SPAN, RSPAN en ERSPAN begrijpen: technieken voor monitoring van netwerkverkeer

SPAN, RSPAN en ERSPAN zijn technieken die in netwerken worden gebruikt om verkeer vast te leggen en te monitoren voor analyse. Hier is een kort overzicht van elk:

SPAN (geschakelde poortanalysator)

Doel: Wordt gebruikt om verkeer van specifieke poorten of VLAN's op een switch naar een andere poort te spiegelen voor monitoring.

Gebruiksvoorbeeld: Ideaal voor lokale verkeersanalyse op één schakelaar. Verkeer wordt gespiegeld naar een aangewezen poort waar een netwerkanalysator het kan vastleggen.

RSPAN (op afstand gelegen SPAN)

Doel: Breidt de SPAN-mogelijkheden uit over meerdere switches in een netwerk.

Gebruiksvoorbeeld: Maakt het monitoren van verkeer van de ene switch naar de andere via een trunkverbinding mogelijk. Handig voor scenario's waarbij het bewakingsapparaat zich op een andere schakelaar bevindt.

ERSPAN (ingekapselde externe SPAN)

Doel: Combineert RSPAN met GRE (Generic Routing Encapsulation) om het gespiegelde verkeer in te kapselen.

Gebruiksvoorbeeld: Maakt het monitoren van verkeer over gerouteerde netwerken mogelijk. Dit is handig in complexe netwerkarchitecturen waar verkeer over verschillende segmenten moet worden vastgelegd.

Switch Port Analyzer (SPAN) is een efficiënt, krachtig verkeersmonitoringsysteem. Het stuurt of spiegelt verkeer van een bronpoort of VLAN naar een bestemmingspoort. Dit wordt ook wel sessiemonitoring genoemd. SPAN wordt onder andere gebruikt voor het oplossen van verbindingsproblemen en het berekenen van netwerkgebruik en -prestaties. Er worden drie typen SPAN's ondersteund op Cisco-producten...

A. SPAN of lokale SPAN.

B. Externe SPAN (RSPAN).

C. Ingekapselde externe SPAN (ERSPAN).

Om te weten: "Mylinking™ Network Packet Broker met SPAN-, RSPAN- en ERSPAN-functies"

SPAN, RSPAN, ERSPAN

SPAN / traffic mirroring / port mirroring wordt voor vele doeleinden gebruikt, hieronder staan ​​er enkele.

- Implementatie van IDS/IPS in promiscue modus.

- VOIP-oproepopname-oplossingen.

- Redenen voor naleving van de beveiligingsvoorschriften om verkeer te monitoren en te analyseren.

- Verbindingsproblemen oplossen, verkeer monitoren.

Ongeacht het SPAN-type dat actief is, kan de SPAN-bron elk type poort zijn, dat wil zeggen een gerouteerde poort, een fysieke switchpoort, een toegangspoort, trunk, VLAN (alle actieve poorten worden gemonitord door de switch), een EtherChannel (een poort of een volledige poort). -channel interfaces) enz. Houd er rekening mee dat een poort die is geconfigureerd voor een SPAN-bestemming GEEN onderdeel kan zijn van een SPAN-bron-VLAN.

SPAN-sessies ondersteunen het monitoren van inkomend verkeer (ingress SPAN), uitgaand verkeer (egress SPAN) of verkeer dat in beide richtingen stroomt.

- Ingress SPAN (RX) kopieert verkeer dat wordt ontvangen door de bronpoorten en VLAN's naar de bestemmingspoort. SPAN kopieert het verkeer voordat er enige wijziging plaatsvindt (bijvoorbeeld vóór een VACL- of ACL-filter, QoS of controle op inkomend of uitgaand verkeer).

- Egress SPAN (TX) kopieert verkeer dat wordt verzonden vanaf de bronpoorten en VLAN's naar de bestemmingspoort. Alle relevante filtering of wijziging door VACL- of ACL-filter, QoS of inkomende of uitgaande politieacties worden ondernomen voordat de switch verkeer doorstuurt naar de SPAN-bestemmingspoort.

- Wanneer het sleutelwoord beide wordt gebruikt, kopieert SPAN het netwerkverkeer dat wordt ontvangen en verzonden door de bronpoorten en VLAN's naar de bestemmingspoort.

- SPAN/RSPAN negeert doorgaans CDP-, STP-BPDU-, VTP-, DTP- en PAgP-frames. Deze verkeerstypen kunnen echter worden doorgestuurd als de opdracht voor het repliceren van inkapseling is geconfigureerd.

SPAN of Lokaal SPAN

SPAN spiegelt verkeer van een of meer interfaces op de switch naar een of meer interfaces op dezelfde switch; daarom wordt SPAN meestal LOCAL SPAN genoemd.

Richtlijnen of beperkingen voor lokale SPAN:

- Zowel Layer 2-geschakelde poorten als Layer 3-poorten kunnen worden geconfigureerd als bron- of bestemmingspoorten.

- De bron kan een of meer poorten of een VLAN zijn, maar geen combinatie hiervan.

- Trunkpoorten zijn geldige bronpoorten gemengd met niet-trunkbronpoorten.

- Er kunnen maximaal 64 SPAN-bestemmingspoorten op een switch worden geconfigureerd.

- Wanneer we een bestemmingspoort configureren, wordt de oorspronkelijke configuratie overschreven. Als de SPAN-configuratie wordt verwijderd, wordt de oorspronkelijke configuratie op die poort hersteld.

- Wanneer u een bestemmingspoort configureert, wordt de poort verwijderd uit elke EtherChannel-bundel als deze deel uitmaakt van een bundel. Als het een gerouteerde poort is, overschrijft de SPAN-bestemmingsconfiguratie de gerouteerde poortconfiguratie.

- Bestemmingspoorten ondersteunen geen poortbeveiliging, 802.1x-authenticatie of privé-VLAN's.

- Een poort kan slechts voor één SPAN-sessie als bestemmingspoort fungeren.

- Een poort kan niet worden geconfigureerd als bestemmingspoort als deze een bronpoort is van een span-sessie of onderdeel is van een bron-VLAN.

- Poortkanaalinterfaces (EtherChannel) kunnen worden geconfigureerd als bronpoorten, maar niet als bestemmingspoort voor SPAN.

- Verkeersrichting is standaard “beide” voor SPAN-bronnen.

- Bestemmingspoorten nemen nooit deel aan een spanning-tree-instantie. Kan geen DTP, CDP etc. ondersteunen. Lokale SPAN omvat BPDU's in het bewaakte verkeer, dus alle BPDU's die op de bestemmingspoort worden gezien, worden gekopieerd van de bronpoort. Sluit daarom nooit een switch aan op dit type SPAN, omdat dit een netwerklus kan veroorzaken. AI-tools zullen de werkefficiëntie verbeteren, enniet-detecteerbare AIservice kan de kwaliteit van AI-tools verbeteren.

- Wanneer VLAN is geconfigureerd als SPAN-bron (meestal VSPAN genoemd) met zowel inkomende als uitgaande opties geconfigureerd, stuur dan dubbele pakketten alleen door vanaf de bronpoort als de pakketten in hetzelfde VLAN worden geschakeld. Eén kopie van het pakket is afkomstig van het binnenkomende verkeer op de binnenkomende poort, en de andere kopie van het pakket is afkomstig van het uitgaande verkeer op de uitgaande poort.

- VSPAN controleert alleen verkeer dat Layer 2-poorten in het VLAN verlaat of binnenkomt.

SPAN, RSPAN, ERSPAN 1

Externe SPAN (RSPAN)

Remote SPAN (RSPAN) is vergelijkbaar met SPAN, maar ondersteunt bronpoorten, bron-VLAN's en bestemmingspoorten op verschillende switches, waardoor verkeer op afstand kan worden gemonitord vanaf bronpoorten die over meerdere switches zijn verdeeld en waarmee bestemmingsapparaten voor netwerkregistratie kunnen worden gecentraliseerd. Elke RSPAN-sessie transporteert het SPAN-verkeer via een door de gebruiker gespecificeerd speciaal RSPAN VLAN in alle deelnemende switches. Dit VLAN wordt vervolgens gekoppeld aan andere switches, waardoor het RSPAN-sessieverkeer over meerdere switches kan worden getransporteerd en kan worden afgeleverd bij het opnamestation van bestemming. RSPAN bestaat uit een RSPAN-bronsessie, een RSPAN VLAN en een RSPAN-doelsessie.

Richtlijnen of beperkingen voor RSPAN:

- Er moet een specifiek VLAN worden geconfigureerd voor de SPAN-bestemming, die via trunkverbindingen over de tussenliggende switches naar de bestemmingspoort gaat.

- Kan hetzelfde brontype creëren – minstens één poort of minstens één VLAN, maar kan geen mix zijn.

- De bestemming voor de sessie is RSPAN VLAN in plaats van de enkele poort in de switch, dus alle poorten in RSPAN VLAN zullen het gespiegelde verkeer ontvangen.

- Configureer elk VLAN als een RSPAN VLAN, zolang alle deelnemende netwerkapparaten de configuratie van RSPAN VLAN's ondersteunen, en gebruik hetzelfde RSPAN VLAN voor elke RSPAN-sessie

- VTP kan de configuratie van VLAN's met de nummers 1 tot en met 1024 doorgeven als RSPAN VLAN's. VLAN's met een nummer hoger dan 1024 moeten handmatig worden geconfigureerd als RSPAN VLAN's op alle bron-, tussenliggende en bestemmingsnetwerkapparaten.

- Het leren van MAC-adressen is uitgeschakeld in het RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Ingekapselde externe SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) zorgt voor generieke routing-inkapseling (GRE) voor al het vastgelegde verkeer en maakt het mogelijk dit uit te breiden over Layer 3-domeinen.

ERSPAN is eenEigendom van Ciscofunctie en is tot nu toe alleen beschikbaar voor Catalyst 6500-, 7600-, Nexus- en ASR 1000-platforms. De ASR 1000 ondersteunt ERSPAN-bron (monitoring) alleen op Fast Ethernet-, Gigabit Ethernet- en poort-kanaalinterfaces.

Richtlijnen of beperkingen voor ERSPAN:

- ERSPAN-bronsessies kopiëren geen ERSPAN GRE-ingekapseld verkeer van bronpoorten. Elke ERSPAN-bronsessie kan poorten of VLAN's als bron hebben, maar niet beide.

- Ongeacht de geconfigureerde MTU-grootte creëert ERSPAN Layer 3-pakketten die wel 9.202 bytes lang kunnen zijn. ERSPAN-verkeer kan worden verwijderd door elke interface in het netwerk die een MTU-grootte kleiner dan 9.202 bytes afdwingt.

- ERSPAN ondersteunt geen pakketfragmentatie. Het "niet fragmenteren"-bit wordt ingesteld in de IP-header van ERSPAN-pakketten. ERSPAN-bestemmingssessies kunnen gefragmenteerde ERSPAN-pakketten niet opnieuw samenstellen.

- De ERSPAN-ID onderscheidt het ERSPAN-verkeer dat op hetzelfde bestemmings-IP-adres aankomt, van verschillende ERSPAN-bronsessies; geconfigureerde ERSPAN-ID moet overeenkomen op bron- en bestemmingsapparaten.

- Voor een bronpoort of een bron-VLAN kan de ERSPAN het inkomend, uitgaand of zowel inkomend als uitgaand verkeer monitoren. Standaard bewaakt ERSPAN al het verkeer, inclusief multicast- en Bridge Protocol Data Unit (BPDU)-frames.

- Tunnelinterfaces die worden ondersteund als bronpoorten voor een ERSPAN-bronsessie zijn GRE, IPinIP, SVTI, IPv6, IPv6 via IP-tunnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).

- De filter-VLAN-optie is niet functioneel in een ERSPAN-bewakingssessie op WAN-interfaces.

- ERSPAN op Cisco ASR 1000-serie routers ondersteunt alleen Layer 3-interfaces. Ethernet-interfaces worden niet ondersteund op ERSPAN wanneer ze zijn geconfigureerd als Layer 2-interfaces.

- Wanneer een sessie wordt geconfigureerd via de ERSPAN-configuratie-CLI, kunnen de sessie-ID en het sessietype niet worden gewijzigd. Om deze te wijzigen, moet u eerst de no-vorm van het configuratiecommando gebruiken om de sessie te verwijderen en vervolgens de sessie opnieuw configureren.

- Cisco IOS XE versie 3.4S: - Monitoring van niet-IPsec-beveiligde tunnelpakketten wordt alleen ondersteund op IPv6 en IPv6 via IP-tunnelinterfaces voor ERSPAN-bronsessies, niet voor ERSPAN-doelsessies.

- Cisco IOS XE Release 3.5S, ondersteuning is toegevoegd voor de volgende typen WAN-interfaces als bronpoorten voor een bronsessie: Serieel (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) en Multilink PPP (multilink-, pos- en seriële trefwoorden zijn toegevoegd aan de broninterfaceopdracht).

SPAN, RSPAN, ERSPAN 3

ERSPAN gebruiken als lokale SPAN:

Om ERSPAN te gebruiken om verkeer via een of meer poorten of VLAN's op hetzelfde apparaat te monitoren, moeten we een ERSPAN-bron- en ERSPAN-bestemmingssessie op hetzelfde apparaat creëren. De gegevensstroom vindt plaats binnen de router, wat vergelijkbaar is met die in lokale SPAN.

De volgende factoren zijn van toepassing bij het gebruik van ERSPAN als lokale SPAN:

- Beide sessies hebben dezelfde ERSPAN-ID.

- Beide sessies hebben hetzelfde IP-adres. Dit IP-adres is het eigen IP-adres van de router; dat wil zeggen het loopback-IP-adres of het IP-adres dat op een willekeurige poort is geconfigureerd.

(config)# monitorsessie 10 type erspan-source
(config-mon-erspan-src)# broninterface Gig0/0/0
(config-mon-erspan-src)# bestemming
(config-mon-erspan-src-dst)# ip-adres 10.10.10.1
(config-mon-erspan-src-dst)# oorsprong IP-adres 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Posttijd: 28 augustus 2024