SPAN, RSPAN и ERSPAN — это методы, используемые в сетях для захвата и мониторинга трафика для анализа. Вот краткий обзор каждого из них:
SPAN (анализатор коммутируемых портов)
Назначение: используется для зеркалирования трафика с определенных портов или VLAN на коммутаторе на другой порт для мониторинга.
Вариант использования: Идеально подходит для анализа локального трафика на одном коммутаторе. Трафик зеркалируется на назначенный порт, где сетевой анализатор может его захватить.
RSPAN (удалённый SPAN)
Назначение: Расширяет возможности SPAN между несколькими коммутаторами в сети.
Вариант использования: Позволяет осуществлять мониторинг трафика от одного коммутатора к другому по магистральной линии связи. Полезно для сценариев, когда устройство мониторинга расположено на другом коммутаторе.
ERSPAN (Инкапсулированный удаленный SPAN)
Назначение: объединяет RSPAN с GRE (Generic Routing Encapsulation) для инкапсуляции зеркалируемого трафика.
Вариант использования: Позволяет осуществлять мониторинг трафика через маршрутизируемые сети. Это полезно в сложных сетевых архитектурах, где трафик должен захватываться через различные сегменты.
Switch port Analyzer (SPAN) — это эффективная, высокопроизводительная система мониторинга трафика. Она направляет или зеркалирует трафик из исходного порта или VLAN в порт назначения. Иногда это называют мониторингом сеанса. SPAN используется для устранения неполадок с подключением и расчета использования и производительности сети, среди прочего. В продуктах Cisco поддерживаются три типа SPAN …
а. SPAN или локальный SPAN.
б) Удаленный SPAN (RSPAN).
в) Инкапсулированный удаленный SPAN (ERSPAN).
Чтобы знать: "Сетевой пакетный брокер Mylinking™ с функциями SPAN, RSPAN и ERSPAN"
SPAN / зеркалирование трафика / зеркалирование портов используется для многих целей, ниже перечислены некоторые из них.
- Реализация IDS/IPS в смешанном режиме.
- Решения для записи VOIP-звонков.
- Соответствие требованиям безопасности для мониторинга и анализа трафика.
- Устранение неполадок подключения, мониторинг трафика.
Независимо от типа работающего SPAN источником SPAN может быть любой тип порта, т. е. маршрутизируемый порт, физический порт коммутатора, порт доступа, транк, VLAN (все активные порты отслеживаются коммутатором), EtherChannel (либо порт, либо целые интерфейсы порт-канала) и т. д. Обратите внимание, что порт, настроенный для назначения SPAN, НЕ МОЖЕТ быть частью VLAN источника SPAN.
Сеансы SPAN поддерживают мониторинг входящего трафика (входящий SPAN), исходящего трафика (исходящий SPAN) или трафика, проходящего в обоих направлениях.
- Ingress SPAN (RX) копирует трафик, полученный исходными портами и VLAN, в порт назначения. SPAN копирует трафик до любого изменения (например, до любого фильтра VACL или ACL, QoS или контроля входящего или исходящего трафика).
- Выходной SPAN (TX) копирует трафик, передаваемый из исходных портов и VLAN в порт назначения. Все соответствующие фильтры или изменения с помощью фильтра VACL или ACL, QoS или действия по контролю входящего или исходящего трафика выполняются до того, как коммутатор перенаправляет трафик в порт назначения SPAN.
- При использовании ключевого слова both SPAN копирует сетевой трафик, получаемый и передаваемый исходными портами и VLAN, в порт назначения.
- SPAN/RSPAN обычно игнорирует кадры CDP, STP BPDU, VTP, DTP и PAgP. Однако эти типы трафика могут быть перенаправлены, если настроена команда encapsulation replicate.
SPAN или локальный SPAN
SPAN зеркалирует трафик с одного или нескольких интерфейсов коммутатора на один или несколько интерфейсов того же коммутатора; поэтому SPAN чаще всего называют ЛОКАЛЬНЫМ SPAN.
Рекомендации или ограничения для локального SPAN:
- Как коммутируемые порты уровня 2, так и порты уровня 3 могут быть настроены как порты источника или назначения.
- Источником может быть один или несколько портов или VLAN, но не их комбинация.
- Магистральные порты — это допустимые исходные порты, смешанные с немагистральными исходными портами.
- На коммутаторе можно настроить до 64 портов назначения SPAN.
- Когда мы настраиваем порт назначения, его исходная конфигурация перезаписывается. Если конфигурация SPAN удаляется, исходная конфигурация на этом порту восстанавливается.
- При настройке порта назначения порт удаляется из любого пакета EtherChannel, если он был частью одного из них. Если это был маршрутизируемый порт, конфигурация назначения SPAN переопределяет конфигурацию маршрутизируемого порта.
- Порты назначения не поддерживают безопасность портов, аутентификацию 802.1x или частные VLAN.
- Порт может выступать в качестве порта назначения только для одного сеанса SPAN.
- Порт не может быть настроен как порт назначения, если он является исходным портом сеанса span или частью исходной VLAN.
- Интерфейсы порт-канала (EtherChannel) можно настроить как порты-источники, но не как порт назначения для SPAN.
- Для источников SPAN по умолчанию направление трафика — «оба».
- Порты назначения никогда не участвуют в экземпляре связующего дерева. Не поддерживают DTP, CDP и т. д. Локальный SPAN включает BPDU в отслеживаемый трафик, поэтому любые BPDU, видимые на порту назначения, копируются из исходного порта. Поэтому никогда не подключайте коммутатор к этому типу SPAN, так как это может привести к образованию петли в сети. Инструменты ИИ повысят эффективность работы, инеобнаружимый ИИсервис может улучшить качество инструментов ИИ.
- Когда VLAN настроен как источник SPAN (чаще всего называемый VSPAN) с настроенными параметрами входа и выхода, пересылайте дублирующиеся пакеты из порта источника только в том случае, если пакеты коммутируются в той же VLAN. Одна копия пакета из входящего трафика на входящем порту, а другая копия пакета из исходящего трафика на исходящем порту.
- VSPAN отслеживает только трафик, который покидает порты уровня 2 в VLAN или входит в них.
Удаленный SPAN (RSPAN)
Remote SPAN (RSPAN) похож на SPAN, но он поддерживает исходные порты, исходные VLAN и порты назначения на разных коммутаторах, что обеспечивает удаленный мониторинг трафика с исходных портов, распределенных по нескольким коммутаторам, и позволяет получателю централизовать сетевые устройства захвата. Каждый сеанс RSPAN переносит трафик SPAN по указанной пользователем выделенной RSPAN VLAN во всех участвующих коммутаторах. Затем эта VLAN направляется на другие коммутаторы, что позволяет транспортировать трафик сеанса RSPAN через несколько коммутаторов и доставлять его на станцию захвата назначения. RSPAN состоит из исходного сеанса RSPAN, RSPAN VLAN и сеанса назначения RSPAN.
Руководящие принципы или ограничения RSPAN:
- Для назначения SPAN необходимо настроить определенную VLAN, которая будет проходить через промежуточные коммутаторы по магистральным каналам к порту назначения.
- Можно создать один и тот же тип источника – как минимум один порт или как минимум одну VLAN, но их нельзя смешивать.
- Местом назначения сеанса является RSPAN VLAN, а не отдельный порт коммутатора, поэтому все порты в RSPAN VLAN будут получать зеркальный трафик.
- Настройте любую VLAN как RSPAN VLAN, если все участвующие сетевые устройства поддерживают настройку RSPAN VLAN, и используйте одну и ту же RSPAN VLAN для каждого сеанса RSPAN.
- VTP может распространять конфигурацию VLAN с номерами от 1 до 1024 как RSPAN VLAN, необходимо вручную настроить VLAN с номерами выше 1024 как RSPAN VLAN на всех исходных, промежуточных и целевых сетевых устройствах.
- В RSPAN VLAN отключено изучение MAC-адресов.
Инкапсулированный удаленный SPAN (ERSPAN)
Инкапсулированный удаленный SPAN (ERSPAN) обеспечивает универсальную инкапсуляцию маршрутизации (GRE) для всего захваченного трафика и позволяет распространять его на домены уровня 3.
ЭРСПАН - этоСобственность Ciscoфункция и доступна только для платформ Catalyst 6500, 7600, Nexus и ASR 1000 на сегодняшний день. ASR 1000 поддерживает источник ERSPAN (мониторинг) только на интерфейсах Fast Ethernet, Gigabit Ethernet и port-channel.
Руководящие принципы или ограничения для ERSPAN:
- Исходные сеансы ERSPAN не копируют инкапсулированный GRE-трафик ERSPAN из исходных портов. Каждый исходный сеанс ERSPAN может иметь либо порты, либо VLAN в качестве источников, но не оба сразу.
- Независимо от настроенного размера MTU, ERSPAN создает пакеты уровня 3, которые могут быть длиной до 9202 байт. Трафик ERSPAN может быть отброшен любым интерфейсом в сети, который устанавливает размер MTU менее 9202 байт.
- ERSPAN не поддерживает фрагментацию пакетов. Бит «не фрагментировать» устанавливается в заголовке IP пакетов ERSPAN. Сеансы назначения ERSPAN не могут повторно собирать фрагментированные пакеты ERSPAN.
- Идентификатор ERSPAN различает трафик ERSPAN, поступающий на один и тот же IP-адрес назначения, от различных исходных сеансов ERSPAN; настроенный идентификатор ERSPAN должен совпадать на исходном и целевом устройствах.
- Для исходного порта или исходной VLAN ERSPAN может контролировать входящий, исходящий или как входящий, так и исходящий трафик. По умолчанию ERSPAN отслеживает весь трафик, включая многоадресную рассылку и кадры Bridge Protocol Data Unit (BPDU).
- В качестве исходных портов для сеанса источника ERSPAN поддерживаются следующие туннельные интерфейсы: GRE, IPinIP, SVTI, IPv6, туннель IPv6 через IP, многоточечный GRE (mGRE) и защищенные виртуальные туннельные интерфейсы (SVTI).
- Опция фильтра VLAN не работает в сеансе мониторинга ERSPAN на интерфейсах WAN.
- ERSPAN на маршрутизаторах Cisco ASR 1000 Series поддерживает только интерфейсы уровня 3. Интерфейсы Ethernet не поддерживаются на ERSPAN при настройке в качестве интерфейсов уровня 2.
- Когда сеанс настроен через конфигурационный CLI ERSPAN, идентификатор сеанса и тип сеанса не могут быть изменены. Чтобы изменить их, необходимо сначала использовать форму no команды конфигурации, чтобы удалить сеанс, а затем перенастроить сеанс.
- Cisco IOS XE версии 3.4S: мониторинг туннельных пакетов, не защищенных IPsec, поддерживается на интерфейсах туннелирования IPv6 и IPv6 через IP только для исходных сеансов ERSPAN, но не для сеансов назначения ERSPAN.
- Cisco IOS XE версии 3.5S, добавлена поддержка следующих типов интерфейсов WAN в качестве портов источника для сеанса источника: последовательный (T1/E1, T3/E3, DS0), пакетный через SONET (POS) (OC3, OC12) и многоканальный PPP (в команду интерфейса источника добавлены ключевые слова multilink, pos и serial).
Использование ERSPAN в качестве локального SPAN:
Чтобы использовать ERSPAN для мониторинга трафика через один или несколько портов или VLAN на одном устройстве, нам необходимо создать сеансы источника ERSPAN и назначения ERSPAN на одном устройстве; поток данных происходит внутри маршрутизатора, что аналогично локальному SPAN.
При использовании ERSPAN в качестве локального SPAN необходимо учитывать следующие факторы:
- Оба сеанса имеют одинаковый идентификатор ERSPAN.
- Оба сеанса имеют один и тот же IP-адрес. Этот IP-адрес является собственным IP-адресом маршрутизатора; то есть IP-адресом обратной связи или IP-адресом, настроенным на любом порту.
| (config)# монитор сеанса 10 тип erspan-source |
| (config-mon-erspan-src)# исходный интерфейс Gig0/0/0 |
| (config-mon-erspan-src)# пункт назначения |
| (config-mon-erspan-src-dst)# IP-адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# исходный IP-адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Время публикации: 28-авг-2024
