SPAN, RSPAN и ERSPAN — это методы, используемые в сети для захвата и мониторинга трафика для анализа. Вот краткий обзор каждого:
SPAN (анализатор коммутируемых портов)
Назначение: используется для зеркалирования трафика с определенных портов или сетей VLAN коммутатора на другой порт для мониторинга.
Вариант использования: идеально подходит для анализа локального трафика на одном коммутаторе. Трафик зеркалируется на назначенный порт, где сетевой анализатор может его перехватить.
RSPAN (удаленный SPAN)
Цель: Расширяет возможности SPAN на несколько коммутаторов в сети.
Вариант использования: позволяет отслеживать трафик от одного коммутатора к другому по магистральному каналу. Полезно для сценариев, когда устройство мониторинга расположено на другом коммутаторе.
ERSPAN (инкапсулированный удаленный SPAN)
Цель: объединяет RSPAN с GRE (общая инкапсуляция маршрутизации) для инкапсуляции зеркального трафика.
Вариант использования: позволяет отслеживать трафик в маршрутизируемых сетях. Это полезно в сложных сетевых архитектурах, где необходимо захватывать трафик в разных сегментах.
Анализатор портов коммутатора (SPAN) — это эффективная и высокопроизводительная система мониторинга трафика. Он направляет или зеркалирует трафик из исходного порта или VLAN в порт назначения. Иногда это называют мониторингом сеанса. SPAN используется, среди прочего, для устранения проблем с подключением, расчета использования и производительности сети. В продуктах Cisco поддерживаются три типа SPAN…
а. SPAN или локальный SPAN.
б. Удаленный SPAN (RSPAN).
в. Инкапсулированный удаленный SPAN (ERSPAN).
Знать: "Брокер сетевых пакетов Mylinking™ с функциями SPAN, RSPAN и ERSPAN"
SPAN/зеркалирование трафика/зеркалирование портов используется для многих целей, некоторые из них приведены ниже.
- Реализация IDS/IPS в беспорядочном режиме.
- Решения для записи VOIP-звонков.
- Причины соблюдения требований безопасности для мониторинга и анализа трафика.
- Устранение проблем с подключением, мониторинг трафика.
Независимо от используемого типа SPAN, источником SPAN может быть порт любого типа, т. е. маршрутизируемый порт, порт физического коммутатора, порт доступа, магистраль, VLAN (все активные порты коммутатора контролируются), EtherChannel (либо порт, либо весь порт). -канальные интерфейсы) и т. д. Обратите внимание, что порт, настроенный для назначения SPAN, НЕ МОЖЕТ быть частью исходной VLAN SPAN.
Сеансы SPAN поддерживают мониторинг входящего трафика (входящий SPAN), исходящего трафика (исходящий SPAN) или трафика, проходящего в обоих направлениях.
- Ingress SPAN (RX) копирует трафик, полученный исходными портами и сетями VLAN, в порт назначения. SPAN копирует трафик перед любым изменением (например, перед любым фильтром VACL или ACL, QoS или политикой входящего или исходящего трафика).
— Выходной SPAN (TX) копирует трафик, передаваемый из исходных портов и VLAN, в порт назначения. Вся соответствующая фильтрация или модификация с помощью фильтра VACL или ACL, QoS или действий по входящему или исходящему контролю выполняются до того, как коммутатор перенаправит трафик на порт назначения SPAN.
- При использовании ключевого слова Both SPAN копирует сетевой трафик, полученный и переданный исходными портами и виртуальными локальными сетями, в порт назначения.
- SPAN/RSPAN обычно игнорирует кадры CDP, STP BPDU, VTP, DTP и PAgP. Однако эти типы трафика можно пересылать, если настроена команда репликации инкапсуляции.
SPAN или локальный SPAN
SPAN зеркально отображает трафик от одного или нескольких интерфейсов коммутатора к одному или нескольким интерфейсам того же коммутатора; следовательно, SPAN чаще всего называют LOCAL SPAN.
Рекомендации или ограничения для локального SPAN:
- Коммутируемые порты уровня 2 и порты уровня 3 могут быть настроены как порты источника или назначения.
- Источником может быть один или несколько портов или VLAN, но не их сочетание.
— Магистральные порты — это допустимые исходные порты, смешанные с немагистральными исходными портами.
- На коммутаторе можно настроить до 64 портов назначения SPAN.
— Когда мы настраиваем порт назначения, его исходная конфигурация перезаписывается. Если конфигурация SPAN удалена, исходная конфигурация этого порта восстанавливается.
— При настройке порта назначения порт удаляется из любого пакета EtherChannel, если он был его частью. Если бы это был маршрутизируемый порт, конфигурация назначения SPAN переопределяет конфигурацию маршрутизируемого порта.
— Порты назначения не поддерживают безопасность портов, аутентификацию 802.1x или частные VLAN.
- Порт может выступать в качестве порта назначения только для одного сеанса SPAN.
— Порт нельзя настроить как порт назначения, если он является исходным портом сеанса Span или частью исходной VLAN.
- Интерфейсы канала порта (EtherChannel) можно настроить как порты источника, но не как порт назначения для SPAN.
- Для источников SPAN по умолчанию установлено направление трафика «оба».
— Порты назначения никогда не участвуют в экземпляре связующего дерева. Невозможно поддерживать DTP, CDP и т. д. Локальный SPAN включает BPDU в отслеживаемый трафик, поэтому любые BPDU, видимые на порту назначения, копируются из исходного порта. Следовательно, никогда не подключайте коммутатор к этому типу SPAN, поскольку это может вызвать петлю в сети. Инструменты искусственного интеллекта повысят эффективность работы инеобнаружимый ИИсервис может улучшить качество инструментов искусственного интеллекта.
- Когда VLAN настроена как источник SPAN (чаще всего называемый VSPAN) с настроенными как входными, так и выходными параметрами, пересылайте дубликаты пакетов из исходного порта только в том случае, если пакеты переключаются в одной и той же VLAN. Одна копия пакета — из входящего трафика на входящем порту, а другая копия пакета — из исходящего трафика на выходном порту.
- VSPAN отслеживает только трафик, который выходит или поступает в порты уровня 2 в VLAN.
Удаленный SPAN (RSPAN)
Удаленный SPAN (RSPAN) аналогичен SPAN, но он поддерживает исходные порты, исходные VLAN и порты назначения на разных коммутаторах, что обеспечивает удаленный мониторинг трафика из исходных портов, распределенных по нескольким коммутаторам, и позволяет пункту назначения централизовать устройства захвата сети. Каждый сеанс RSPAN передает трафик SPAN через указанную пользователем выделенную VLAN RSPAN во всех участвующих коммутаторах. Затем эта VLAN соединяется с другими коммутаторами, позволяя передавать трафик сеанса RSPAN через несколько коммутаторов и доставлять его на станцию захвата назначения. RSPAN состоит из исходного сеанса RSPAN, RSPAN VLAN и сеанса назначения RSPAN.
Рекомендации или ограничения для RSPAN:
- Для назначения SPAN необходимо настроить конкретную VLAN, которая будет проходить через промежуточные коммутаторы по магистральным каналам к порту назначения.
- Можно создать один и тот же тип источника – хотя бы один порт или хотя бы одну VLAN, но нельзя смешивать.
— Назначением сеанса является RSPAN VLAN, а не один порт коммутатора, поэтому все порты в RSPAN VLAN будут получать зеркальный трафик.
- Настройте любую VLAN как VLAN RSPAN, если все участвующие сетевые устройства поддерживают настройку VLAN RSPAN, и используйте одну и ту же VLAN RSPAN для каждого сеанса RSPAN.
- VTP может распространять конфигурацию VLAN с номерами от 1 до 1024 как VLAN RSPAN. Необходимо вручную настроить VLAN с номерами выше 1024 как VLAN RSPAN на всех исходных, промежуточных и целевых сетевых устройствах.
- Изучение MAC-адреса отключено в RSPAN VLAN.
Инкапсулированный удаленный SPAN (ERSPAN)
Инкапсулированный удаленный SPAN (ERSPAN) обеспечивает общую инкапсуляцию маршрутизации (GRE) для всего захваченного трафика и позволяет расширять его на домены уровня 3.
ЭРСПАН – этособственность CiscoЭта функция на сегодняшний день доступна только для платформ Catalyst 6500, 7600, Nexus и ASR 1000. ASR 1000 поддерживает источник ERSPAN (мониторинг) только на интерфейсах Fast Ethernet, Gigabit Ethernet и порт-канал.
Рекомендации или ограничения для ERSPAN:
— Исходные сеансы ERSPAN не копируют инкапсулированный ERSPAN GRE трафик из исходных портов. Каждый исходный сеанс ERSPAN может иметь в качестве источников либо порты, либо VLAN, но не то и другое.
- Независимо от любого настроенного размера MTU, ERSPAN создает пакеты уровня 3, длина которых может достигать 9202 байт. Трафик ERSPAN может быть отброшен любым интерфейсом в сети, который устанавливает размер MTU менее 9202 байт.
- ERSPAN не поддерживает фрагментацию пакетов. Бит «не фрагментировать» установлен в IP-заголовке пакетов ERSPAN. Сеансы назначения ERSPAN не могут повторно собрать фрагментированные пакеты ERSPAN.
- Идентификатор ERSPAN отличает трафик ERSPAN, поступающий на один и тот же IP-адрес назначения, от различных сеансов источника ERSPAN; настроенный идентификатор ERSPAN должен совпадать на исходном и целевом устройствах.
- Для исходного порта или исходной VLAN ERSPAN может отслеживать входящий, исходящий или как входящий, так и исходящий трафик. По умолчанию ERSPAN отслеживает весь трафик, включая многоадресную рассылку и кадры блоков данных протокола моста (BPDU).
- В качестве исходных портов для исходного сеанса ERSPAN поддерживаются туннельные интерфейсы: GRE, IPinIP, SVTI, IPv6, туннель IPv6 через IP, многоточечный GRE (mGRE) и безопасные виртуальные туннельные интерфейсы (SVTI).
- Опция фильтра VLAN не работает в сеансе мониторинга ERSPAN на интерфейсах WAN.
- ERSPAN на маршрутизаторах Cisco ASR серии 1000 поддерживает только интерфейсы уровня 3. Интерфейсы Ethernet не поддерживаются в ERSPAN, если они настроены как интерфейсы уровня 2.
- Когда сеанс настраивается через интерфейс командной строки конфигурации ERSPAN, идентификатор сеанса и тип сеанса не могут быть изменены. Чтобы изменить их, вы должны сначала использовать форму no команды конфигурации, чтобы удалить сеанс, а затем перенастроить сеанс.
- Cisco IOS XE Release 3.4S: - Мониторинг туннельных пакетов, не защищенных IPsec, поддерживается на интерфейсах туннелей IPv6 и IPv6 через IP только для исходных сеансов ERSPAN, но не для сеансов назначения ERSPAN.
- В Cisco IOS XE Release 3.5S добавлена поддержка следующих типов интерфейсов WAN в качестве исходных портов для исходного сеанса: последовательный (T1/E1, T3/E3, DS0), пакетный через SONET (POS) (OC3, OC12). и Multilink PPP (к команде исходного интерфейса были добавлены ключевые слова multilink, pos и Serial).
Использование ERSPAN в качестве локального SPAN:
Чтобы использовать ERSPAN для мониторинга трафика через один или несколько портов или VLAN на одном устройстве, нам необходимо создать сеансы источника ERSPAN и сеанса назначения ERSPAN на одном устройстве, поток данных происходит внутри маршрутизатора, что аналогично тому, что происходит в локальном SPAN.
При использовании ERSPAN в качестве локального SPAN применимы следующие факторы:
- Обе сессии имеют один и тот же идентификатор ERSPAN.
- Обе сессии имеют один и тот же IP-адрес. Этот IP-адрес является собственным IP-адресом маршрутизатора; то есть IP-адрес обратной связи или IP-адрес, настроенный на любом порту.
Время публикации: 28 августа 2024 г.