacchettu hè da u trafficu di egress in u portu di egress.
- VSPAN monitoreghja solu u trafficu chì abbanduneghja o entra in i porti di Layer 2 in a VLAN.
SPAN à distanza (RSPAN)
Remote SPAN (RSPAN) hè simile à SPAN, ma supporta i porti d'origine, VLAN d'origine è i porti di destinazione in diversi switches, chì furnisce u trafficu di monitoraghju remotu da i porti d'origine distribuiti nantu à parechji switches è permette di destinazione centralizà i dispositi di cattura di rete. Ogni sessione RSPAN porta u trafficu SPAN nantu à una VLAN RSPAN dedicata specificata da l'utilizatore in tutti i switches participanti. Questa VLAN hè allora trunked à altri switches, chì permettenu u trafficu di sessione RSPAN per esse trasportatu à traversu multiple switches è mandatu à a stazione di cattura di destinazione. RSPAN hè custituitu da una sessione di fonte RSPAN, una VLAN RSPAN è una sessione di destinazione RSPAN.
Linee guida o restrizioni à RSPAN:
- Un VLAN specificu deve esse cunfiguratu per a destinazione SPAN chì traverserà i switches intermedii via ligami troncali versu u portu di destinazione.
- Pò creà u stessu tipu di fonte - almenu un portu o almenu una VLAN ma ùn pò micca esse u mischju.
- A destinazione per a sessione hè RSPAN VLAN piuttostu cà u portu unicu in u switch, cusì tutti i porti in RSPAN VLAN riceveranu u trafficu specchiu.
- Configurate qualsiasi VLAN cum'è una VLAN RSPAN sempre chì tutti i dispositi di rete participanti supportanu a cunfigurazione di VLAN RSPAN, è utilizate a stessa VLAN RSPAN per ogni sessione RSPAN
- VTP pò propagà a cunfigurazione di VLAN numerati da 1 à 1024 cum'è VLAN RSPAN, deve cunfigurà manualmente VLAN numerati più alti di 1024 cum'è VLAN RSPAN in tutti i dispositi di rete d'origine, intermediari è di destinazione.
- L'apprendimentu di l'indirizzu MAC hè disattivatu in a VLAN RSPAN.
SPAN remoto incapsulatu (ERSPAN)
Encapsulated remote SPAN (ERSPAN) porta l'encapsulazione di routing genericu (GRE) per tuttu u trafficu catturatu è li permette di estenderà in i domini di Layer 3.
ERSPAN hè aPruprietà di Ciscofunzione è hè dispunibule solu per e plataformi Catalyst 6500, 7600, Nexus è ASR 1000 finu à a data. L'ASR 1000 supporta a fonte ERSPAN (surveglianza) solu nantu à Fast Ethernet, Gigabit Ethernet è interfacce di canali portu.
Linee guida o restrizioni à ERSPAN:
- E sessioni di fonte ERSPAN ùn copianu micca u trafficu incapsulatu in ERSPAN GRE da i porti di fonte. Ogni sessione di fonte ERSPAN pò avè porti o VLAN cum'è fonti, ma micca i dui.
- Indipendentemente da ogni dimensione MTU cunfigurata, ERSPAN crea pacchetti di Layer 3 chì ponu esse finu à 9,202 bytes. U trafficu ERSPAN pò esse abbandunatu da qualsiasi interfaccia in a reta chì impone una dimensione MTU più chjuca di 9,202 bytes.
- ERSPAN ùn sustene micca a frammentazione di pacchetti. U bit "ùn frammentà" hè stabilitu in l'intestazione IP di i pacchetti ERSPAN. E sessioni di destinazione ERSPAN ùn ponu micca riunisce i pacchetti ERSPAN frammentati.
- L'ID ERSPAN distingue u trafficu ERSPAN chì arriva à u stessu indirizzu IP di destinazione da diverse sessioni di fonte ERSPAN diverse; L'ID ERSPAN cunfigurata deve currisponde à i dispositi fonte è di destinazione.
- Per un portu d'origine o una VLAN d'origine, l'ERSPAN pò monitorà l'ingressu, l'egressu, o tramindui u trafficu di entrata è di uscita. Per automaticamente, ERSPAN monitoreghja tuttu u trafficu, cumpresi i frames multicast è Bridge Protocol Data Unit (BPDU).
- L'interfaccia di tunnel supportata cum'è porti fonte per una sessione di fonte ERSPAN sò GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) è Secure Virtual Tunnel Interfaces (SVTI).
- L'opzione VLAN di filtru ùn hè micca funziunale in una sessione di monitoraghju ERSPAN nantu à interfacce WAN.
- ERSPAN nantu à i Router Cisco ASR 1000 Series supporta solu interfacce Layer 3. L'interfacce Ethernet ùn sò micca supportate in ERSPAN quandu cunfigurate cum'è interfacce Layer 2.
- Quandu una sessione hè cunfigurata attraversu a CLI di cunfigurazione ERSPAN, l'ID di sessione è u tipu di sessione ùn pò micca esse cambiatu. Per cambià, prima deve aduprà a forma senza di u cumandimu di cunfigurazione per sguassà a sessione è poi cunfigurà a sessione.
- Cisco IOS XE Release 3.4S : - U monitoraghju di i pacchetti di tunnel chì ùn sò micca protetti da IPsec hè supportatu nantu à l'interfacce di tunnel IPv6 è IPv6 sopra IP solu per e sessioni di fonte ERSPAN, micca per e sessioni di destinazione ERSPAN.
- Cisco IOS XE Release 3.5S, u supportu hè statu aghjuntu per i seguenti tipi di interfacce WAN cum'è porti fonte per una sessione fonte: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) è Multilink PPP (multilink, pos, e serial keywords sò stati aghjuntu à u cumandamentu di l'interfaccia di fonte).
Utilizà ERSPAN cum'è SPAN Local:
Per utilizà ERSPAN per monitorà u trafficu attraversu unu o più porti o VLAN in u stessu dispositivu, duvemu avè da creà una surgente ERSPAN è e sessioni di destinazione ERSPAN in u stessu dispositivu, u flussu di dati si svolge in u router, chì hè simile à quellu in SPAN lucale.
I seguenti fatturi sò applicabili mentre utilizate ERSPAN cum'è SPAN locale:
- E duie sessioni anu u stessu ID ERSPAN.
- E duie sessioni anu u stessu indirizzu IP. Questu indirizzu IP hè l'indirizzu IP propiu di u router; vale à dì, l'indirizzu IP di loopback o l'indirizzu IP cunfiguratu in ogni portu.
| (config) # monitor session 10 type erspan-source |
| (config-mon-erspan-src) # interfaccia fonte Gig0/0/0 |
| (config-mon-erspan-src) # destinazione |
| (config-mon-erspan-src-dst) # indirizzu IP 10.10.10.1 |
| (config-mon-erspan-src-dst) # indirizzu IP d'origine 10.10.10.1 |
| (config-mon-erspan-src-dst) # erspan-id 100 |
Tempu di Postu: Aug-28-2024
