English

Κατανόηση των SPAN, RSPAN και ERSPAN: Τεχνικές για την παρακολούθηση της κυκλοφορίας δικτύου

SPAN, RSPAN και ERSPANείναι τεχνικές που χρησιμοποιούνται στη δικτύωση για την καταγραφή και παρακολούθηση της κυκλοφορίας για ανάλυση. Ακολουθεί μια σύντομη επισκόπηση του καθενός:

SPAN (Αναλυτής εναλλαγής θύρας)

Σκοπός: Χρησιμοποιείται για τον αντικατοπτρισμό της κίνησης από συγκεκριμένες θύρες ή VLAN σε ένα μεταγωγέα σε άλλη θύρα για παρακολούθηση.

Περίπτωση χρήσης: Ιδανικό για ανάλυση τοπικής κυκλοφορίας σε έναν μόνο διακόπτη. Η κυκλοφορία αντικατοπτρίζεται σε μια καθορισμένη θύρα όπου ένας αναλυτής δικτύου μπορεί να την καταγράψει.

RSPAN (Απομακρυσμένο SPAN)

Σκοπός: Επεκτείνει τις δυνατότητες SPAN σε πολλούς μεταγωγείς σε ένα δίκτυο.

Περίπτωση χρήσης: Επιτρέπει την παρακολούθηση της κυκλοφορίας από τον έναν διακόπτη στον άλλο μέσω μιας σύνδεσης κορμού. Χρήσιμο για σενάρια όπου η συσκευή παρακολούθησης βρίσκεται σε διαφορετικό διακόπτη.

ERSPAN (Ενθυλακωμένο απομακρυσμένο SPAN)

Σκοπός: Συνδυάζει το RSPAN με το GRE (Generic Routing Encapsulation) για να ενθυλακώσει την κατοπτρισμένη κυκλοφορία.

Περίπτωση χρήσης: Επιτρέπει την παρακολούθηση της κυκλοφορίας στα δρομολογημένα δίκτυα. Αυτό είναι χρήσιμο σε πολύπλοκες αρχιτεκτονικές δικτύου όπου η κίνηση πρέπει να καταγράφεται σε διαφορετικά τμήματα.

Αναλυτής θύρας μεταγωγής (SPAN)είναι ένα αποτελεσματικό, υψηλής απόδοσης σύστημα παρακολούθησης της κυκλοφορίας. Κατευθύνει ή αντικατοπτρίζει την κίνηση από μια θύρα πηγής ή VLAN σε μια θύρα προορισμού. Αυτό μερικές φορές αναφέρεται ως παρακολούθηση συνεδρίας. Το SPAN χρησιμοποιείται για την αντιμετώπιση προβλημάτων συνδεσιμότητας και τον υπολογισμό της χρήσης και της απόδοσης του δικτύου, μεταξύ πολλών άλλων. Υπάρχουν τρεις τύποι SPAN που υποστηρίζονται σε προϊόντα Cisco…

ένα. SPAN ή τοπικό SPAN.

σι. Απομακρυσμένο SPAN (RSPAN).

ντο. Ενθυλακωμένο τηλεχειριστήριο SPAN (ERSPAN).

Για να μάθετε: "Mylinking™ Network Packet Broker με δυνατότητες SPAN, RSPAN και ERSPAN"

SPAN, RSPAN, ERSPAN

Ο κατοπτρισμός SPAN / traffic mirroring / port mirroring χρησιμοποιείται για πολλούς σκοπούς, παρακάτω περιλαμβάνει μερικούς.

- Εφαρμογή IDS/IPS σε ακατάλληλη λειτουργία.

- Λύσεις καταγραφής κλήσεων VOIP.

- Λόγοι συμμόρφωσης με την ασφάλεια για την παρακολούθηση και ανάλυση της κυκλοφορίας.

- Αντιμετώπιση προβλημάτων σύνδεσης, παρακολούθηση της κυκλοφορίας.

Ανεξάρτητα από τον τύπο SPAN που εκτελείται, η πηγή SPAN μπορεί να είναι οποιοσδήποτε τύπος θύρας, π.χ. θύρα δρομολόγησης, φυσική θύρα μεταγωγέα, θύρα πρόσβασης, trunk, VLAN (όλες οι ενεργές θύρες παρακολουθούνται του μεταγωγέα), EtherChannel (είτε μια θύρα είτε μια ολόκληρη θύρα -διασυνδέσεις καναλιών) κ.λπ. Σημειώστε ότι μια θύρα που έχει ρυθμιστεί για προορισμό SPAN ΔΕΝ ΜΠΟΡΕΙ να είναι μέρος ενός VLAN πηγής SPAN.

Οι περίοδοι σύνδεσης SPAN υποστηρίζουν την παρακολούθηση της κυκλοφορίας εισόδου (ingress SPAN), της κυκλοφορίας εξόδου (egress SPAN) ή της κυκλοφορίας που ρέει και προς τις δύο κατευθύνσεις.

- Το Ingress SPAN (RX) αντιγράφει την κίνηση που λαμβάνεται από τις θύρες προέλευσης και τα VLAN στη θύρα προορισμού. Το SPAN αντιγράφει την κίνηση πριν από οποιαδήποτε τροποποίηση (για παράδειγμα πριν από οποιοδήποτε φίλτρο VACL ή ACL, QoS ή αστυνόμευση εισόδου ή εξόδου).

- Το Egress SPAN (TX) αντιγράφει την κίνηση που μεταδίδεται από τις θύρες προέλευσης και τα VLAN στη θύρα προορισμού. Όλες οι σχετικές ενέργειες φιλτραρίσματος ή τροποποίησης με φίλτρο VACL ή ACL, QoS ή ενέργειες αστυνόμευσης εισόδου ή εξόδου πραγματοποιούνται πριν ο διακόπτης προωθήσει την κυκλοφορία στη θύρα προορισμού SPAN.

- Όταν χρησιμοποιείται και η δύο λέξη-κλειδί, το SPAN αντιγράφει την κίνηση δικτύου που λαμβάνεται και μεταδίδεται από τις θύρες προέλευσης και τα VLAN στη θύρα προορισμού.

- Το SPAN/RSPAN συνήθως αγνοεί τα πλαίσια CDP, STP BPDU, VTP, DTP και PAgP. Ωστόσο, αυτοί οι τύποι κυκλοφορίας μπορούν να προωθηθούν εάν έχει διαμορφωθεί η εντολή αντιγραφής ενθυλάκωσης.

SPAN ή Τοπικό SPAN

Το SPAN αντικατοπτρίζει την κίνηση από μία ή περισσότερες διεπαφές στο διακόπτη σε μία ή περισσότερες διεπαφές στον ίδιο διακόπτη. ως εκ τούτου το SPAN αναφέρεται ως επί το πλείστον ως ΤΟΠΙΚΟ SPAN.

Οδηγίες ή περιορισμοί για το τοπικό SPAN:

- Και οι δύο θύρες μεταγωγής επιπέδου 2 και θύρες επιπέδου 3 μπορούν να διαμορφωθούν ως θύρες προέλευσης ή προορισμού.

- Η πηγή μπορεί να είναι είτε μία ή περισσότερες θύρες είτε ένα VLAN, αλλά όχι συνδυασμός αυτών.

- Οι θύρες κορμού είναι έγκυρες θύρες πηγής αναμεμειγμένες με θύρες πηγής μη κορμού.

- Μπορούν να διαμορφωθούν έως και 64 θύρες προορισμού SPAN σε έναν διακόπτη.

- Όταν διαμορφώνουμε μια θύρα προορισμού, η αρχική της διαμόρφωση αντικαθίσταται. Εάν αφαιρεθεί η διαμόρφωση SPAN, αποκαθίσταται η αρχική διαμόρφωση σε αυτήν τη θύρα.

- Κατά τη διαμόρφωση μιας θύρας προορισμού, η θύρα αφαιρείται από οποιοδήποτε πακέτο EtherChannel, εάν ήταν μέρος μιας. Εάν επρόκειτο για θύρα δρομολόγησης, η διαμόρφωση προορισμού SPAN υπερισχύει της διαμόρφωσης δρομολογημένης θύρας.

- Οι θύρες προορισμού δεν υποστηρίζουν ασφάλεια θυρών, έλεγχο ταυτότητας 802.1x ή ιδιωτικά VLAN.

- Μια θύρα μπορεί να λειτουργήσει ως θύρα προορισμού μόνο για μία περίοδο λειτουργίας SPAN.

- Μια θύρα δεν μπορεί να διαμορφωθεί ως θύρα προορισμού εάν είναι μια θύρα προέλευσης μιας περιόδου λειτουργίας span ή μέρος του VLAN προέλευσης.

- Οι διεπαφές καναλιών θύρας (EtherChannel) μπορούν να διαμορφωθούν ως θύρες πηγής αλλά όχι ως θύρα προορισμού για το SPAN.

- Η κατεύθυνση κυκλοφορίας είναι "και τα δύο" από προεπιλογή για τις πηγές SPAN.

- Οι θύρες προορισμού δεν συμμετέχουν ποτέ σε μια περίπτωση που εκτείνεται σε δέντρο. Δεν μπορεί να υποστηρίξει DTP, CDP κ.λπ. Το τοπικό SPAN περιλαμβάνει BPDU στην παρακολουθούμενη κυκλοφορία, επομένως τυχόν BPDU που εμφανίζονται στη θύρα προορισμού αντιγράφονται από τη θύρα προέλευσης. Επομένως, μην συνδέετε ποτέ έναν διακόπτη σε αυτόν τον τύπο SPAN, καθώς θα μπορούσε να προκαλέσει βρόχο δικτύου.

- Όταν το VLAN έχει ρυθμιστεί ως πηγή SPAN (που αναφέρεται κυρίως ως VSPAN) με ρυθμισμένες επιλογές εισόδου και εξόδου, προωθήστε τα διπλά πακέτα από τη θύρα προέλευσης μόνο εάν τα πακέτα εναλλάσσονται στο ίδιο VLAN. Το ένα αντίγραφο του πακέτου προέρχεται από την κίνηση εισόδου στη θύρα εισόδου και το άλλο αντίγραφο του πακέτου είναι από την κίνηση εξόδου στη θύρα εξόδου.

- Το VSPAN παρακολουθεί μόνο την κυκλοφορία που εξέρχεται ή εισέρχεται στις θύρες Layer 2 στο VLAN.

SPAN, RSPAN, ERSPAN 1

Τα SPAN, RSPAN και ERSPAN είναι τεχνικές που χρησιμοποιούνται στη δικτύωση για την καταγραφή και παρακολούθηση της κυκλοφορίας για ανάλυση. Ακολουθεί μια σύντομη επισκόπηση του καθενός:

SPAN (Αναλυτής εναλλαγής θύρας)

  • Σκοπός: Χρησιμοποιείται για τον αντικατοπτρισμό της κυκλοφορίας από συγκεκριμένες θύρες ή VLAN σε έναν διακόπτη σε άλλη θύρα για παρακολούθηση.
  • Περίπτωση χρήσης: Ιδανικό για ανάλυση τοπικής κυκλοφορίας σε έναν μόνο διακόπτη. Η κυκλοφορία αντικατοπτρίζεται σε μια καθορισμένη θύρα όπου ένας αναλυτής δικτύου μπορεί να την καταγράψει.

RSPAN (Απομακρυσμένο SPAN)

  • Σκοπός: Επεκτείνει τις δυνατότητες SPAN σε πολλούς μεταγωγείς σε ένα δίκτυο.
  • Περίπτωση χρήσης: Επιτρέπει την παρακολούθηση της κυκλοφορίας από τον έναν διακόπτη στον άλλο μέσω μιας σύνδεσης κορμού. Χρήσιμο για σενάρια όπου η συσκευή παρακολούθησης βρίσκεται σε διαφορετικό διακόπτη.

ERSPAN (Ενθυλακωμένο απομακρυσμένο SPAN)

  • Σκοπός: Συνδυάζει το RSPAN με το GRE (Generic Routing Encapsulation) για να ενθυλακώσει την κατοπτρισμένη κυκλοφορία.
  • Περίπτωση χρήσης: Επιτρέπει την παρακολούθηση της κυκλοφορίας στα δρομολογημένα δίκτυα. Αυτό είναι χρήσιμο σε πολύπλοκες αρχιτεκτονικές δικτύου όπου η κίνηση πρέπει να καταγράφεται σε διαφορετικά τμήματα.

Απομακρυσμένο SPAN (RSPAN)

Το Remote SPAN (RSPAN) είναι παρόμοιο με το SPAN, αλλά υποστηρίζει θύρες πηγής, VLAN προέλευσης και θύρες προορισμού σε διαφορετικούς διακόπτες, οι οποίοι παρέχουν απομακρυσμένη παρακολούθηση της κυκλοφορίας από θύρες προέλευσης που διανέμονται σε πολλαπλούς μεταγωγείς και επιτρέπουν συσκευές λήψης δικτύου κεντρικής προορισμού. Κάθε περίοδος σύνδεσης RSPAN μεταφέρει την κίνηση SPAN μέσω ενός αποκλειστικού RSPAN VLAN που καθορίζεται από τον χρήστη σε όλους τους συμμετέχοντες διακόπτες. Αυτό το VLAN μεταφέρεται στη συνέχεια σε άλλους διακόπτες, επιτρέποντας στην κίνηση συνεδρίας RSPAN να μεταφερθεί σε πολλούς διακόπτες και να παραδοθεί στον σταθμό λήψης προορισμού. Το RSPAN αποτελείται από μια συνεδρία πηγής RSPAN, ένα RSPAN VLAN και μια περίοδο λειτουργίας προορισμού RSPAN.

Οδηγίες ή περιορισμοί στο RSPAN:

- Πρέπει να διαμορφωθεί ένα συγκεκριμένο VLAN για προορισμό SPAN, το οποίο θα διασχίζει τους ενδιάμεσους διακόπτες μέσω συνδέσμων κορμού προς τη θύρα προορισμού.

- Μπορεί να δημιουργήσει τον ίδιο τύπο πηγής – τουλάχιστον μία θύρα ή τουλάχιστον ένα VLAN, αλλά δεν μπορεί να είναι η μίξη.

- Ο προορισμός για τη συνεδρία είναι το RSPAN VLAN και όχι η μοναδική θύρα στο μεταγωγέα, επομένως όλες οι θύρες στο RSPAN VLAN θα λαμβάνουν την κατοπτρισμένη κίνηση.

- Διαμορφώστε οποιοδήποτε VLAN ως RSPAN VLAN, εφόσον όλες οι συμμετέχουσες συσκευές δικτύου υποστηρίζουν τη διαμόρφωση των RSPAN VLAN και χρησιμοποιήστε το ίδιο RSPAN VLAN για κάθε περίοδο λειτουργίας RSPAN

- Το VTP μπορεί να διαδώσει τη διαμόρφωση των VLAN με αριθμό 1 έως 1024 ως RSPAN VLAN , πρέπει να διαμορφώσει μη αυτόματα VLAN με αριθμό μεγαλύτερο από 1024 ως RSPAN VLAN σε όλες τις συσκευές δικτύου πηγής, ενδιάμεσων και προορισμού.

- Η εκμάθηση διευθύνσεων MAC είναι απενεργοποιημένη στο RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Ενθυλακωμένο τηλεχειριστήριο SPAN (ERSPAN)

Το ενθυλακωμένο απομακρυσμένο SPAN (ERSPAN) φέρνει γενική ενθυλάκωση δρομολόγησης (GRE) για όλη την καταγεγραμμένη επισκεψιμότητα και επιτρέπει την επέκτασή του σε τομείς επιπέδου 3.

Το ERSPAN είναι αΙδιόκτητο της Ciscoχαρακτηριστικό και είναι διαθέσιμο μόνο στις πλατφόρμες Catalyst 6500, 7600, Nexus και ASR 1000 μέχρι σήμερα. Το ASR 1000 υποστηρίζει πηγή ERSPAN (παρακολούθηση) μόνο σε διεπαφές Fast Ethernet, Gigabit Ethernet και θύρας.

Οδηγίες ή περιορισμοί στο ERSPAN:

- Οι περίοδοι σύνδεσης πηγής ERSPAN δεν αντιγράφουν την κυκλοφορία που είναι ενθυλακωμένη με ERSPAN GRE από τις θύρες πηγής. Κάθε περίοδος λειτουργίας πηγής ERSPAN μπορεί να έχει είτε θύρες είτε VLAN ως πηγές, αλλά όχι και τα δύο.

- Ανεξάρτητα από οποιοδήποτε διαμορφωμένο μέγεθος MTU, το ERSPAN δημιουργεί πακέτα Layer 3 που μπορεί να είναι έως και 9.202 byte. Η κυκλοφορία ERSPAN μπορεί να απορριφθεί από οποιαδήποτε διεπαφή στο δίκτυο που επιβάλλει μέγεθος MTU μικρότερο από 9.202 byte.

- Το ERSPAN δεν υποστηρίζει κατακερματισμό πακέτων. Το bit "do not fragmentation" ορίζεται στην κεφαλίδα IP των πακέτων ERSPAN. Οι περίοδοι σύνδεσης προορισμού ERSPAN δεν μπορούν να συναρμολογήσουν εκ νέου κατακερματισμένα πακέτα ERSPAN.

- Το αναγνωριστικό ERSPAN διαφοροποιεί την κίνηση ERSPAN που φθάνει στην ίδια διεύθυνση IP προορισμού από διάφορες διαφορετικές συνεδρίες πηγής ERSPAN. Το ρυθμισμένο αναγνωριστικό ERSPAN πρέπει να ταιριάζει στις συσκευές προέλευσης και προορισμού.

- Για μια θύρα πηγής ή μια πηγή VLAN, το ERSPAN μπορεί να παρακολουθεί την κίνηση εισόδου, εξόδου ή και εισόδου και εξόδου. Από προεπιλογή, το ERSPAN παρακολουθεί όλη την κυκλοφορία, συμπεριλαμβανομένων των πλαισίων multicast και Bridge Protocol Data Unit (BPDU).

- Η διεπαφή σήραγγας που υποστηρίζεται ως θύρες πηγής για μια περίοδο λειτουργίας πηγής ERSPAN είναι οι GRE, IPinIP, SVTI, IPv6, IPv6 μέσω IP tunnel, Multipoint GRE (mGRE) και Secure Virtual Tunnel Interfaces (SVTI).

- Η επιλογή φίλτρου VLAN δεν είναι λειτουργική σε μια περίοδο λειτουργίας παρακολούθησης ERSPAN σε διεπαφές WAN.

- Το ERSPAN στους δρομολογητές Cisco ASR 1000 Series Routers υποστηρίζει μόνο διασυνδέσεις επιπέδου 3. Οι διεπαφές Ethernet δεν υποστηρίζονται στο ERSPAN όταν έχουν διαμορφωθεί ως διεπαφές επιπέδου 2.

- Όταν μια περίοδος λειτουργίας διαμορφώνεται μέσω της διαμόρφωσης ERSPAN CLI, το αναγνωριστικό περιόδου σύνδεσης και ο τύπος συνεδρίας δεν μπορούν να αλλάξουν. Για να τα αλλάξετε, πρέπει πρώτα να χρησιμοποιήσετε τη φόρμα no της εντολής διαμόρφωσης για να καταργήσετε τη συνεδρία και, στη συνέχεια, να ρυθμίσετε ξανά τις παραμέτρους της συνεδρίας.

- Cisco IOS XE Release 3.4S: - Η παρακολούθηση πακέτων σήραγγας που δεν προστατεύονται από IPsec υποστηρίζεται σε IPv6 και IPv6 μέσω διασυνδέσεων IP σήραγγας μόνο σε περιόδους σύνδεσης πηγής ERSPAN, όχι σε περιόδους σύνδεσης προορισμού ERSPAN.

- Cisco IOS XE Release 3.5S, προστέθηκε υποστήριξη για τους ακόλουθους τύπους διεπαφών WAN ως θύρες πηγής για μια περίοδο λειτουργίας πηγής: Σειριακή (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) και Multilink PPP ( multilink, pos και σειριακές λέξεις-κλειδιά προστέθηκαν στην εντολή διασύνδεσης πηγής).

SPAN, RSPAN, ERSPAN 3

Χρήση του ERSPAN ως τοπικού SPAN:

Για να χρησιμοποιήσουμε το ERSPAN για την παρακολούθηση της κυκλοφορίας μέσω μιας ή περισσότερων θυρών ή VLAN στην ίδια συσκευή, πρέπει να δημιουργήσουμε μια πηγή ERSPAN και συνεδρίες προορισμού ERSPAN στην ίδια συσκευή, η ροή δεδομένων πραγματοποιείται μέσα στο δρομολογητή, η οποία είναι παρόμοια με αυτή στο τοπικό SPAN.

Οι ακόλουθοι παράγοντες ισχύουν κατά τη χρήση του ERSPAN ως τοπικού SPAN:

- Και οι δύο συνεδρίες έχουν το ίδιο ERSPAN ID.

- Και οι δύο συνεδρίες έχουν την ίδια διεύθυνση IP. Αυτή η διεύθυνση IP είναι η διεύθυνση IP του δρομολογητή. δηλαδή, τη διεύθυνση IP με επαναφορά βρόχου ή τη διεύθυνση IP που έχει ρυθμιστεί σε οποιαδήποτε θύρα.

(config)# monitor session 10 τύπου erspan-source
(config-mon-erspan-src)# διεπαφή πηγής Gig0/0/0
(config-mon-erspan-src)# προορισμός
(config-mon-erspan-src-dst)# διεύθυνση IP 10.10.10.1
(config-mon-erspan-src-dst)# διεύθυνση IP προέλευσης 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Ώρα ανάρτησης: 28 Αυγούστου 2024
Πατήστε enter για αναζήτηση ή ESC για κλείσιμο