English

Capisce SPAN, RSPAN è ERSPAN: Tecniche per u Monitoraghju di u Traffic Network

SPAN, RSPAN è ERSPANsò tecniche aduprate in rete per catturà è monitorà u trafficu per l'analisi. Eccu una breve panoramica di ognunu:

SPAN (Switched Port Analyzer)

Scopu: Adupratu per speculare u trafficu da porti specifichi o VLAN in un cambiamentu à un altru portu per u monitoraghju.

Casu d'usu: Ideale per l'analisi di u trafficu lucale nantu à un solu switch. U trafficu hè riflessu à un portu designatu induve un analizatore di rete pò catturà.

RSPAN (SPAN Remote)

Scopu: Estende e capacità SPAN in parechje switch in una reta.

Casu d'usu: Permette u monitoraghju di u trafficu da un cambiamentu à l'altru nantu à un ligame troncu. Utile per i scenarii induve u dispusitivu di monitoraghju hè situatu nantu à un altru switch.

ERSPAN (SPAN Remote Encapsulated)

Purpose: Unisce RSPAN cù GRE (Generic Routing Encapsulation) per incapsulà u trafficu mirrored.

Casu d'usu: Permette u monitoraghju di u trafficu à traversu e rete rotte. Questu hè utile in architetture di rete cumplesse induve u trafficu deve esse catturatu nantu à diversi segmenti.

Analizzatore di portu di cambià (SPAN)hè un sistema di surviglianza di trafficu efficiente è d'altu rendiment. Dirigisce o riflette u trafficu da un portu di fonte o VLAN à un portu di destinazione. Questu hè qualchì volta chjamatu monitoring di sessione. SPAN hè utilizatu per risolve i prublemi di cunnessione è calculà l'utilizazione di a rete è u rendiment, frà parechji altri. Ci sò trè tippi di SPAN supportati nantu à i prudutti Cisco ...

a. SPAN o SPAN locale.

b. SPAN remota (RSPAN).

c. SPAN remoto incapsulatu (ERSPAN).

Per sapè: "Mylinking™ Network Packet Broker cù Funzioni SPAN, RSPAN è ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / mirroring di trafficu / mirroring portu hè adupratu per parechji scopi, quì sottu include alcuni.

- Implementazione di IDS / IPS in modu promiscuous.

- Soluzioni di registrazione di chjama VOIP.

- Motivi di cunfurmità di sicurità per monitorà è analizà u trafficu.

- Risoluzione di prublemi di cunnessione, monitoraghju di u trafficu.

Indipendentemente da u tipu SPAN in esecuzione, a fonte SPAN pò esse qualsiasi tipu di portu, vale à dì un portu instradatu, un portu di switch fisicu, un portu d'accessu, un troncu, una VLAN (tutti i porti attivi sò monitorati da u switch), un EtherChannel (sia un portu o un portu sanu). -channel interfaces) etc. Nota chì un portu cunfiguratu per a destinazione SPAN ùn pò micca esse parti di una VLAN source SPAN.

E sessioni SPAN supportanu u monitoraghju di u trafficu di ingressu (ingress SPAN), u trafficu di egress (egress SPAN), o di u trafficu chì scorri in i dui sensi.

- Ingress SPAN (RX) copia u trafficu ricevutu da i porti d'origine è VLAN à u portu di destinazione. SPAN copia u trafficu prima di qualsiasi mudificazione (per esempiu, prima di qualsiasi filtru VACL o ACL, QoS o ingress or egress policies).

- Egress SPAN (TX) copia u trafficu trasmessu da i porti fonte è VLAN à u portu di destinazione. Tutti i filtri o mudificazione pertinenti da u filtru VACL o ACL, QoS o l'azzioni di pulizie di entrata o di uscita sò pigliati prima chì u cambiamentu trasmette u trafficu à u portu di destinazione SPAN.

- Quandu i dui chjave sò utilizati, SPAN copia u trafficu di a rete ricevutu è trasmessu da i porti d'origine è VLAN à u portu di destinazione.

- SPAN/RSPAN di solitu ignora i frames CDP, STP BPDU, VTP, DTP è PAgP. Tuttavia, questi tipi di trafficu ponu esse trasmessi se u cumandamentu di replicazione di l'encapsulazione hè cunfigurata.

SPAN o SPAN Local

SPAN riflette u trafficu da una o più interfaccia nantu à u switch à una o più interfacce nantu à u stessu switch; dunque SPAN hè soprattuttu chjamatu SPAN LOCAL.

Linee guida o restrizioni à SPAN lucale:

- Sia i porti cambiati di Layer 2 sia i porti di Layer 3 ponu esse cunfigurati cum'è porti d'origine o di destinazione.

- A fonte pò esse unu o più porti o una VLAN, ma micca una mistura di questi.

- I porti di u troncu sò porti d'urighjini validi mischiati cù porti di fonti chì ùn sò micca trunk.

- Finu à 64 porti di destinazione SPAN ponu esse cunfigurati nantu à un switch.

- Quandu cunfiguremu un portu di destinazione, a so cunfigurazione originale hè soprascritta. Se a cunfigurazione SPAN hè eliminata, a cunfigurazione originale in quellu portu hè restaurata.

- Quandu cunfigurà un portu di destinazione, u portu hè sguassatu da qualsiasi bundle EtherChannel s'ellu facia parte di unu. S'ellu si trattava di un portu di routed, a cunfigurazione di destinazione SPAN annulla a cunfigurazione di u portu di routed.

- I porti di destinazione ùn sustene micca a sicurità di u portu, l'autentificazione 802.1x, o VLAN privati.

- Un portu pò agisce cum'è u portu di destinazione per una sola sessione SPAN.

- Un portu ùn pò micca esse cunfiguratu cum'è un portu di destinazione s'ellu hè un portu fonte di una sessione span o parte di VLAN fonte.

- L'interfacce di u canali portu (EtherChannel) ponu esse cunfigurati cum'è porti fonte ma micca un portu di destinazione per SPAN.

- A direzzione di u trafficu hè "i dui" per difettu per e fonti SPAN.

- I porti di destinazione ùn participanu mai à una istanza di spanning-tree. Ùn pò micca supportà DTP, CDP, etc. Local SPAN include BPDU in u trafficu monitoratu, cusì ogni BPDU vistu nantu à u portu di destinazione hè copiatu da u portu di u fonte. Per quessa, ùn cunnetta mai un switch à stu tipu di SPAN perchè puderia causà un ciclu di rete.

- Quandu VLAN hè cunfigurata cum'è fonte SPAN (principalmente chjamata VSPAN) cù l'opzioni di ingressu è di uscita cunfigurate, trasmette i pacchetti duplicati da u portu d'origine solu se i pacchetti sò cambiati in a stessa VLAN. Una copia di u pacchettu hè da u trafficu ingressu nantu à u portu di ingressu, è l'altra copia di u pacchettu hè da u trafficu di egress in u portu di egress.

- VSPAN monitoreghja solu u trafficu chì abbanduneghja o entra in i porti di Layer 2 in a VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN è ERSPAN sò tecniche aduprate in rete per catturà è monitorà u trafficu per l'analisi. Eccu una breve panoramica di ognunu:

SPAN (Switched Port Analyzer)

  • Scopu: Adupratu per speculare u trafficu da porti specifichi o VLAN in un switch à un altru portu per u monitoraghju.
  • Casu d'usu: Ideale per l'analisi di u trafficu lucale nantu à un solu switch. U trafficu hè riflessu à un portu designatu induve un analizatore di rete pò catturà.

RSPAN (SPAN Remote)

  • Scopu: Estende e capacità SPAN in parechje switch in una reta.
  • Casu d'usu: Permette u monitoraghju di u trafficu da un cambiamentu à l'altru nantu à un ligame troncu. Utile per i scenarii induve u dispusitivu di monitoraghju hè situatu nantu à un altru switch.

ERSPAN (SPAN Remote Encapsulated)

  • Scopu: Unisce RSPAN cù GRE (Generic Routing Encapsulation) per incapsulà u trafficu mirrored.
  • Casu d'usu: Permette u monitoraghju di u trafficu à traversu e rete rotte. Questu hè utile in architetture di rete cumplesse induve u trafficu deve esse catturatu nantu à diversi segmenti.

SPAN à distanza (RSPAN)

Remote SPAN (RSPAN) hè simile à SPAN, ma supporta i porti d'origine, VLAN d'origine è i porti di destinazione in diversi switches, chì furnisce u trafficu di monitoraghju remotu da i porti d'origine distribuiti nantu à parechji switches è permette di destinazione centralizà i dispositi di cattura di rete. Ogni sessione RSPAN porta u trafficu SPAN nantu à una VLAN RSPAN dedicata specificata da l'utilizatore in tutti i switches participanti. Questa VLAN hè allora trunked à altri switches, chì permettenu u trafficu di sessione RSPAN per esse trasportatu à traversu multiple switches è mandatu à a stazione di cattura di destinazione. RSPAN hè custituitu da una sessione di fonte RSPAN, una VLAN RSPAN è una sessione di destinazione RSPAN.

Linee guida o restrizioni à RSPAN:

- Un VLAN specificu deve esse cunfiguratu per a destinazione SPAN chì traverserà i switches intermedii via ligami troncali versu u portu di destinazione.

- Pò creà u stessu tipu di fonte - almenu un portu o almenu una VLAN ma ùn pò micca esse u mischju.

- A destinazione per a sessione hè RSPAN VLAN piuttostu cà u portu unicu in u switch, cusì tutti i porti in RSPAN VLAN riceveranu u trafficu specchiu.

- Configurate qualsiasi VLAN cum'è una VLAN RSPAN sempre chì tutti i dispositi di rete participanti supportanu a cunfigurazione di VLAN RSPAN, è utilizate a stessa VLAN RSPAN per ogni sessione RSPAN

- VTP pò propagà a cunfigurazione di VLAN numerati da 1 à 1024 cum'è VLAN RSPAN, deve cunfigurà manualmente VLAN numerati più alti di 1024 cum'è VLAN RSPAN in tutti i dispositi di rete d'origine, intermediari è di destinazione.

- L'apprendimentu di l'indirizzu MAC hè disattivatu in a VLAN RSPAN.

SPAN, RSPAN, ERSPAN 2

SPAN remoto incapsulatu (ERSPAN)

Encapsulated remote SPAN (ERSPAN) porta l'encapsulazione di routing genericu (GRE) per tuttu u trafficu catturatu è li permette di estenderà in i domini di Layer 3.

ERSPAN hè aPruprietà di Ciscofunzione è hè dispunibule solu per e plataformi Catalyst 6500, 7600, Nexus è ASR 1000 finu à a data. L'ASR 1000 supporta a fonte ERSPAN (surveglianza) solu nantu à Fast Ethernet, Gigabit Ethernet è interfacce di canali portu.

Linee guida o restrizioni à ERSPAN:

- E sessioni di fonte ERSPAN ùn copianu micca u trafficu incapsulatu in ERSPAN GRE da i porti di fonte. Ogni sessione di fonte ERSPAN pò avè porti o VLAN cum'è fonti, ma micca i dui.

- Indipendentemente da ogni dimensione MTU cunfigurata, ERSPAN crea pacchetti di Layer 3 chì ponu esse finu à 9,202 bytes. U trafficu ERSPAN pò esse abbandunatu da qualsiasi interfaccia in a reta chì impone una dimensione MTU più chjuca di 9,202 bytes.

- ERSPAN ùn sustene micca a frammentazione di pacchetti. U bit "ùn frammentà" hè stabilitu in l'intestazione IP di i pacchetti ERSPAN. E sessioni di destinazione ERSPAN ùn ponu micca riunisce i pacchetti ERSPAN frammentati.

- L'ID ERSPAN distingue u trafficu ERSPAN chì arriva à u stessu indirizzu IP di destinazione da diverse sessioni di fonte ERSPAN diverse; L'ID ERSPAN cunfigurata deve currisponde à i dispositi fonte è di destinazione.

- Per un portu d'origine o una VLAN d'origine, l'ERSPAN pò monitorà l'ingressu, l'egressu, o tramindui u trafficu di entrata è di uscita. Per automaticamente, ERSPAN monitoreghja tuttu u trafficu, cumpresi i frames multicast è Bridge Protocol Data Unit (BPDU).

- L'interfaccia di tunnel supportata cum'è porti fonte per una sessione di fonte ERSPAN sò GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) è Secure Virtual Tunnel Interfaces (SVTI).

- L'opzione VLAN di filtru ùn hè micca funziunale in una sessione di monitoraghju ERSPAN nantu à interfacce WAN.

- ERSPAN nantu à i Router Cisco ASR 1000 Series supporta solu interfacce Layer 3. L'interfacce Ethernet ùn sò micca supportate in ERSPAN quandu cunfigurate cum'è interfacce Layer 2.

- Quandu una sessione hè cunfigurata attraversu a CLI di cunfigurazione ERSPAN, l'ID di sessione è u tipu di sessione ùn pò micca esse cambiatu. Per cambià, prima deve aduprà a forma senza di u cumandimu di cunfigurazione per sguassà a sessione è poi cunfigurà a sessione.

- Cisco IOS XE Release 3.4S : - U monitoraghju di i pacchetti di tunnel chì ùn sò micca protetti da IPsec hè supportatu nantu à l'interfacce di tunnel IPv6 è IPv6 sopra IP solu per e sessioni di fonte ERSPAN, micca per e sessioni di destinazione ERSPAN.

- Cisco IOS XE Release 3.5S, u supportu hè statu aghjuntu per i seguenti tipi di interfacce WAN cum'è porti fonte per una sessione fonte: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) è Multilink PPP (multilink, pos, è e parolle chjave seriali sò state aghjunte à u cumandamentu di l'interfaccia di fonte).

SPAN, RSPAN, ERSPAN 3

Utilizà ERSPAN cum'è SPAN Local:

Per utilizà ERSPAN per monitorà u trafficu attraversu unu o più porti o VLAN in u stessu dispositivu, duvemu avè da creà una surgente ERSPAN è e sessioni di destinazione ERSPAN in u stessu dispositivu, u flussu di dati si svolge in u router, chì hè simile à quellu in SPAN lucale.

I seguenti fatturi sò applicabili mentre utilizate ERSPAN cum'è SPAN locale:

- E duie sessioni anu u stessu ID ERSPAN.

- E duie sessioni anu u stessu indirizzu IP. Questu indirizzu IP hè l'indirizzu IP propiu di u router; vale à dì, l'indirizzu IP di loopback o l'indirizzu IP cunfiguratu in ogni portu.

(config) # monitor session 10 type erspan-source
(config-mon-erspan-src) # interfaccia fonte Gig0/0/0
(config-mon-erspan-src) # destinazione
(config-mon-erspan-src-dst) # indirizzu IP 10.10.10.1
(config-mon-erspan-src-dst) # indirizzu IP d'origine 10.10.10.1
(config-mon-erspan-src-dst) # erspan-id 100

SPAN, RSPAN, ERSPAN 4

Tempu di Postu: Aug-28-2024
Preme Enter per circà o ESC per chjude