Span, RSPAN en Erspan zijn technieken die in netwerken worden gebruikt om verkeer vast te leggen en te controleren voor analyse. Hier is een kort overzicht van elk:
Span (Switched Port Analyzer)
Doel: gebruikt om verkeer te spiegelen van specifieke poorten of VLAN's op een schakelaar naar een andere poort voor monitoring.
Gebruiksuite: ideaal voor lokale verkeersanalyse op een enkele schakelaar. Verkeer wordt weerspiegeld in een aangewezen poort waar een netwerkanalysator deze kan vastleggen.
RSPAN (afstandsbediening)
Doel: breidt span -mogelijkheden uit over meerdere schakelaars in een netwerk.
USE COSE: maakt het bewaken van verkeer van de ene schakelaar naar de andere over een trunk -link mogelijk. Handig voor scenario's waarbij het bewakingsapparaat zich op een andere schakelaar bevindt.
Erspan (ingekapselde afstandsbediening)
Doel: combineert RSPAN met GRE (generieke routing -inkapseling) om het gespiegelde verkeer in te kapselen.
USE COSE: maakt het toezicht op het monitoring van verkeer op gerouteerde netwerken. Dit is handig in complexe netwerkarchitecturen waarbij verkeer over verschillende segmenten moet worden vastgelegd.
Switch Port Analyzer (span) is een efficiënt, hoogwaardige verkeersbewakingssysteem. Het stuurt of weerspiegelt het verkeer van een bronpoort of VLAN naar een bestemmingspoort. Dit wordt soms sessiemonitoring genoemd. Span wordt gebruikt voor het oplossen van problemen met het oplossen van connectiviteitsproblemen en het berekenen van het netwerkgebruik en de prestaties, onder vele anderen. Er zijn drie soorten overspanningen ondersteund op Cisco -producten ...
A. Span of lokale spanwijdte.
B. Remote SPAN (RSPAN).
C. Ingekapselde afstandsbediening (erspan).
Om te weten: "MyLinking ™ Network Packet Broker met Span, Rspan en Erspan -functies"
Span / verkeerspiegeling / poortspiegel wordt voor veel doeleinden gebruikt, hieronder bevat enkele.
- IDS/IP's implementeren in promiscue modus.
- VoIP -oproepoplossingen.
- Redenen voor de naleving van de beveiliging om verkeer te controleren en te analyseren.
- Problemen met verbindingsproblemen oplossen, verkeer bewaken.
Ongeacht het type span-type, spanbron kan elk type poort zijn, dwz een gerouteerde poort, fysieke schakelpoort, een toegangspoort, trunk, VLAN (alle actieve poorten worden gecontroleerd van de schakelaar), een etherchannel (een poort of een hele poortkanaalinterfaces) enz. Opmerking dat een poort die voor spanbestemming is geconfigureerd, geen deel kan uitmaken van een spanbron VLAN.
Span -sessies ondersteunen de monitoring van het binnenstress verkeer (indress span), uitgangsverkeer (uitgangspanne) of verkeer dat in beide richtingen stroomt.
- Ingress Span (RX) kopieert verkeer ontvangen door de bronpoorten en VLAN's naar de bestemmingspoort. Span Kopieert het verkeer vóór een aanpassing (bijvoorbeeld vóór een VACL- of ACL -filter, QoS of Ingress of uitgangspolitie).
- Egress span (TX) kopieert verkeer verzonden van de bronpoorten en VLAN's naar de bestemmingspoort. Alle relevante filtering of aanpassing door VACL- of ACL -filter, QoS of Ingress- of uitgangspolitie -acties worden genomen voordat de overstap verkeer doorstuurt naar Span -bestemmingspoort.
- Wanneer het beide trefwoord wordt gebruikt, kopieert het netwerkverkeer dat wordt ontvangen en verzonden door de bronpoorten en VLAN's naar de bestemmingspoort.
- Span/rspan negeert meestal CDP, STP BPDU, VTP-, DTP- en PAGP -frames. Deze verkeerstypen kunnen echter worden doorgestuurd als de opdracht inkapseling replicaat is geconfigureerd.
Overspanning of lokale spanwijdte
Spiegelt spiegels verkeer van een of meer interface op de schakelaar naar een of meer interfaces op dezelfde schakelaar; Vandaar dat spanwijdte meestal lokale spanwijdte wordt genoemd.
Richtlijnen of beperkingen tot lokale spanwijdte:
- Beide laag 2 geschakelde poorten en laag 3 poorten kunnen worden geconfigureerd als bron- of bestemmingspoorten.
- De bron kan een of meer poorten of een VLAN zijn, maar geen mix hiervan.
- Trunk-poorten zijn geldige bronpoorten gemengd met niet-trunk bronpoorten.
- Maximaal 64 spanwijdt bestemmingspoorten kunnen op een schakelaar worden geconfigureerd.
- Wanneer we een bestemmingspoort configureren, wordt de oorspronkelijke configuratie overschreven. Als de spanconfiguratie wordt verwijderd, wordt de oorspronkelijke configuratie op die poort hersteld.
- Wanneer u een bestemmingspoort configureert, wordt de poort uit een etherchannelbundel verwijderd als deze deel uitmaakte van één. Als het een gerouteerde poort was, overschrijft de span -bestemmingsconfiguratie de gerouteerde poortconfiguratie.
- Bestemmingspoorten ondersteunen geen poortbeveiliging, 802.1x authenticatie of private VLAN's.
- Een poort kan fungeren als de bestemmingspoort voor slechts één span -sessie.
- Een poort kan niet worden geconfigureerd als een bestemmingspoort als deze een bronpoort is van een span -sessie of een deel van bron VLAN.
- Poortkanaalinterfaces (EtherChannel) kunnen worden geconfigureerd als bronpoorten, maar geen bestemmingspoort voor spanwijdte.
- De verkeersrichting is standaard "beide" voor spanbronnen.
- Bestemmingspoorten nemen nooit deel aan een spanning-tree-instantie. Kan DTP, CDP enz. Kan niet ondersteunen, de lokale overspanning omvat BPDU's in het gecontroleerde verkeer, dus elke BPDU's die op de bestemmingspoort worden gezien, worden vanuit de bronpoort gekopieerd. Verbind daarom nooit een overstap op dit type spanwijdte, omdat dit een netwerklus kan veroorzaken. AI -tools zullen de werkefficiëntie verbeteren, enniet -detecteerbare AIService kan de kwaliteit van AI -tools verbeteren.
- Wanneer VLAN wordt geconfigureerd als spanbron (meestal aangeduid als VSPAN) met zowel ingress- als uitgangsopties geconfigureerd, stuur je dubbele pakketten door vanuit de bronpoort alleen als de pakketten in hetzelfde VLAN worden geschakeld. Het ene exemplaar van het pakket is afkomstig van het ingangsverkeer op de ingangspoort en het andere exemplaar van het pakket is afkomstig van het uitgangsverkeer op de uitgangspoort.
- VSPAN bewaakt alleen verkeer dat Layer 2 -poorten verlaat of invoert in de VLAN.
Remote SPAN (RSPAN)
Remote SPAN (RSPAN) is vergelijkbaar met Span, maar ondersteunt bronpoorten, bron VLAN's en bestemmingspoorten op verschillende schakelaars, die het externe monitoringverkeer bieden vanuit bronpoorten die over meerdere schakelaars worden gedistribueerd en de bestemming voor het centraliseren van netwerkvervangapparaten kunnen centraliseren. Elke RSPAN-sessie draagt het span-verkeer over een door de gebruiker gespecificeerde speciale RSPAN VLAN in alle deelnemende schakelaars. Deze VLAN wordt vervolgens naar andere schakelaars ingebracht, waardoor het RSPAN -sessieverkeer over meerdere schakelaars kan worden getransporteerd en naar het station van het cijfer van de bestemming wordt afgeleverd. RSPAN bestaat uit een RSPAN -bronsessie, een RSPAN VLAN en een RSPAN -bestemmingssessie.
Richtlijnen of beperkingen aan RSPAN:
- Een specifieke VLAN moet worden geconfigureerd voor spanbestemming die via de tussenliggende schakelaars via trunk -links naar de bestemmingspoort zal doorkruisen.
- Kan hetzelfde brontype maken - ten minste één poort of ten minste één VLAN, maar kan niet de mix zijn.
- De bestemming voor de sessie is RSPAN VLAN in plaats van de enkele poort in Switch, dus alle poorten in RSPAN VLAN ontvangen het gespiegelde verkeer.
- Configureer elk VLAN als een RSPAN VLAN zolang alle deelnemende netwerkapparaten de configuratie van RSPAN VLAN's ondersteunen en dezelfde RSPAN VLAN gebruiken voor elke RSPAN -sessie
- VTP kan de configuratie van VLAN's genummerd 1 tot en met 1024 als RSPAN VLAN's verspreiden, moet VLAN's handmatig genummerd dan 1024 als RSPAN VLAN's op alle bron-, intermediate- en bestemmingsnetwerkapparaten configureren.
- MAC -adres leren is uitgeschakeld in de RSPAN VLAN.
Ingekapselde afstandsbediening (erspan)
Inkapseld externe span (erspan) brengt generieke routing -inkapseling (GRE) voor al het gevangen verkeer en maakt het mogelijk om te worden uitgebreid over laag 3 -domeinen.
Erspan is eenCisco -eigenaar van CiscoFeature en is alleen beschikbaar om 6500, 7600, Nexus en ASR 1000 platforms tot nu toe te katalyseren. De ASR 1000 ondersteunt de Erspan-bron (monitoring) alleen op snelle Ethernet-, Gigabit Ethernet- en port-channel-interfaces.
Richtlijnen of beperkingen aan Erspan:
- Erspanbronsessies kopiëren erspan gre-ingekapseld verkeer niet van bronpoorten. Elke Erspan -bronsessie kan poorten of VLAN's hebben als bronnen, maar niet beide.
- Ongeacht elke geconfigureerde MTU -grootte maakt erspan laag 3 -pakketten die tot 9,202 bytes kunnen zijn. Erspan -verkeer kan worden gedropt door elke interface in het netwerk dat een MTU -grootte kleiner is dan 9,202 bytes.
- Erspan ondersteunt geen pakketfragmentatie. Het bit "niet fragment" bevindt zich in de IP -header van erspan -pakketten. Erspan -bestemmingssessies kunnen gefragmenteerde erspan -pakketten niet opnieuw monteren.
- De erspan -ID onderscheidt het Erspan -verkeer dat aankomt op hetzelfde bestemmings -IP -adres van verschillende erspanbronsessies; Configureerde Erspan -ID moet overeenkomen met bron- en bestemmingsapparaten.
- Voor een bronpoort of een bron VLAN kan de erspan de ingang, uitgang of zowel binnen- als uitgressverkeer volgen. Standaard bewaakt Erspan alle verkeer, inclusief multicast- en brugprotocol Data Unit (BPDU) frames.
- Tunnelinterface ondersteund als bronpoorten voor een erspanbronsessie zijn GRE, IPINIP, SVTI, IPv6, IPv6 via IP -tunnel, multipoint GRE (MGRE) en veilige virtuele tunnelinterfaces (SVTI).
- De optie Filter VLAN is niet functioneel in een erspan -bewakingssessie op WAN -interfaces.
- Erspan op Cisco ASR 1000 -serie routers ondersteunt alleen laag 3 interfaces. Ethernet -interfaces worden niet ondersteund op erspan wanneer deze wordt geconfigureerd als laag 2 -interfaces.
- Wanneer een sessie wordt geconfigureerd via de Erspan -configuratie CLI, kunnen de sessie -ID en het sessietype niet worden gewijzigd. Om ze te wijzigen, moet u eerst de No -vorm van de configuratieopdracht gebruiken om de sessie te verwijderen en vervolgens de sessie opnieuw te configureren.
- Cisco IOS XE Release 3.4S:- Monitoring van niet-IP-beschermde tunnelpakketten wordt alleen ondersteund op IPv6 en IPv6 via IP-tunnelinterfaces voor Erspan-bronsessies, niet voor Erspan-bestemmingssessies.
- Cisco IOS XE release 3.5s, ondersteuning werd toegevoegd voor de volgende soorten WAN -interfaces als bronpoorten voor een bronsessie: serie (T1/E1, T3/E3, DS0), pakket over SONET (POS) (OC3, OC12) en Multilink PPP (Multilink, POS en Serial Sleutelwoorden werden toegevoegd aan de Source Interface -opdracht).
Erspan gebruiken als lokale spanwijdte:
Om erspan te gebruiken om het verkeer via een of meer poorten of VLAN's in hetzelfde apparaat te controleren, moeten we een erspan -bron en erspan -bestemmingssessies in hetzelfde apparaat maken, de gegevensstroom vindt plaats in de router, die vergelijkbaar is met die in de lokale overspanning.
De volgende factoren zijn van toepassing tijdens het gebruik van Erspan als een lokale overspanning:
- Beide sessies hebben dezelfde erspan -ID.
- Beide sessies hebben hetzelfde IP -adres. Dit IP -adres is het eigen IP -adres van de routers; Dat wil zeggen, het loopback IP -adres of het IP -adres dat op elke poort is geconfigureerd.
| (config)# monitor sessie 10 type erspan-source |
| (config-mon-erspan-src)# broninterface gig0/0/0 |
| (config-mon-erspan-src)# bestemming |
| (config-mon-erspan-src-dst)# IP-adres 10.10.10.1 |
| (config-mon-erspan-src-dst)# Origin IP-adres 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Posttijd: augustus-28-2024
