Οι τεχνικές SPAN, RSPAN και ERSPAN χρησιμοποιούνται στη δικτύωση για τη λήψη και την παρακολούθηση της επισκεψιμότητας για ανάλυση. Ακολουθεί μια σύντομη επισκόπηση της καθεμίας:
SPAN (Αναλυτής Θυρών Μεταγωγής)
Σκοπός: Χρησιμοποιείται για τον κατοπτρισμό της κυκλοφορίας από συγκεκριμένες θύρες ή VLAN σε έναν διακόπτη σε άλλη θύρα για παρακολούθηση.
Περίπτωση Χρήσης: Ιδανικό για ανάλυση τοπικής κίνησης σε έναν μόνο διακόπτη. Η κίνηση κατοπτρίζεται σε μια καθορισμένη θύρα όπου ένας αναλυτής δικτύου μπορεί να την καταγράψει.
RSPAN (Απομακρυσμένο SPAN)
Σκοπός: Επεκτείνει τις δυνατότητες SPAN σε πολλαπλούς διακόπτες σε ένα δίκτυο.
Περίπτωση Χρήσης: Επιτρέπει την παρακολούθηση της κίνησης από έναν μεταγωγέα σε έναν άλλο μέσω μιας ζεύξης κεντρικού αγωγού. Χρήσιμο για σενάρια όπου η συσκευή παρακολούθησης βρίσκεται σε διαφορετικό μεταγωγέα.
ERSPAN (Ενθυλακωμένο Απομακρυσμένο SPAN)
Σκοπός: Συνδυάζει το RSPAN με το GRE (Generic Routing Encapsulation) για την ενσωμάτωση της κατοπτρισμένης κυκλοφορίας.
Περίπτωση Χρήσης: Επιτρέπει την παρακολούθηση της κίνησης σε δρομολογημένα δίκτυα. Αυτό είναι χρήσιμο σε σύνθετες αρχιτεκτονικές δικτύων όπου η κίνηση πρέπει να καταγράφεται σε διαφορετικά τμήματα.
Το Switch Port Analyzer (SPAN) είναι ένα αποτελεσματικό σύστημα παρακολούθησης κίνησης υψηλής απόδοσης. Κατευθύνει ή αντικατοπτρίζει την κίνηση από μια θύρα πηγής ή VLAN σε μια θύρα προορισμού. Αυτό μερικές φορές αναφέρεται ως παρακολούθηση περιόδου σύνδεσης. Το SPAN χρησιμοποιείται για την αντιμετώπιση προβλημάτων συνδεσιμότητας και τον υπολογισμό της χρήσης και της απόδοσης του δικτύου, μεταξύ πολλών άλλων. Υπάρχουν τρεις τύποι SPAN που υποστηρίζονται σε προϊόντα Cisco...
α. SPAN ή τοπικό SPAN.
β. Απομακρυσμένο SPAN (RSPAN).
γ. Ενθυλακωμένο απομακρυσμένο SPAN (ERSPAN).
Για να ξέρω: "Mylinking™ Network Packet Broker με χαρακτηριστικά SPAN, RSPAN και ERSPAN"
Το SPAN / traffic mirroring / port mirroring χρησιμοποιείται για πολλούς σκοπούς, παρακάτω περιλαμβάνονται μερικοί.
- Υλοποίηση IDS/IPS σε αδιάκριτη λειτουργία.
- Λύσεις καταγραφής κλήσεων VOIP.
- Λόγοι συμμόρφωσης με την ασφάλεια για την παρακολούθηση και ανάλυση της κυκλοφορίας.
- Αντιμετώπιση προβλημάτων σύνδεσης, παρακολούθηση της κυκλοφορίας.
Ανεξάρτητα από τον τύπο SPAN που εκτελείται, η πηγή SPAN μπορεί να είναι οποιοσδήποτε τύπος θύρας, π.χ. μια δρομολογημένη θύρα, μια φυσική θύρα διακόπτη, μια θύρα πρόσβασης, ένας κορμός, ένα VLAN (όλες οι ενεργές θύρες παρακολουθούνται από τον διακόπτη), ένα EtherChannel (είτε μια θύρα είτε ολόκληρες διεπαφές θύρας-καναλιού) κ.λπ. Σημειώστε ότι μια θύρα που έχει ρυθμιστεί για προορισμό SPAN ΔΕΝ ΜΠΟΡΕΙ να είναι μέρος ενός VLAN πηγής SPAN.
Οι συνεδρίες SPAN υποστηρίζουν την παρακολούθηση της κυκλοφορίας εισόδου (ingress SPAN), της κυκλοφορίας εξόδου (egress SPAN) ή της κυκλοφορίας που ρέει και προς τις δύο κατευθύνσεις.
- Το Ingress SPAN (RX) αντιγράφει την κίνηση που λαμβάνεται από τις θύρες πηγής και τα VLAN στη θύρα προορισμού. Το SPAN αντιγράφει την κίνηση πριν από οποιαδήποτε τροποποίηση (για παράδειγμα, πριν από οποιοδήποτε φίλτρο VACL ή ACL, QoS ή αστυνόμευση εισόδου ή εξόδου).
- Το Egress SPAN (TX) αντιγράφει την κίνηση που μεταδίδεται από τις θύρες πηγής και τα VLAN στη θύρα προορισμού. Όλες οι σχετικές ενέργειες φιλτραρίσματος ή τροποποίησης από φίλτρο VACL ή ACL, QoS ή αστυνόμευσης εισόδου ή εξόδου πραγματοποιούνται πριν ο διακόπτης προωθήσει την κίνηση στη θύρα προορισμού SPAN.
- Όταν χρησιμοποιείται η λέξη-κλειδί both (και τα δύο), το SPAN αντιγράφει την κίνηση δικτύου που λαμβάνεται και μεταδίδεται από τις θύρες πηγής και τα VLAN στη θύρα προορισμού.
- Το SPAN/RSPAN συνήθως αγνοεί τα πλαίσια CDP, STP BPDU, VTP, DTP και PAgP. Ωστόσο, αυτοί οι τύποι κίνησης μπορούν να προωθηθούν εάν έχει ρυθμιστεί η εντολή επανάληψης ενθυλάκωσης.
SPAN ή Τοπικό SPAN
Το SPAN αντικατοπτρίζει την κίνηση από μία ή περισσότερες διεπαφές στον διακόπτη σε μία ή περισσότερες διεπαφές στον ίδιο διακόπτη· επομένως, το SPAN αναφέρεται κυρίως ως ΤΟΠΙΚΟ SPAN.
Οδηγίες ή περιορισμοί για το τοπικό SPAN:
- Τόσο οι θύρες μεταγωγής επιπέδου 2 όσο και οι θύρες επιπέδου 3 μπορούν να διαμορφωθούν ως θύρες προέλευσης ή προορισμού.
- Η πηγή μπορεί να είναι μία ή περισσότερες θύρες ή ένα VLAN, αλλά όχι ένας συνδυασμός αυτών.
- Οι θύρες trunk είναι έγκυρες θύρες πηγής που αναμειγνύονται με θύρες πηγής που δεν είναι trunk.
- Μπορούν να ρυθμιστούν έως και 64 θύρες προορισμού SPAN σε έναν διακόπτη.
- Όταν ρυθμίζουμε μια θύρα προορισμού, η αρχική της ρύθμιση παραμέτρων αντικαθίσταται. Εάν καταργηθεί η ρύθμιση παραμέτρων SPAN, επαναφέρεται η αρχική ρύθμιση παραμέτρων σε αυτήν τη θύρα.
- Όταν ρυθμίζετε μια θύρα προορισμού, η θύρα αφαιρείται από οποιαδήποτε δέσμη EtherChannel εάν ήταν μέρος μιας τέτοιας. Εάν ήταν μια δρομολογημένη θύρα, η ρύθμιση παραμέτρων προορισμού SPAN υπερισχύει της ρύθμισης παραμέτρων δρομολογημένης θύρας.
- Οι θύρες προορισμού δεν υποστηρίζουν ασφάλεια θύρας, έλεγχο ταυτότητας 802.1x ή ιδιωτικά VLAN.
- Μια θύρα μπορεί να λειτουργήσει ως θύρα προορισμού μόνο για μία συνεδρία SPAN.
- Μια θύρα δεν μπορεί να διαμορφωθεί ως θύρα προορισμού εάν είναι θύρα προέλευσης μιας περιόδου σύνδεσης span ή μέρος του VLAN προέλευσης.
- Οι διεπαφές καναλιού θύρας (EtherChannel) μπορούν να διαμορφωθούν ως θύρες πηγής αλλά όχι ως θύρα προορισμού για SPAN.
- Η κατεύθυνση κυκλοφορίας είναι «και τα δύο» από προεπιλογή για τις πηγές SPAN.
- Οι θύρες προορισμού δεν συμμετέχουν ποτέ σε μια παρουσία spanning-tree. Δεν είναι δυνατή η υποστήριξη DTP, CDP κ.λπ. Το τοπικό SPAN περιλαμβάνει BPDU στην παρακολουθούμενη κίνηση, επομένως τυχόν BPDU που εμφανίζονται στη θύρα προορισμού αντιγράφονται από τη θύρα προέλευσης. Επομένως, μην συνδέετε ποτέ έναν διακόπτη σε αυτόν τον τύπο SPAN, καθώς αυτό θα μπορούσε να προκαλέσει βρόχο δικτύου. Τα εργαλεία τεχνητής νοημοσύνης θα βελτιώσουν την αποδοτικότητα της εργασίας καιμη ανιχνεύσιμη Τεχνητή ΝοημοσύνηΗ υπηρεσία μπορεί να βελτιώσει την ποιότητα των εργαλείων Τεχνητής Νοημοσύνης.
- Όταν το VLAN έχει ρυθμιστεί ως πηγή SPAN (συνήθως αναφέρεται ως VSPAN) με ρυθμισμένες επιλογές εισόδου και εξόδου, τα διπλότυπα πακέτα προωθούνται από τη θύρα προέλευσης μόνο εάν τα πακέτα εναλλάσσονται στο ίδιο VLAN. Ένα αντίγραφο του πακέτου προέρχεται από την κίνηση εισόδου στη θύρα εισόδου και το άλλο αντίγραφο του πακέτου προέρχεται από την κίνηση εξόδου στη θύρα εξόδου.
- Το VSPAN παρακολουθεί μόνο την κίνηση που εξέρχεται ή εισέρχεται σε θύρες Layer 2 στο VLAN.
Απομακρυσμένο SPAN (RSPAN)
Το απομακρυσμένο SPAN (RSPAN) είναι παρόμοιο με το SPAN, αλλά υποστηρίζει θύρες πηγής, VLAN πηγής και θύρες προορισμού σε διαφορετικά switches, οι οποίες παρέχουν απομακρυσμένη παρακολούθηση της κίνησης από θύρες πηγής που κατανέμονται σε πολλαπλά switches και επιτρέπουν την κεντρική διαχείριση συσκευών καταγραφής δικτύου από τον προορισμό. Κάθε συνεδρία RSPAN μεταφέρει την κίνηση SPAN μέσω ενός καθορισμένου από τον χρήστη αποκλειστικού VLAN RSPAN σε όλα τα συμμετέχοντα switches. Αυτό το VLAN στη συνέχεια διασυνδέεται με άλλα switches, επιτρέποντας στην κίνηση της συνεδρίας RSPAN να μεταφέρεται σε πολλαπλά switches και να παραδίδεται στον σταθμό καταγραφής προορισμού. Το RSPAN αποτελείται από μια συνεδρία πηγής RSPAN, ένα VLAN RSPAN και μια συνεδρία προορισμού RSPAN.
Οδηγίες ή περιορισμοί για το RSPAN:
- Πρέπει να διαμορφωθεί ένα συγκεκριμένο VLAN για τον προορισμό SPAN, το οποίο θα διασχίζει τους ενδιάμεσους διακόπτες μέσω συνδέσμων κορμού προς τη θύρα προορισμού.
- Μπορεί να δημιουργήσει τον ίδιο τύπο πηγής – τουλάχιστον μία θύρα ή τουλάχιστον ένα VLAN, αλλά δεν μπορεί να είναι το μείγμα.
- Ο προορισμός για την περίοδο λειτουργίας είναι το RSPAN VLAN και όχι η μοναδική θύρα στο switch, επομένως όλες οι θύρες στο RSPAN VLAN θα λαμβάνουν την κατοπτρισμένη κίνηση.
- Διαμορφώστε οποιοδήποτε VLAN ως RSPAN VLAN, εφόσον όλες οι συμμετέχουσες συσκευές δικτύου υποστηρίζουν τη διαμόρφωση των RSPAN VLAN και χρησιμοποιείτε το ίδιο RSPAN VLAN για κάθε συνεδρία RSPAN.
- Το VTP μπορεί να μεταδώσει τη διαμόρφωση VLAN με αριθμούς από 1 έως 1024 ως VLAN RSPAN, αλλά πρέπει να διαμορφώσει χειροκίνητα τα VLAN με αριθμούς μεγαλύτερους από 1024 ως VLAN RSPAN σε όλες τις συσκευές δικτύου προέλευσης, ενδιάμεσων και προορισμών.
- Η εκμάθηση διεύθυνσης MAC είναι απενεργοποιημένη στο RSPAN VLAN.
Ενσωματωμένο απομακρυσμένο SPAN (ERSPAN)
Το ενθυλακωμένο απομακρυσμένο SPAN (ERSPAN) προσφέρει γενική ενθυλάκωση δρομολόγησης (GRE) για όλη την καταγεγραμμένη κίνηση και επιτρέπει την επέκτασή της σε όλους τους τομείς του Επιπέδου 3.
Το ERSPAN είναι έναΙδιοκτησιακός χρήστης της Ciscoκαι είναι διαθέσιμη μόνο στις πλατφόρμες Catalyst 6500, 7600, Nexus και ASR 1000 μέχρι σήμερα. Το ASR 1000 υποστηρίζει πηγή ERSPAN (παρακολούθηση) μόνο σε διεπαφές Fast Ethernet, Gigabit Ethernet και θύρας-καναλιού.
Οδηγίες ή περιορισμοί για το ERSPAN:
- Οι συνεδρίες προέλευσης ERSPAN δεν αντιγράφουν την κυκλοφορία που έχει ενσωματωθεί σε ERSPAN GRE από τις θύρες προέλευσης. Κάθε συνεδρία προέλευσης ERSPAN μπορεί να έχει είτε θύρες είτε VLAN ως πηγές, αλλά όχι και τα δύο.
- Ανεξάρτητα από οποιοδήποτε διαμορφωμένο μέγεθος MTU, το ERSPAN δημιουργεί πακέτα Layer 3 που μπορούν να έχουν μήκος έως και 9.202 byte. Η κίνηση ERSPAN μπορεί να απορριφθεί από οποιαδήποτε διεπαφή στο δίκτυο που επιβάλλει μέγεθος MTU μικρότερο από 9.202 byte.
- Το ERSPAN δεν υποστηρίζει τον κατακερματισμό πακέτων. Το bit "χωρίς κατακερματισμό" ορίζεται στην κεφαλίδα IP των πακέτων ERSPAN. Οι συνεδρίες προορισμού ERSPAN δεν μπορούν να επανασυναρμολογήσουν κατακερματισμένα πακέτα ERSPAN.
- Το αναγνωριστικό ERSPAN διαφοροποιεί την κίνηση ERSPAN που φτάνει στην ίδια διεύθυνση IP προορισμού από διάφορες διαφορετικές συνεδρίες προέλευσης ERSPAN. Το διαμορφωμένο αναγνωριστικό ERSPAN πρέπει να ταιριάζει στις συσκευές προέλευσης και προορισμού.
- Για μια θύρα πηγής ή ένα VLAN πηγής, το ERSPAN μπορεί να παρακολουθεί την κίνηση εισόδου, εξόδου ή και τις δύο. Από προεπιλογή, το ERSPAN παρακολουθεί όλη την κίνηση, συμπεριλαμβανομένων των πλαισίων πολλαπλής διανομής και των πλαισίων Bridge Protocol Data Unit (BPDU).
- Οι διεπαφές σήραγγας που υποστηρίζονται ως θύρες πηγής για μια συνεδρία πηγής ERSPAN είναι οι GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) και Secure Virtual Tunnel Interfaces (SVTI).
- Η επιλογή φίλτρου VLAN δεν λειτουργεί σε μια συνεδρία παρακολούθησης ERSPAN σε διεπαφές WAN.
- Το ERSPAN σε δρομολογητές Cisco ASR σειράς 1000 υποστηρίζει μόνο διεπαφές Επιπέδου 3. Οι διεπαφές Ethernet δεν υποστηρίζονται στο ERSPAN όταν έχουν διαμορφωθεί ως διεπαφές Επιπέδου 2.
- Όταν μια συνεδρία διαμορφώνεται μέσω του CLI διαμόρφωσης ERSPAN, το αναγνωριστικό συνεδρίας και ο τύπος συνεδρίας δεν μπορούν να αλλάξουν. Για να τα αλλάξετε, πρέπει πρώτα να χρησιμοποιήσετε τη μορφή no της εντολής διαμόρφωσης για να καταργήσετε την συνεδρία και στη συνέχεια να την επαναδιαμορφώσετε.
- Cisco IOS XE Έκδοση 3.4S:- Η παρακολούθηση πακέτων σήραγγας που δεν προστατεύονται από IPsec υποστηρίζεται σε διεπαφές σήραγγας IPv6 και IPv6 μέσω IP μόνο σε συνεδρίες προέλευσης ERSPAN και όχι σε συνεδρίες προορισμού ERSPAN.
- Cisco IOS XE Έκδοση 3.5S, προστέθηκε υποστήριξη για τους ακόλουθους τύπους διεπαφών WAN ως θύρες πηγής για μια συνεδρία πηγής: Σειριακή (T1/E1, T3/E3, DS0), Πακέτο μέσω SONET (POS) (OC3, OC12) και Πολλαπλή σύνδεση PPP (οι λέξεις-κλειδιά πολλαπλής σύνδεσης, pos και σειριακής σύνδεσης προστέθηκαν στην εντολή διεπαφής πηγής).
Χρήση του ERSPAN ως τοπικού SPAN:
Για να χρησιμοποιήσουμε το ERSPAN για την παρακολούθηση της κυκλοφορίας μέσω μίας ή περισσότερων θυρών ή VLAN στην ίδια συσκευή, πρέπει να δημιουργήσουμε μια προέλευση ERSPAN και μια συνεδρία προορισμού ERSPAN στην ίδια συσκευή. Η ροή δεδομένων λαμβάνει χώρα εντός του δρομολογητή, κάτι που είναι παρόμοιο με αυτό στο τοπικό SPAN.
Οι ακόλουθοι παράγοντες ισχύουν κατά τη χρήση του ERSPAN ως τοπικού SPAN:
- Και οι δύο συνεδρίες έχουν το ίδιο αναγνωριστικό ERSPAN.
- Και οι δύο συνεδρίες έχουν την ίδια διεύθυνση IP. Αυτή η διεύθυνση IP είναι η διεύθυνση IP του δρομολογητή, δηλαδή η διεύθυνση IP loopback ή η διεύθυνση IP που έχει ρυθμιστεί σε οποιαδήποτε θύρα.
| (διαμόρφωση)# παρακολούθηση συνεδρίας 10 τύπος erspan-source |
| (config-mon-erspan-src)# διεπαφή πηγαίου κώδικα Gig0/0/0 |
| (config-mon-erspan-src)# προορισμός |
| (config-mon-erspan-src-dst)# διεύθυνση IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# διεύθυνση IP προέλευσης 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Ώρα δημοσίευσης: 28 Αυγούστου 2024
