SPAN, RSPAN en ERSPAN zijn technieken die in netwerken worden gebruikt om verkeer vast te leggen en te monitoren voor analyse. Hier volgt een kort overzicht van elk:
SPAN (geschakelde poortanalysator)
Doel: wordt gebruikt om verkeer van specifieke poorten of VLAN's op een switch te spiegelen naar een andere poort voor bewaking.
Gebruiksvoorbeeld: Ideaal voor lokale verkeersanalyse op één switch. Verkeer wordt gespiegeld naar een aangewezen poort waar een netwerkanalysator het kan vastleggen.
RSPAN (Remote SPAN)
Doel: Breidt SPAN-mogelijkheden uit naar meerdere switches in een netwerk.
Gebruiksvoorbeeld: Maakt monitoring van verkeer van de ene switch naar de andere via een trunkverbinding mogelijk. Handig voor scenario's waarbij het monitoringapparaat zich op een andere switch bevindt.
ERSPAN (Encapsulated Remote SPAN)
Doel: Combineert RSPAN met GRE (Generic Routing Encapsulation) om het gespiegelde verkeer te encapsuleren.
Use case: Maakt monitoring van verkeer over gerouteerde netwerken mogelijk. Dit is handig in complexe netwerkarchitecturen waar verkeer over verschillende segmenten moet worden vastgelegd.
Switch Port Analyzer (SPAN) is een efficiënt en krachtig systeem voor verkeersmonitoring. Het stuurt of spiegelt verkeer van een bronpoort of VLAN naar een bestemmingspoort. Dit wordt soms sessiemonitoring genoemd. SPAN wordt onder andere gebruikt voor het oplossen van connectiviteitsproblemen en het berekenen van netwerkgebruik en -prestaties. Cisco-producten ondersteunen drie typen SPAN's...
a. SPAN of lokale SPAN.
b. Externe SPAN (RSPAN).
c. Ingekapselde externe SPAN (ERSPAN).
Om te weten: "Mylinking™ Network Packet Broker met SPAN-, RSPAN- en ERSPAN-functies"
SPAN / traffic mirroring / port mirroring wordt voor veel doeleinden gebruikt, hieronder staan er een paar.
- Implementatie van IDS/IPS in promiscue modus.
- Oplossingen voor het opnemen van VoIP-gesprekken.
- Redenen om het verkeer te monitoren en analyseren in het kader van beveiligingsnaleving.
- Problemen met de verbinding oplossen en het verkeer monitoren.
Ongeacht het actieve SPAN-type kan de SPAN-bron elk type poort zijn, bijvoorbeeld een gerouteerde poort, een fysieke switchpoort, een toegangspoort, een trunk, een VLAN (alle actieve poorten van de switch worden bewaakt), een EtherChannel (een poort of hele poortkanaalinterfaces), enz. Houd er rekening mee dat een poort die is geconfigureerd voor SPAN-bestemming GEEN deel kan uitmaken van een SPAN-bron-VLAN.
SPAN-sessies ondersteunen de bewaking van inkomend verkeer (ingress SPAN), uitgaand verkeer (egress SPAN) of verkeer dat in beide richtingen stroomt.
- Ingress SPAN (RX) kopieert het verkeer dat door de bronpoorten en VLAN's wordt ontvangen naar de doelpoort. SPAN kopieert het verkeer vóór elke wijziging (bijvoorbeeld vóór een VACL- of ACL-filter, QoS of ingress- of egress-policing).
- Egress SPAN (TX) kopieert het verkeer dat van de bronpoorten en VLAN's wordt verzonden naar de bestemmingspoort. Alle relevante filtering of wijzigingen door VACL- of ACL-filters, QoS of inkomende of uitgaande policing-acties worden uitgevoerd voordat de switch het verkeer doorstuurt naar de SPAN-bestemmingspoort.
- Wanneer het sleutelwoord both wordt gebruikt, kopieert SPAN het netwerkverkeer dat door de bronpoorten en VLAN's wordt ontvangen en verzonden naar de doelpoort.
- SPAN/RSPAN negeert doorgaans CDP-, STP-BPDU-, VTP-, DTP- en PAgP-frames. Deze verkeerstypen kunnen echter wel worden doorgestuurd als de opdracht Encapsulation Replicate is geconfigureerd.
SPAN of Lokale SPAN
SPAN spiegelt het verkeer van een of meer interfaces op de switch naar een of meer interfaces op dezelfde switch. Daarom wordt SPAN meestal aangeduid als LOCAL SPAN.
Richtlijnen of beperkingen voor lokale SPAN:
- Zowel Layer 2-switched poorten als Layer 3-poorten kunnen worden geconfigureerd als bron- of doelpoorten.
- De bron kan één of meerdere poorten of een VLAN zijn, maar geen combinatie hiervan.
- Trunk-poorten zijn geldige bronpoorten gemengd met niet-trunk bronpoorten.
- Er kunnen maximaal 64 SPAN-bestemmingspoorten op een switch worden geconfigureerd.
- Wanneer we een bestemmingspoort configureren, wordt de oorspronkelijke configuratie overschreven. Als de SPAN-configuratie wordt verwijderd, wordt de oorspronkelijke configuratie op die poort hersteld.
- Wanneer een bestemmingspoort wordt geconfigureerd, wordt de poort verwijderd uit elke EtherChannel-bundel als deze er deel van uitmaakte. Als het een gerouteerde poort betreft, overschrijft de SPAN-bestemmingsconfiguratie de gerouteerde poortconfiguratie.
- Bestemmingspoorten ondersteunen geen poortbeveiliging, 802.1x-authenticatie of privé-VLAN's.
- Een poort kan slechts als bestemmingspoort voor één SPAN-sessie fungeren.
- Een poort kan niet worden geconfigureerd als doelpoort als het een bronpoort van een spansessie is of onderdeel is van een bron-VLAN.
- Poortkanaalinterfaces (EtherChannel) kunnen worden geconfigureerd als bronpoorten, maar niet als doelpoort voor SPAN.
- De verkeersrichting is standaard 'beide' voor SPAN-bronnen.
- Bestemmingspoorten nemen nooit deel aan een spanning-tree-instantie. Ondersteunt geen DTP, CDP, enz. Lokale SPAN's bevatten BPDU's in het gemonitorde verkeer, dus alle BPDU's die op de bestemmingspoort worden gezien, worden gekopieerd van de bronpoort. Sluit daarom nooit een switch aan op dit type SPAN, aangezien dit een netwerklus kan veroorzaken. AI-tools verbeteren de werkefficiëntie enondetecteerbare AIservice kan de kwaliteit van AI-tools verbeteren.
- Wanneer VLAN is geconfigureerd als SPAN-bron (meestal VSPAN genoemd) met zowel inkomende als uitgaande opties geconfigureerd, worden dubbele pakketten alleen doorgestuurd vanaf de bronpoort als de pakketten in hetzelfde VLAN worden geswitcht. Eén kopie van het pakket is afkomstig van het inkomende verkeer op de inkomende poort en de andere kopie van het pakket is afkomstig van het uitgaande verkeer op de uitgaande poort.
- VSPAN controleert alleen verkeer dat de Layer 2-poorten in het VLAN verlaat of binnenkomt.
Externe SPAN (RSPAN)
Remote SPAN (RSPAN) is vergelijkbaar met SPAN, maar ondersteunt bronpoorten, bron-VLAN's en bestemmingspoorten op verschillende switches. Dit maakt externe monitoring van het verkeer mogelijk vanaf bronpoorten die over meerdere switches zijn verdeeld en maakt het mogelijk om centraal netwerkcapture-apparaten te beheren. Elke RSPAN-sessie transporteert het SPAN-verkeer via een door de gebruiker gespecificeerd, speciaal RSPAN VLAN in alle deelnemende switches. Dit VLAN wordt vervolgens doorgestuurd naar andere switches, waardoor het RSPAN-sessieverkeer over meerdere switches kan worden getransporteerd en naar het bestemmingscapture-station kan worden verzonden. RSPAN bestaat uit een RSPAN-bronsessie, een RSPAN VLAN en een RSPAN-bestemmingssessie.
Richtlijnen of beperkingen voor RSPAN:
- Er moet een specifiek VLAN worden geconfigureerd voor de SPAN-bestemming die via trunkverbindingen over de tussenliggende switches naar de bestemmingspoort loopt.
- Kan hetzelfde brontype creëren: minimaal één poort of minimaal één VLAN, maar mag niet gecombineerd worden.
- De bestemming voor de sessie is RSPAN VLAN in plaats van de enige poort in de switch. Hierdoor ontvangen alle poorten in RSPAN VLAN het gespiegelde verkeer.
- Configureer elk VLAN als een RSPAN VLAN, zolang alle deelnemende netwerkapparaten de configuratie van RSPAN VLAN's ondersteunen en hetzelfde RSPAN VLAN gebruiken voor elke RSPAN-sessie
- VTP kan de configuratie van VLAN's met nummer 1 tot en met 1024 propageren als RSPAN VLAN's. VLAN's hoger dan 1024 moeten handmatig worden geconfigureerd als RSPAN VLAN's op alle bron-, tussenliggende en doelnetwerkapparaten.
- MAC-adresleren is uitgeschakeld in de RSPAN VLAN.
Ingekapselde externe SPAN (ERSPAN)
Encapsulated remote SPAN (ERSPAN) biedt generieke routing-encapsulatie (GRE) voor al het vastgelegde verkeer en maakt het mogelijk dit uit te breiden naar Layer 3-domeinen.
ERSPAN is eenCisco-eigendomDeze functie is momenteel alleen beschikbaar voor Catalyst 6500-, 7600-, Nexus- en ASR 1000-platforms. De ASR 1000 ondersteunt ERSPAN-bron (monitoring) alleen op Fast Ethernet-, Gigabit Ethernet- en poortkanaalinterfaces.
Richtlijnen of beperkingen voor ERSPAN:
- ERSPAN-bronsessies kopiëren geen ERSPAN GRE-geëncapsuleerd verkeer van bronpoorten. Elke ERSPAN-bronsessie kan poorten of VLAN's als bron hebben, maar niet beide.
Ongeacht de geconfigureerde MTU-grootte creëert ERSPAN Layer 3-pakketten die maximaal 9202 bytes lang kunnen zijn. ERSPAN-verkeer kan worden geblokkeerd door elke interface in het netwerk die een MTU-grootte van minder dan 9202 bytes afdwingt.
- ERSPAN ondersteunt geen pakketfragmentatie. De bit 'niet fragmenteren' is ingesteld in de IP-header van ERSPAN-pakketten. ERSPAN-bestemmingssessies kunnen gefragmenteerde ERSPAN-pakketten niet opnieuw samenstellen.
- De ERSPAN-ID maakt onderscheid tussen het ERSPAN-verkeer dat via verschillende ERSPAN-bronsessies op hetzelfde bestemmings-IP-adres binnenkomt. De geconfigureerde ERSPAN-ID moet op de bron- en bestemmingsapparaten overeenkomen.
- Voor een bronpoort of een bron-VLAN kan ERSPAN het inkomende, uitgaande of zowel inkomende als uitgaande verkeer bewaken. Standaard bewaakt ERSPAN al het verkeer, inclusief multicast- en Bridge Protocol Data Unit (BPDU)-frames.
- De tunnelinterfaces die als bronpoorten voor een ERSPAN-bronsessie worden ondersteund, zijn GRE, IPinIP, SVTI, IPv6, IPv6 over IP-tunnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).
- De filter-VLAN-optie is niet functioneel in een ERSPAN-bewakingssessie op WAN-interfaces.
- ERSPAN op Cisco ASR 1000 Series Routers ondersteunt alleen Layer 3-interfaces. Ethernet-interfaces worden niet ondersteund op ERSPAN wanneer deze geconfigureerd zijn als Layer 2-interfaces.
- Wanneer een sessie is geconfigureerd via de ERSPAN-configuratie-CLI, kunnen de sessie-ID en het sessietype niet worden gewijzigd. Om deze te wijzigen, moet u eerst de no-vorm van de configuratieopdracht gebruiken om de sessie te verwijderen en vervolgens de sessie opnieuw te configureren.
- Cisco IOS XE Release 3.4S: - Monitoring van niet-IPsec-beveiligde tunnelpakketten wordt alleen ondersteund op IPv6 en IPv6 over IP-tunnelinterfaces naar ERSPAN-bronsessies, niet naar ERSPAN-doelsessies.
- Cisco IOS XE Release 3.5S, ondersteuning is toegevoegd voor de volgende typen WAN-interfaces als bronpoorten voor een bronsessie: Serieel (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) en Multilink PPP (de sleutelwoorden multilink, pos en serial zijn toegevoegd aan de broninterfaceopdracht).
ERSPAN gebruiken als lokale SPAN:
Om ERSPAN te gebruiken voor het bewaken van het verkeer via een of meer poorten of VLAN's in hetzelfde apparaat, moeten we een ERSPAN-bron en ERSPAN-doelsessies in hetzelfde apparaat aanmaken. De gegevensstroom vindt plaats binnen de router, wat vergelijkbaar is met die in een lokale SPAN.
De volgende factoren zijn van toepassing bij het gebruik van ERSPAN als lokale SPAN:
- Beide sessies hebben dezelfde ERSPAN-ID.
- Beide sessies hebben hetzelfde IP-adres. Dit IP-adres is het eigen IP-adres van de router; dat wil zeggen het loopback-IP-adres of het IP-adres dat op een poort is geconfigureerd.
| (config)# monitor sessie 10 type erspan-source |
| (config-mon-erspan-src)# broninterface Gig0/0/0 |
| (config-mon-erspan-src)# bestemming |
| (config-mon-erspan-src-dst)# ip-adres 10.10.10.1 |
| (config-mon-erspan-src-dst)# oorspronkelijk IP-adres 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Plaatsingstijd: 28-08-2024
