SPAN, RSPAN и ERSPAN — это методы, используемые в сетях для сбора и мониторинга трафика с целью его анализа. Вот краткий обзор каждого из них:
SPAN (анализатор коммутируемых портов)
Назначение: используется для зеркалирования трафика с определенных портов или VLAN на коммутаторе на другой порт для мониторинга.
Пример использования: Идеально подходит для локального анализа трафика на одном коммутаторе. Трафик зеркалируется на назначенный порт, где его может перехватить сетевой анализатор.
RSPAN (удалённый SPAN)
Назначение: Расширяет возможности SPAN на несколько коммутаторов в сети.
Пример использования: позволяет отслеживать трафик от одного коммутатора к другому по транковой линии связи. Полезно в сценариях, когда устройство мониторинга расположено на другом коммутаторе.
ERSPAN (инкапсулированный удаленный SPAN)
Назначение: объединяет RSPAN с GRE (Generic Routing Encapsulation) для инкапсуляции зеркалируемого трафика.
Пример использования: позволяет отслеживать трафик в маршрутизируемых сетях. Это полезно в сложных сетевых архитектурах, где требуется отслеживать трафик в разных сегментах.
Анализатор портов коммутатора (SPAN) — это эффективная и высокопроизводительная система мониторинга трафика. Она направляет или зеркалирует трафик из исходного порта или VLAN в порт назначения. Иногда это называется мониторингом сеансов. SPAN используется для устранения неполадок подключения, расчета загрузки и производительности сети, а также для многих других целей. Продукты Cisco поддерживают три типа SPAN…
а. SPAN или локальный SPAN.
б) Удаленный SPAN (RSPAN).
в) Инкапсулированный удаленный SPAN (ERSPAN).
Чтобы знать: "Сетевой брокер пакетов Mylinking™ с функциями SPAN, RSPAN и ERSPAN"
SPAN / зеркалирование трафика / зеркалирование портов используется для многих целей, ниже перечислены некоторые из них.
- Реализация IDS/IPS в смешанном режиме.
- Решения для записи вызовов VOIP.
- Соответствие нормам безопасности для мониторинга и анализа трафика.
- Устранение неполадок подключения, мониторинг трафика.
Независимо от типа работающего SPAN, источником SPAN может быть любой тип порта, т. е. маршрутизируемый порт, физический порт коммутатора, порт доступа, транк, VLAN (все активные порты отслеживаются коммутатором), EtherChannel (порт или целые интерфейсы порт-канал) и т. д. Обратите внимание, что порт, настроенный для назначения SPAN, НЕ МОЖЕТ быть частью VLAN источника SPAN.
Сеансы SPAN поддерживают мониторинг входящего трафика (входящий SPAN), исходящего трафика (исходящий SPAN) или трафика, текущего в обоих направлениях.
- Входной SPAN (RX) копирует трафик, полученный исходными портами и VLAN, в порт назначения. SPAN копирует трафик до любых изменений (например, до любого фильтра VACL или ACL, QoS или контроля входящего или исходящего трафика).
- Исходящий SPAN (TX) копирует трафик, передаваемый из портов-источников и VLAN, в порт назначения. Все необходимые действия по фильтрации или модификации с помощью фильтров VACL или ACL, QoS, а также политики входящего и исходящего трафика выполняются до того, как коммутатор перенаправит трафик на порт назначения SPAN.
- При использовании ключевого слова both SPAN копирует сетевой трафик, полученный и переданный исходными портами и VLAN, в порт назначения.
- SPAN/RSPAN обычно игнорирует кадры CDP, STP BPDU, VTP, DTP и PAgP. Однако эти типы трафика могут быть перенаправлены, если настроена команда encapsulation replicate.
SPAN или локальный SPAN
SPAN зеркалирует трафик с одного или нескольких интерфейсов коммутатора на один или несколько интерфейсов того же коммутатора; поэтому SPAN чаще всего называют ЛОКАЛЬНЫМ SPAN.
Рекомендации или ограничения для локального SPAN:
- Как коммутируемые порты уровня 2, так и порты уровня 3 могут быть настроены как порты источника или назначения.
- Источником может быть один или несколько портов или VLAN, но не их комбинация.
- Магистральные порты — это допустимые исходные порты, смешанные с немагистральными исходными портами.
- На коммутаторе можно настроить до 64 портов назначения SPAN.
– При настройке порта назначения его исходная конфигурация перезаписывается. При удалении конфигурации SPAN исходная конфигурация этого порта восстанавливается.
– При настройке порта назначения порт удаляется из любой группы EtherChannel, если он входил в её состав. Если порт маршрутизируется, конфигурация назначения SPAN переопределяет конфигурацию маршрутизируемого порта.
- Порты назначения не поддерживают безопасность портов, аутентификацию 802.1x или частные VLAN.
- Порт может выступать в качестве порта назначения только для одного сеанса SPAN.
- Порт не может быть настроен как порт назначения, если он является исходным портом сеанса span или частью исходной VLAN.
- Интерфейсы портовых каналов (EtherChannel) могут быть настроены как порты источника, но не как порт назначения для SPAN.
- Для источников SPAN направление трафика по умолчанию — «оба».
– Порты назначения никогда не участвуют в экземпляре протокола spanning-tree. Не поддерживаются DTP, CDP и т. д. Локальный SPAN включает BPDU в отслеживаемый трафик, поэтому любые BPDU, обнаруженные на порту назначения, копируются с порта источника. Поэтому никогда не подключайте коммутатор к такому типу SPAN, так как это может привести к образованию петли в сети. Инструменты искусственного интеллекта повысят эффективность работы, а такженеобнаружимый ИИсервис может улучшить качество инструментов ИИ.
- Если VLAN настроена как источник SPAN (обычно называемый VSPAN) с настроенными как входными, так и выходными параметрами, пересылайте дублирующиеся пакеты с порта-источника только в том случае, если пакеты коммутируются в той же VLAN. Одна копия пакета относится к входящему трафику на входящем порту, а другая — к исходящему трафику на исходящем порту.
- VSPAN отслеживает только трафик, который покидает порты уровня 2 в VLAN или входит в них.
Удаленный SPAN (RSPAN)
Удалённый SPAN (RSPAN) аналогичен SPAN, но поддерживает исходные порты, исходные VLAN и порты назначения на разных коммутаторах, что обеспечивает удалённый мониторинг трафика с исходных портов, распределённых по нескольким коммутаторам, и позволяет централизовать устройства захвата сети назначения. Каждый сеанс RSPAN передаёт трафик SPAN по выделенной пользователем RSPAN VLAN на всех участвующих коммутаторах. Эта VLAN затем направляется на другие коммутаторы, что позволяет передавать трафик сеанса RSPAN через несколько коммутаторов и доставлять его на станцию назначения, осуществляющую захват. RSPAN состоит из исходного сеанса RSPAN, RSPAN VLAN и сеанса назначения RSPAN.
Рекомендации и ограничения для RSPAN:
- Для назначения SPAN необходимо настроить определенную VLAN, которая будет проходить через промежуточные коммутаторы по магистральным каналам к порту назначения.
- Можно создать один и тот же тип источника – как минимум один порт или как минимум одну VLAN, но их нельзя смешивать.
- Местом назначения сеанса является RSPAN VLAN, а не отдельный порт в коммутаторе, поэтому все порты в RSPAN VLAN будут получать зеркальный трафик.
- Настройте любую VLAN как RSPAN VLAN, если все участвующие сетевые устройства поддерживают настройку RSPAN VLAN, и используйте одну и ту же RSPAN VLAN для каждого сеанса RSPAN.
- VTP может распространять конфигурацию VLAN с номерами от 1 до 1024 как RSPAN VLAN, необходимо вручную настраивать VLAN с номерами выше 1024 как RSPAN VLAN на всех исходных, промежуточных и целевых сетевых устройствах.
- Обучение MAC-адресам отключено в RSPAN VLAN.
Инкапсулированный удаленный SPAN (ERSPAN)
Инкапсулированный удаленный SPAN (ERSPAN) обеспечивает универсальную инкапсуляцию маршрутизации (GRE) для всего захваченного трафика и позволяет расширить его на домены уровня 3.
ЭРСПАН - этоСобственная разработка CiscoФункция доступна на сегодняшний день только для платформ Catalyst 6500, 7600, Nexus и ASR 1000. ASR 1000 поддерживает источник ERSPAN (мониторинг) только на интерфейсах Fast Ethernet, Gigabit Ethernet и port-channel.
Рекомендации или ограничения для ERSPAN:
- Исходные сеансы ERSPAN не копируют инкапсулированный GRE-трафик ERSPAN из исходных портов. Каждый исходный сеанс ERSPAN может иметь в качестве источников либо порты, либо VLAN, но не то и другое одновременно.
- Независимо от настроенного размера MTU, ERSPAN создаёт пакеты уровня 3 длиной до 9202 байт. Трафик ERSPAN может быть отброшен любым интерфейсом в сети, который устанавливает размер MTU менее 9202 байт.
– ERSPAN не поддерживает фрагментацию пакетов. В IP-заголовке пакетов ERSPAN устанавливается бит «не фрагментировать». Сеансы назначения ERSPAN не могут повторно собирать фрагментированные пакеты ERSPAN.
- Идентификатор ERSPAN различает трафик ERSPAN, поступающий на один и тот же целевой IP-адрес, от различных исходных сеансов ERSPAN; настроенный идентификатор ERSPAN должен совпадать на исходном и целевом устройствах.
– Для исходного порта или исходной VLAN ERSPAN может отслеживать входящий, исходящий или как входящий, так и исходящий трафик. По умолчанию ERSPAN отслеживает весь трафик, включая многоадресную рассылку и кадры BPDU (Bridge Protocol Data Unit).
- В качестве исходных портов для сеанса источника ERSPAN поддерживаются следующие туннельные интерфейсы: GRE, IPinIP, SVTI, IPv6, туннель IPv6 через IP, многоточечный GRE (mGRE) и защищенные виртуальные туннельные интерфейсы (SVTI).
- Опция фильтра VLAN не работает в сеансе мониторинга ERSPAN на интерфейсах WAN.
- ERSPAN на маршрутизаторах Cisco ASR 1000 серии поддерживает только интерфейсы уровня 3. Интерфейсы Ethernet не поддерживаются на ERSPAN при настройке в качестве интерфейсов уровня 2.
– При настройке сеанса через интерфейс командной строки ERSPAN идентификатор и тип сеанса изменить невозможно. Чтобы изменить их, необходимо сначала удалить сеанс с помощью команды конфигурации с префиксом no, а затем настроить его заново.
- Cisco IOS XE версии 3.4S: мониторинг туннельных пакетов, не защищенных IPsec, поддерживается на интерфейсах туннелей IPv6 и IPv6 через IP только для исходных сеансов ERSPAN, но не для сеансов назначения ERSPAN.
- Cisco IOS XE Release 3.5S: добавлена поддержка следующих типов интерфейсов WAN в качестве портов источника для сеанса источника: последовательный (T1/E1, T3/E3, DS0), пакетный протокол SONET (POS) (OC3, OC12) и многоканальный PPP (в команду интерфейса источника добавлены ключевые слова multilink, pos и serial).
Использование ERSPAN в качестве локального SPAN:
Чтобы использовать ERSPAN для мониторинга трафика через один или несколько портов или VLAN на одном устройстве, нам необходимо создать сеансы источника ERSPAN и назначения ERSPAN на одном устройстве; поток данных происходит внутри маршрутизатора, что аналогично локальному SPAN.
При использовании ERSPAN в качестве локального SPAN необходимо учитывать следующие факторы:
- Оба сеанса имеют одинаковый идентификатор ERSPAN.
– Оба сеанса имеют один и тот же IP-адрес. Этот IP-адрес является собственным IP-адресом маршрутизатора, то есть IP-адресом обратной связи или IP-адресом, настроенным на любом порту.
| (config)# монитор сеанса 10 тип erspan-source |
| (config-mon-erspan-src)# исходный интерфейс Gig0/0/0 |
| (config-mon-erspan-src)# пункт назначения |
| (config-mon-erspan-src-dst)# ip-адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# исходный IP-адрес 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Время публикации: 28 августа 2024 г.
