SPAN, RSPAN an ERSPAN verstoen: Techniken fir Network Traffic Monitoring

SPAN, RSPAN, an ERSPAN sinn Techniken déi am Netzwierk benotzt ginn fir de Traffic fir Analyse z'erfaassen an ze iwwerwaachen. Hei ass e kuerzen Iwwerbléck vun all eenzel:

SPAN (Switched Port Analyzer)

Zweck: Benotzt fir Spigel Traffic aus spezifesch Häfen oder VLANs op engem Wiessel op en anert port fir Iwwerwachung.

Benotzen Fall: Ideal fir lokal Verkéier Analyse op engem eenzege Schalter. Den Traffic gëtt op en designéierten Hafen gespigelt, wou en Netzwierkanalysator et kann erfassen.

RSPAN (Remote SPAN)

Zweck: Verlängert SPAN Fäegkeeten iwwer verschidde Schalter an engem Netzwierk.

Benotzt Case: Erlaabt d'Iwwerwaachung vum Traffic vun engem Schalter op en aneren iwwer e Trunklink. Nëtzlech fir Szenarie wou den Iwwerwaachungsapparat op engem anere Schalter läit.

ERSPAN (Encapsulated Remote SPAN)

Zweck: Kombinéiert RSPAN mat GRE (Generic Routing Encapsulation) fir de gespigelte Verkéier ze kapselen.

Benotzungsfall: Erlaabt d'Iwwerwaachung vum Traffic iwwer routert Netzwierker. Dëst ass nëtzlech a komplexen Netzwierkarchitekturen wou de Traffic iwwer verschidde Segmenter erfaasst muss ginn.

Switch Port Analyzer (SPAN) ass en effizienten, High-Performance Traffic Monitoring System. Et dirigéiert oder spigelt Traffic vun engem Quellport oder VLAN op en Destinatiounsport. Dëst gëtt heiansdo als Sessiounsmonitoring bezeechent. SPAN gëtt benotzt fir Konnektivitéitsprobleemer ze léisen an d'Netzwierkverbrauch a Leeschtung ze berechnen, ënner villen aneren. Et ginn dräi Zorte vu SPANen ënnerstëtzt op Cisco Produkter ...

a. SPAN oder lokal SPAN.

b. Remote SPAN (RSPAN).

c. Encapsulated Remote SPAN (ERSPAN).

Fir ze wëssen: "Mylinking™ Network Packet Broker mat SPAN, RSPAN an ERSPAN Features"

SPAN, RSPAN, ERSPAN

SPAN / Traffic Mirroring / Port Mirroring gëtt fir vill Zwecker benotzt, ënnert enthält e puer.

- Ëmsetzung vun IDS / IPS am promiskuöse Modus.

- VOIP Opruff Opnam Léisungen.

- Sécherheetskonformitéitsgrënn fir Traffic ze iwwerwaachen an ze analyséieren.

- Troubleshooting vun Verbindungsprobleemer, Iwwerwaachung vum Traffic.

Egal wéi de SPAN-Typ leeft, SPAN-Quell kann all Typ vu Port sinn dh e geréckelt Hafen, kierperleche Schalterhafen, en Zougangsport, Trunk, VLAN (all aktiv Ports ginn vum Schalter iwwerwaacht), en EtherChannel (entweder e Port oder e ganze Port) -Channel Schnëttplazen) etc.. Notéiert datt e port konfiguréiert fir SPAN Destinatioun NET Deel vun engem SPAN Quell VLAN sinn.

SPAN Sessiounen ënnerstëtzen d'Iwwerwaachung vum Ingress Traffic (Ingress SPAN), Egress Traffic (Egress SPAN), oder Traffic fléisst a béid Richtungen.

- Ingress SPAN (RX) kopéiert Traffic, déi vun de Quellhäfen a VLANs op den Destinatiounsport kritt gëtt. SPAN kopéiert de Traffic virun all Ännerung (zum Beispill virun all VACL oder ACL Filter, QoS oder Ingress oder Egress Police).

- Egress SPAN (TX) kopéiert Traffic, deen vun de Quellhäfen a VLANs op den Destinatiounsport iwwerdroe gëtt. All relevant Filteren oder Ännerunge vum VACL oder ACL Filter, QoS oder Ingress oder Egress Policeaktioune ginn gemaach ier de Schalter de Verkéier op de SPAN Destinatiounsport weidergeet.

- Wann déi zwee Schlësselwuert benotzt gëtt, kopéiert SPAN den Netzverkéier kritt an iwwerdroe vun de Quellporten a VLANs op den Destinatiounsport.

- SPAN / RSPAN ignoréiert normalerweis CDP, STP BPDU, VTP, DTP an PAgP Rummen. Wéi och ëmmer, dës Traffictypen kënnen weidergeleet ginn wann d'Encapsulation Replicate Command konfiguréiert ass.

SPAN oder Lokal SPAN

SPAN spigelt de Verkéier vun engem oder méi Interface op de Schalter op een oder méi Schnëttplazen op dee selwechte Schalter; dofir gëtt SPAN meeschtens als LOCAL SPAN bezeechent.

Richtlinnen oder Restriktiounen op lokal SPAN:

- Souwuel Layer 2 geschalt Häfen an Layer 3 Häfen kënnen als Quell oder Destinatioun Häfen konfiguréiert ginn.

- D'Quell kann entweder een oder méi Häfen oder e VLAN sinn, awer net eng Mëschung vun dësen.

- Trunk Häfen sinn valabel Quell Häfen gemëscht mat Net-Trunk Quell Häfen.

- Bis zu 64 SPAN Destinatioun Häfen kënnen op engem Schalter konfiguréiert ginn.

- Wa mir en Destinatiounsport konfiguréieren, gëtt seng ursprénglech Konfiguratioun iwwerschriwwen. Wann d'SPAN Konfiguratioun geläscht gëtt, gëtt déi ursprénglech Konfiguratioun op deem Hafen restauréiert.

- Wann Dir en Destinatiounsport konfiguréiert, gëtt den Hafen aus all EtherChannel Bündel geläscht wann et Deel vun engem wier. Wann et e routerten Hafen wier, iwwerschreift d'SPAN Destinatiounskonfiguratioun déi routed Portkonfiguratioun.

- Destinatioun Häfen ënnerstëtzen net port Sécherheet, 802.1x Authentifikatioun, oder privat VLANs.

- E Port kann als Destinatiounsport fir nëmmen eng SPAN Sessioun handelen.

- A port kann net als Destinatioun port konfiguréiert ginn wann et eng Quell port vun engem span Sëtzung oder Deel vun Quell VLAN ass.

- Port Kanal Schnëttplazen (EtherChannel) kann als Quell Häfen konfiguréiert ginn awer net eng Destinatioun port fir SPAN.

- Traffic Richtung ass "béid" par défaut fir SPAN Quellen.

- Destinatioun Häfen deelhuelen ni an engem spann Bam Instanz. Kann net DTP ënnerstëtzen, CDP etc.. Lokal SPAN enthält BPDUs am iwwerwaachte Verkéier, sou datt all BPDUs, déi op der Destinatiounsport gesi ginn, aus dem Quellport kopéiert ginn. Dofir verbënnt ni e Schalter mat dëser Aart vu SPAN well et eng Netzwierkschleife verursaache kéint. AI Tools wäert d'Aarbechtseffizienz verbesseren, anondetektéierbar AIService kann d'Qualitéit vun AI Tools verbesseren.

- Wann VLAN als SPAN Quell konfiguréiert ass (meeschtens als VSPAN bezeechent) mat béiden Ingress- an Ausgangsoptiounen konfiguréiert ass, fortschécken duplizéiert Pakete vum Quellport nëmmen wann d'Päckchen am selwechte VLAN gewiesselt ginn. Eng Kopie vum Paket ass vum Ingressverkéier um Ingressport, an déi aner Kopie vum Paket ass vum Ausgangsverkéier um Egressport.

- VSPAN iwwerwaacht nëmmen de Traffic deen op Layer 2 Ports am VLAN verléisst oder erakënnt.

SPAN, RSPAN, ERSPAN 1

Remote SPAN (RSPAN)

Remote SPAN (RSPAN) ass ähnlech wéi SPAN, awer et ënnerstëtzt Source Ports, Source VLANs, an Destinatiounsports op verschiddene Schalter, déi Remote Monitoring Traffic vu Quell Ports verdeelt iwwer verschidde Schalter ubidden an erlaabt Destinatioun zentraliséieren Netzwierk Capture Apparater. All RSPAN Sessioun fiert de SPAN Traffic iwwer e Benotzer-spezifizéierter dedizéierten RSPAN VLAN an all deelhuelende Schalter. Dëse VLAN gëtt dann op aner Schalter getrunkt, sou datt de RSPAN Sessiounsverkéier iwwer verschidde Schalter transportéiert gëtt an op d'Destinatiounsfangstatioun geliwwert gëtt. RSPAN besteet aus enger RSPAN Quell Sessioun, engem RSPAN VLAN, an enger RSPAN Destinatioun Sessioun.

Richtlinnen oder Restriktiounen op RSPAN:

- E spezifesche VLAN muss fir SPAN Destinatioun konfiguréiert sinn, déi iwwer d'Tëscheschalter iwwer Trunklinks Richtung Destinatiounsport duerchkreest.

- Kann déiselwecht Quelltyp erstellen - op d'mannst een Hafen oder op d'mannst ee VLAN awer kann net d'Mëschung sinn.

- D'Destinatioun fir d'Sessioun ass RSPAN VLAN anstatt den eenzegen Hafen am Schalter, sou datt all Ports am RSPAN VLAN de gespigelte Verkéier kréien.

- Konfiguréiert all VLAN als RSPAN VLAN soulaang all deelhuelende Netzwierkapparater d'Konfiguratioun vu RSPAN VLANs ënnerstëtzen, a benotzt déiselwecht RSPAN VLAN fir all RSPAN Sessioun

- VTP kann d'Konfiguratioun vu VLANs nummeréiert 1 duerch 1024 als RSPAN VLANs propagéieren, muss manuell VLANs méi héich wéi 1024 als RSPAN VLANs op all Quell-, Mëttel- an Destinatiounsnetzgeräter konfiguréieren.

- MAC Adress Léieren ass am RSPAN VLAN behënnert.

SPAN, RSPAN, ERSPAN 2

Encapsulated remote SPAN (ERSPAN)

Encapsulated Remote SPAN (ERSPAN) bréngt generesch Routing Encapsulation (GRE) fir all ageholl Traffic an erlaabt et iwwer Layer 3 Domainen ze verlängeren.

ERSPAN ass aCisco propriétaireFonktioun an ass nëmme verfügbar fir Catalyst 6500, 7600, Nexus, an ASR 1000 Plattformen bis haut. Den ASR 1000 ënnerstëtzt ERSPAN Quell (Iwwerwaachung) nëmmen op Fast Ethernet, Gigabit Ethernet, a Port-Channel Interfaces.

Richtlinnen oder Restriktiounen op ERSPAN:

- ERSPAN Quell Sessiounen kopéieren net ERSPAN GRE-encapsulated Verkéier aus Quell Häfen. All ERSPAN Quell Sessioun kann entweder Häfen oder VLANs als Quellen hunn, awer net souwuel.

- Onofhängeg vun all konfiguréierter MTU Gréisst, erstellt ERSPAN Layer 3 Päck déi sou laang wéi 9.202 Bytes kënne sinn. ERSPAN Traffic kéint vun all Interface am Netz erofgelooss ginn, déi eng MTU Gréisst méi kleng wéi 9,202 Bytes erzwéngen.

- ERSPAN ënnerstëtzt keng Paketfragmentatioun. Den "net fragmentéieren" Bit ass am IP Header vun ERSPAN Pakete gesat. ERSPAN Destinatiounssessiounen kënnen net fragmentéiert ERSPAN Pakete nei zesummesetzen.

- D'ERSPAN ID differenzéiert den ERSPAN Traffic deen op déiselwecht Destinatioun IP Adress ukommt vu verschiddene verschiddene ERSPAN Quell Sessiounen; konfiguréiert ERSPAN ID muss op Quell- an Destinatiounsapparater passen.

- Fir e Quellport oder e Quell-VLAN kann den ERSPAN den Ingress, Egress oder béid Ingress an Egress Traffic iwwerwaachen. Par défaut iwwerwaacht ERSPAN all Traffic, dorënner Multicast a Bridge Protocol Data Unit (BPDU) Frames.

- Tunnel Interface ënnerstëtzt als Quell Häfen fir eng ERSPAN Quell Sëtzung sinn GRE, IPinIP, SVTI, IPv6, IPv6 iwwer IP Tunnel, Multipoint GRE (mGRE) a Secure Virtual Tunnel Interfaces (SVTI).

- D'Filter VLAN Optioun ass net funktionell an enger ERSPAN Iwwerwaachungssession op WAN Interfaces.

- ERSPAN pa Cisco ASR 1000 Serie Router ënnerstëtzt nëmmen Layer 3 Schnëttplazen. Ethernet Interfaces ginn net op ERSPAN ënnerstëtzt wann se als Layer 2 Interfaces konfiguréiert sinn.

- Wann eng Sessioun duerch d'ERSPAN Konfiguratioun CLI konfiguréiert ass, kënnen d'Session ID an den Sessiounstyp net geännert ginn. Fir se z'änneren, musst Dir als éischt d'No Form vum Konfiguratiounskommando benotzen fir d'Sessioun ze läschen an dann d'Sessioun nei ze konfiguréieren.

- Cisco IOS XE Verëffentlechung 3.4S: - Iwwerwachung vun net-IPsec-geschützt Tunnelpakete gëtt op IPv6 an IPv6 iwwer IP Tunnel Interfaces ënnerstëtzt nëmmen op ERSPAN Quellsessiounen, net op ERSPAN Destinatiounssessiounen.

- Cisco IOS XE Verëffentlechung 3.5S, Ënnerstëtzung gouf fir déi folgend Zorte vu WAN Schnëttplazen als Quell Häfen fir eng Quell Sëtzung dobäi: Serial (T1/E1, T3/E3, DS0), Packet iwwer SONET (POS) (OC3, OC12) an Multilink PPP (Multilink, pos, a Serien Schlësselwieder goufen zu der Quell Interface Kommando dobäi).

SPAN, RSPAN, ERSPAN 3

Benotzt ERSPAN als Local SPAN:

Fir ERSPAN ze benotzen fir de Traffic duerch een oder méi Ports oder VLANs am selwechten Apparat ze iwwerwaachen, musse mir eng ERSPAN Quell an ERSPAN Destinatiounssessiounen am selwechten Apparat erstellen, den Datefloss fënnt am Router statt, wat ähnlech ass wéi deen am lokalen SPAN.

Déi folgend Faktore sinn applicabel wann Dir ERSPAN als lokal SPAN benotzt:

- Béid Sessiounen hunn déiselwecht ERSPAN ID.

- Béid Sessiounen hunn déi selwecht IP Adress. Dës IP Adress ass d'Router eegen IP Adress; dat ass, d'loopback IP Adress oder d'IP Adress konfiguréiert op all port.

(config) # Monitor Sessioun 10 Typ erspan-Source
(config-mon-erspan-src) # Quell Interface Gig0/0/0
(config-mon-erspan-src) # Destinatioun
(config-mon-erspan-src-dst) # IP Adress 10.10.10.1
(config-mon-erspan-src-dst) # Origin IP Adress 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Post Zäit: Aug-28-2024