SPAN, RSPAN an ERSPAN sinn Techniken, déi am Netzwierk benotzt ginn, fir Traffic fir d'Analyse ze erfassen an ze iwwerwaachen. Hei ass eng kuerz Iwwersiicht iwwer all eenzel:
SPAN (Switched Port Analyzer)
Zweck: Gëtt benotzt fir den Traffic vu spezifesche Ports oder VLANs op engem Switch op en anere Port fir d'Iwwerwaachung ze spigelen.
Benotzungsfall: Ideal fir lokal Trafficanalysen op engem eenzege Switch. Den Traffic gëtt op en designéierte Port gespigelt, wou en Netzwierkanalysator en erfassen kann.
RSPAN (Remote SPAN)
Zweck: Erweidert d'SPAN-Fäegkeeten iwwer verschidde Switchen an engem Netzwierk.
Benotzungsfall: Erlaabt d'Iwwerwaachung vum Traffic vun engem Switch zum aneren iwwer eng Trunk Link. Nëtzlech a Szenarien, wou den Iwwerwaachungsgerät op engem anere Switch ass.
ERSPAN (Encapsulated Remote SPAN)
Zweck: Kombinéiert RSPAN mat GRE (Generic Routing Encapsulation) fir de gespigelten Traffic ze kapselen.
Benotzungsfall: Erlaabt d'Iwwerwaachung vum Traffic iwwer geroutet Netzwierker. Dëst ass nëtzlech a komplexen Netzwierkarchitekturen, wou de Traffic iwwer verschidde Segmenter muss erfaasst ginn.
De Switch Port Analyzer (SPAN) ass en effizienten, performante Traffic-Iwwerwaachungssystem. Et leet oder spigelt den Traffic vun engem Quellport oder VLAN op en Destinatiounsport. Dëst gëtt heiansdo als Sessiounsiwwerwaachung bezeechent. SPAN gëtt benotzt fir Konnektivitéitsproblemer ze troubleshooten an d'Netzwierkauslastung a -leistung ze berechnen, ënner anerem. Et ginn dräi Zorte vu SPANs, déi op Cisco-Produkter ënnerstëtzt ginn ...
a. SPAN oder lokalen SPAN.
b. Remote SPAN (RSPAN).
c. Verkapselte Fern-SPAN (ERSPAN).
Ze wëssen: "Mylinking™ Netzwierkpaketbroker mat SPAN-, RSPAN- an ERSPAN-Funktiounen"
SPAN / Traffic Mirroring / Port Mirroring gëtt fir vill Zwecker benotzt, hei ënnendrënner sinn e puer.
- Implementatioun vun IDS/IPS am promiskuöse Modus.
- VOIP-Uruffopnamléisungen.
- Grënn fir d'Sécherheetskonformitéit fir den Traffic ze iwwerwaachen an z'analyséieren.
- Verbindungsproblemer behiewen, Traffic iwwerwaachen.
Egal wéi e SPAN-Typ leeft, kann d'SPAN-Quell all Typ vu Port sinn, z.B. e geroutete Port, e physesche Switch-Port, en Access-Port, en Trunk, e VLAN (all aktiv Ports ginn vum Switch iwwerwaacht), en EtherChannel (entweder e Port oder ganz Port-Channel-Interfaces) etc. Notéiert w.e.g., datt e Port, deen als SPAN-Destinatioun konfiguréiert ass, NET Deel vun engem SPAN-Quell-VLAN ka sinn.
SPAN-Sessiounen ënnerstëtzen d'Iwwerwaachung vum Ingress-Verkéier (ingress SPAN), Egress-Verkéier (egress SPAN) oder Verkéier, deen a béid Richtungen fléisst.
- Ingress SPAN (RX) kopéiert den Traffic, deen vun de Quellports an de VLANs empfaange gëtt, op den Destinatiounsport. SPAN kopéiert den Traffic virun all Modifikatioun (zum Beispill virun engem VACL- oder ACL-Filter, QoS oder Ingress- oder Egress-Police).
- Egress SPAN (TX) kopéiert den Traffic, deen vun de Quellports a VLANs op den Destinatiounsport iwwerdroe gëtt. All relevant Filterung oder Modifikatioun duerch VACL- oder ACL-Filter, QoS oder Ingress- oder Egress-Poliziéierungsaktiounen ginn duerchgefouert, ier de Switch den Traffic op den SPAN-Destinatiounsport weiderleet.
- Wann d'Schlësselwuert "both" benotzt gëtt, kopéiert SPAN den Netzwierkverkéier, deen vun de Quellports a VLANs empfaange a weiderginn gëtt, op den Destinatiounsport.
- SPAN/RSPAN ignoréiert normalerweis CDP-, STP-, BPDU-, VTP-, DTP- a PAgP-Frames. Dës Verkéierstypen kënnen awer weidergeleet ginn, wann de Kommando "Encapsulation Replica" konfiguréiert ass.
SPAN oder Lokal SPAN
SPAN spigelt den Traffic vun enger oder méi Interfaces um Switch op eng oder méi Interfaces um selwechte Switch; dofir gëtt SPAN meeschtens als LOCAL SPAN bezeechent.
Richtlinnen oder Restriktiounen fir lokal SPAN:
- Souwuel Layer 2 gewiesselt Ports wéi och Layer 3 Ports kënnen als Quell- oder Destinatiounsports konfiguréiert ginn.
- D'Quell kann entweder een oder méi Ports oder e VLAN sinn, awer keng Mëschung dovun.
- Trunk-Ports sinn gëlteg Quellports, déi mat net-Trunk-Quellports gemëscht sinn.
- Bis zu 64 SPAN-Destinatiounsports kënnen op engem Switch konfiguréiert ginn.
- Wann mir en Destinatiounsport konfiguréieren, gëtt seng ursprénglech Konfiguratioun iwwerschriwwen. Wann d'SPAN-Konfiguratioun ewechgeholl gëtt, gëtt déi ursprénglech Konfiguratioun op deem Port restauréiert.
- Wann en Destinatiounsport konfiguréiert gëtt, gëtt de Port aus all EtherChannel-Bundle ewechgeholl, wann en Deel vun engem war. Wann et e geroutete Port wier, iwwerschreift d'SPAN-Destinatiounskonfiguratioun déi geroutete Portkonfiguratioun.
- Destinatiounsports ënnerstëtzen keng Portsécherheet, 802.1x Authentifikatioun oder privat VLANs.
- E Port kann nëmme fir eng SPAN-Sessioun als Destinatiounsport déngen.
- E Port kann net als Destinatiounsport konfiguréiert ginn, wann et e Quellport vun enger Span-Sessioun oder en Deel vun engem Quell-VLAN ass.
- Portkanal-Interfaces (EtherChannel) kënnen als Quellports konfiguréiert ginn, awer net als Destinatiounsports fir SPAN.
- D'Verkéiersrichtung ass standardméisseg "béides" fir SPAN-Quellen.
- Destinatiounsports huelen ni un enger Spanning-Tree-Instanz deel. Kann DTP, CDP etc. net ënnerstëtzen. Lokal SPAN enthält BPDUs am iwwerwaachte Traffic, sou datt all BPDUs, déi um Destinatiounsport gesi ginn, vum Quellport kopéiert ginn. Dofir sollt Dir ni e Switch mat dëser Zort SPAN verbannen, well dëst eng Netzwierkschleef verursaache kéint. KI-Tools verbesseren d'Aarbechtseffizienz, annet erkennbar KIDe Service kann d'Qualitéit vun KI-Tools verbesseren.
- Wann VLAN als SPAN-Quell (meeschtens als VSPAN bezeechent) konfiguréiert ass, mat souwuel Ingress- wéi och Egress-Optiounen konfiguréiert, ginn duebel Paketen nëmme vum Quellport weidergeleet, wann d'Paketen am selwechte VLAN gewiesselt ginn. Eng Kopie vum Pakett ass vum Ingress-Verkéier um Ingress-Port, an déi aner Kopie vum Pakett ass vum Egress-Verkéier um Egress-Port.
- VSPAN iwwerwaacht nëmmen Traffic, deen Layer-2-Ports am VLAN verléisst oder erantrëtt.
Remote SPAN (RSPAN)
Remote SPAN (RSPAN) ass ähnlech wéi SPAN, awer et ënnerstëtzt Quellports, Quell-VLANs an Destinatiounsports op verschiddene Switchen, déi Ferniwwerwaachungsverkéier vu Quellports ubidden, déi iwwer verschidde Switchen verdeelt sinn, an et erlaben, d'Netzwierker vun den Destinatiounen ze zentraliséieren. All RSPAN-Sessioun transportéiert den SPAN-Verkéier iwwer e vum Benotzer spezifizéierten, dedizéierten RSPAN VLAN an allen deelhuelende Switchen. Dëse VLAN gëtt dann un aner Switchen getrunket, sou datt den RSPAN-Sessiounsverkéier iwwer verschidde Switchen transportéiert a bei d'Destinatiounserfassungsstatioun geliwwert ka ginn. RSPAN besteet aus enger RSPAN-Quellsessioun, engem RSPAN-VLAN an enger RSPAN-Destinatiounssessioun.
Richtlinnen oder Restriktiounen fir RSPAN:
- E spezifescht VLAN muss fir d'SPAN-Destinatioun konfiguréiert ginn, dat iwwer d'Intermediär-Switche iwwer Trunk-Links Richtung Destinatiounsport geet.
- Kann dee selwechte Quelltyp erstellen – op d'mannst ee Port oder op d'mannst ee VLAN, awer däerf net dee selwechte Mix sinn.
- D'Destinatioun fir d'Sessioun ass RSPAN VLAN amplaz vum eenzege Port am Switch, sou datt all Ports am RSPAN VLAN den gespigelten Traffic kréien.
- Konfiguréiert all VLAN als RSPAN VLAN, soulaang all deelhuelend Netzwierkapparater d'Konfiguratioun vun RSPAN VLANs ënnerstëtzen, a benotzt deeselwechten RSPAN VLAN fir all RSPAN Sessioun
- VTP kann d'Konfiguratioun vu VLANs mat der Nummer 1 bis 1024 als RSPAN VLANs propagéieren, muss VLANs mat enger Nummer méi héich wéi 1024 manuell als RSPAN VLANs op all Quell-, Zwëschen- an Destinatiounsnetzwierkgeräter konfiguréieren.
- D'Léieren vun der MAC-Adress ass am RSPAN VLAN deaktivéiert.
Verkapselt Fernbedienung SPAN (ERSPAN)
Encapsulated Remote SPAN (ERSPAN) bréngt generesch Routing Encapsulation (GRE) fir all erfaassten Traffic a erlaabt et, en iwwer Layer-3-Domänen auszebauen.
ERSPAN ass engCisco proprietärFunktioun a bis elo nëmme fir Catalyst 6500, 7600, Nexus an ASR 1000 Plattforme verfügbar. Den ASR 1000 ënnerstëtzt ERSPAN Quell (Iwwerwaachung) nëmmen op Fast Ethernet, Gigabit Ethernet a Port-Channel Schnëttstellen.
Richtlinnen oder Restriktiounen fir ERSPAN:
- ERSPAN-Quellsessiounen kopéieren keen ERSPAN GRE-verschlossene Verkéier vu Quellports. All ERSPAN-Quellsessioun kann entweder Ports oder VLANs als Quellen hunn, awer net béid.
- Onofhängeg vun der konfiguréierter MTU-Gréisst erstellt ERSPAN Layer-3-Päcketen, déi bis zu 9.202 Bytes laang kënne sinn. Den ERSPAN-Verkéier kéint vun all Interface am Netzwierk fale gelooss ginn, déi eng MTU-Gréisst vu méi klenger wéi 9.202 Bytes erzwingt.
- ERSPAN ënnerstëtzt keng Paketfragmentéierung. De Bit "do not fragment" ass am IP-Header vun ERSPAN-Päcketen gesat. ERSPAN-Destinatiounssessiounen kënnen net fragmentéiert ERSPAN-Päcketen nei zesummesetzen.
- D'ERSPAN ID ënnerscheet den ERSPAN Traffic, deen op déiselwecht Destinatiouns-IP Adress vun verschiddenen ERSPAN Quellsessiounen ukënnt; déi konfiguréiert ERSPAN ID muss op Quell- an Destinatiounsapparater iwwereneestëmmen.
- Fir e Quellport oder e Quell-VLAN kann den ERSPAN den Ingress-, Egress- oder béiden Ingress- an Egress-Verkéier iwwerwaachen. Standardméisseg iwwerwaacht den ERSPAN den ganzen Verkéier, dorënner Multicast- a Bridge Protocol Data Unit (BPDU)-Frames.
- Tunnel-Interfaces, déi als Quellports fir eng ERSPAN-Quellsessioun ënnerstëtzt ginn, sinn GRE, IPinIP, SVTI, IPv6, IPv6 over IP Tunnel, Multipoint GRE (mGRE) a Secure Virtual Tunnel Interfaces (SVTI).
- D'Filter-VLAN-Optioun funktionéiert net an enger ERSPAN-Iwwerwaachungssessioun op WAN-Interfaces.
- ERSPAN op Cisco ASR 1000 Serie Routeren ënnerstëtzt nëmmen Layer 3 Schnëttstellen. Ethernet Schnëttstellen ginn net op ERSPAN ënnerstëtzt wann se als Layer 2 Schnëttstellen konfiguréiert sinn.
- Wann eng Sessioun iwwer den ERSPAN Konfiguratiouns-CLI konfiguréiert gëtt, kënnen d'Sessiouns-ID an den Sessiounstyp net geännert ginn. Fir se z'änneren, musst Dir als éischt d'Form "no" vum Konfiguratiounskommando benotzen, fir d'Sessioun ze läschen, an dann d'Sessioun nei konfiguréieren.
- Cisco IOS XE Versioun 3.4S: - D'Iwwerwaachung vun net-IPsec-geschützten Tunnelpakete gëtt op IPv6- an IPv6 over IP-Tunnelinterfaces nëmme fir ERSPAN-Quellsessiounen ënnerstëtzt, net fir ERSPAN-Destinatiounssessiounen.
- Cisco IOS XE Versioun 3.5S, Ënnerstëtzung gouf fir déi folgend Zorte vu WAN-Interfaces als Quellports fir eng Quellsessioun bäigefüügt: Seriell (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) a Multilink PPP (Schlësselwierder Multilink, Pos a Serial goufen dem Quellinterface-Kommando bäigefüügt).
ERSPAN als lokal SPAN benotzen:
Fir ERSPAN ze benotzen fir den Traffic duerch een oder méi Ports oder VLANs am selwechten Apparat ze iwwerwaachen, musse mir eng ERSPAN Quell an ERSPAN Destinatiounssessiounen am selwechten Apparat erstellen, den Datenfloss fënnt am Router statt, wat ähnlech wéi am lokalen SPAN ass.
Déi folgend Faktoren si gëlteg wann ERSPAN als lokal SPAN benotzt gëtt:
- Béid Sessiounen hunn déiselwecht ERSPAN ID.
- Béid Sessiounen hunn déiselwecht IP-Adress. Dës IP-Adress ass d'IP-Adress vum Router selwer; dat heescht d'Loopback-IP-Adress oder d'IP-Adress, déi op engem bestëmmte Port konfiguréiert ass.
| (config)# Iwwerwaachungssessioun 10 Typ erspan-source |
| (config-mon-erspan-src)# Quellinterface Gig0/0/0 |
| (config-mon-erspan-src)# Destinatioun |
| (config-mon-erspan-src-dst)# IP-Adress 10.10.10.1 |
| (config-mon-erspan-src-dst)# Ursprénglech IP Adress 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Zäitpunkt vun der Verëffentlechung: 28. August 2024
