English

SPAN, RSPAN en ERSPAN begripe: Techniken foar netwurkferkearmonitoring

SPAN, RSPAN, en ERSPAN binne techniken dy't brûkt wurde yn netwurken om ferkear te fangen en te kontrolearjen foar analyse. Hjir is in koart oersjoch fan elk:

SPAN (Switched Port Analyzer)

Doel: Brûkt om ferkear fan spesifike poarten of VLAN's op in switch te spegeljen nei in oare poarte foar monitoaring.

Gebrûksgefal: Ideaal foar lokale ferkearsanalyse op ien switch. Ferkear wurdt spegele nei in oanwiisde poarte dêr't in netwurkanalysator it fêstlizze kin.

RSPAN (Span op ôfstân)

Doel: Wreidet SPAN-mooglikheden út oer meardere switches yn in netwurk.

Gebrûksgefal: Maakt it mooglik om ferkear fan de iene switch nei de oare te kontrolearjen fia in trunklink. Nuttich foar senario's wêr't it monitoringapparaat op in oare switch leit.

ERSPAN (Ynkapsele Remote SPAN)

Doel: Kombinearret RSPAN mei GRE (Generic Routing Encapsulation) om it spegele ferkear te ynkapseljen.

Gebrûksgefal: Maakt it mooglik om ferkear oer rûteare netwurken te kontrolearjen. Dit is nuttich yn komplekse netwurkarsjitektueren wêr't ferkear oer ferskate segminten fêstlein wurde moat.

Switch port Analyzer (SPAN) is in effisjint, heechpresterend ferkearsmonitoringssysteem. It rjochtet of spegelet ferkear fan in boarnepoarte of VLAN nei in bestimmingspoarte. Dit wurdt soms oantsjutten as sesjemonitoring. SPAN wurdt brûkt foar it oplossen fan ferbiningsproblemen en it berekkenjen fan netwurkgebrûk en prestaasjes, ûnder in protte oaren. D'r binne trije soarten SPAN's dy't stipe wurde op Cisco-produkten ...

a. SPAN of lokale SPAN.

b. SPAN op ôfstân (RSPAN).

c. Ynkapsele ôfstânsbetsjinne SPAN (ERSPAN).

Om te witten: "Mylinking™ Netwurkpakketmakelaar mei SPAN-, RSPAN- en ERSPAN-funksjes"

SPAN, RSPAN, ERSPAN

SPAN / ferkearsspegeljen / poartespegeljen wurdt foar in protte doelen brûkt, hjirûnder steane guon.

- Ymplementearjen fan IDS/IPS yn promiskue modus.

- VOIP-oplossingen foar it opnimmen fan oproppen.

- Redenen foar feiligenskonformiteit om ferkear te kontrolearjen en te analysearjen.

- Problemen mei ferbining oplosse, ferkear kontrolearje.

Nettsjinsteande it SPAN-type dat brûkt wurdt, kin in SPAN-boarne elk type poarte wêze, bygelyks in routearre poarte, fysike switchpoarte, in tagongspoarte, trunk, VLAN (alle aktive poarten wurde kontroleare troch de switch), in EtherChannel (of in poarte of folsleine poarte-kanaal-ynterfaces) ensfh. Tink derom dat in poarte dy't konfigurearre is foar SPAN-bestimming GEEN ûnderdiel kin wêze fan in SPAN-boarne-VLAN.

SPAN-sesjes stypje it kontrolearjen fan ynkommende ferkear (ingress SPAN), útgeande ferkear (egress SPAN), of ferkear dat yn beide rjochtingen streamt.

- Ingress SPAN (RX) kopiearret ferkear dat ûntfongen wurdt troch de boarnepoarten en VLAN's nei de bestimmingspoarte. SPAN kopiearret it ferkear foar elke wiziging (bygelyks foar elke VACL- of ACL-filter, QoS of yngongs- of útgongspolysje).

- Egress SPAN (TX) kopiearret ferkear dat fan 'e boarnepoarten en VLAN's nei de bestimmingspoarte wurdt ferstjoerd. Alle relevante filterjen of modifikaasje troch VACL- of ACL-filter, QoS of yngongs- of útgongsbeskermingsaksjes wurde nommen foardat de switch ferkear trochstjoert nei de SPAN-bestimmingspoarte.

- As it kaaiwurd "both" brûkt wurdt, kopiearret SPAN it netwurkferkear dat ûntfongen en ferstjoerd wurdt troch de boarnepoarten en VLAN's nei de bestimmingspoarte.

- SPAN/RSPAN negeart meastal CDP-, STP-, BPDU-, VTP-, DTP- en PAgP-frames. Dizze ferkearstypen kinne lykwols trochstjoerd wurde as it kommando foar ynkapsulaasjereplikaasje konfigurearre is.

SPAN of Lokale SPAN

SPAN spegelt ferkear fan ien of mear ynterfaces op 'e switch nei ien of mear ynterfaces op deselde switch; dêrom wurdt SPAN meast oantsjut as LOCAL SPAN.

Rjochtlinen of beheiningen foar lokale SPAN:

- Sawol Layer 2-skeakele poarten as Layer 3-poarten kinne wurde konfigurearre as boarne- as bestimmingspoarten.

- De boarne kin ien of mear poarten of in VLAN wêze, mar net in miks hjirfan.

- Trunk-poarten binne jildige boarne-poarten mingd mei net-trunk-boarne-poarten.

- Oant 64 SPAN-bestimmingsporten kinne op in switch konfigurearre wurde.

- As wy in bestimmingspoarte konfigurearje, wurdt de orizjinele konfiguraasje oerskreaun. As de SPAN-konfiguraasje fuorthelle wurdt, wurdt de orizjinele konfiguraasje op dy poarte weromset.

- By it konfigurearjen fan in bestimmingspoarte wurdt de poarte fuorthelle út elke EtherChannel-bondel as it diel útmakket fan ien. As it in rûtearre poarte wie, hat de SPAN-bestimmingskonfiguraasje foarrang by de konfiguraasje fan 'e rûtearre poarte.

- Bestimmingsporten stypje gjin poartefeiligens, 802.1x-autentikaasje of privee VLAN's.

- In poarte kin mar foar ien SPAN-sesje as bestimmingspoarte fungearje.

- In poarte kin net konfigurearre wurde as in bestimmingspoarte as it in boarnepoarte is fan in span-sesje of ûnderdiel is fan in boarne-VLAN.

- Portkanaal-ynterfaces (EtherChannel) kinne konfigurearre wurde as boarnepoarten, mar net as bestimmingspoarte foar SPAN.

- Ferkearsrjochting is standert "beide" foar SPAN-boarnen.

- Bestimmingsporten dogge nea mei oan in spanning-tree-eksimplaar. Kin gjin DTP, CDP ensfh. stypje. Lokale SPAN omfettet BPDU's yn it kontroleare ferkear, dus alle BPDU's dy't sjoen wurde op 'e bestimmingsport wurde kopiearre fan 'e boarneport. Ferbine dêrom nea in switch mei dit type SPAN, om't it in netwurklus feroarsaakje kin. KI-ark sille de wurkeffisjinsje ferbetterje, enûnopspoarbere AItsjinst kin de kwaliteit fan AI-ark ferbetterje.

- As VLAN konfigurearre is as SPAN-boarne (meastal oantsjutten as VSPAN) mei sawol yngongs- as útgongsopsjes konfigurearre, stjoer dan dûbele pakketten allinich troch fan 'e boarnepoarte as de pakketten yn itselde VLAN wiksele wurde. Ien kopy fan it pakket is fan it yngongsferkear op 'e yngongspoarte, en de oare kopy fan it pakket is fan it útgongsferkear op 'e útgongspoarte.

- VSPAN kontrolearret allinich ferkear dat Layer 2-poarten yn it VLAN ferlit of yngiet.

SPAN, RSPAN, ERSPAN 1

Eksterne SPAN (RSPAN)

Remote SPAN (RSPAN) is fergelykber mei SPAN, mar it stipet boarnepoarten, boarne-VLAN's en bestimmingspoarten op ferskate switches, dy't ferkear op ôfstân kontrolearje fan boarnepoarten ferspraat oer meardere switches en it mooglik meitsje foar it sintralisearjen fan netwurkopnameapparaten foar bestimmingen. Elke RSPAN-sesje ferfiert it SPAN-ferkear oer in troch de brûker oantsjutte tawijde RSPAN VLAN yn alle dielnimmende switches. Dizze VLAN wurdt dan trochferbûn nei oare switches, wêrtroch't it RSPAN-sesjeferkear oer meardere switches ferfierd wurde kin en nei in bestimmingsopnamestasjon levere wurde kin. RSPAN bestiet út in RSPAN-boarnesesje, in RSPAN VLAN en in RSPAN-bestimmingssesje.

Rjochtlinen of beheiningen foar RSPAN:

- In spesifyk VLAN moat konfigurearre wurde foar SPAN-bestimming dy't oer de tuskenlizzende switches giet fia trunk-keppelings nei de bestimmingspoarte.

- Kin itselde boarnetype oanmeitsje - teminsten ien poarte of teminsten ien VLAN, mar kin net de miks wêze.

- De bestimming foar de sesje is RSPAN VLAN ynstee fan de ienige poarte yn 'e switch, sadat alle poarten yn RSPAN VLAN it spegele ferkear ûntfange.

- Konfigurearje elke VLAN as in RSPAN VLAN salang't alle dielnimmende netwurkapparaten de konfiguraasje fan RSPAN VLAN's stypje, en brûk deselde RSPAN VLAN foar elke RSPAN-sesje

- VTP kin de konfiguraasje fan VLAN's nûmere 1 oant en mei 1024 ferspriede as RSPAN VLAN's, moat VLAN's nûmere heger as 1024 manuell konfigurearje as RSPAN VLAN's op alle boarne-, tuskenlizzende- en bestimmingsnetwurkapparaten.

- It learen fan MAC-adressen is útskeakele yn it RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Ynkapsele ôfstânsbetsjinning SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bringt generike routing encapsulation (GRE) foar al it fêstleine ferkear en makket it mooglik om it út te wreidzjen oer Layer 3-domeinen.

ERSPAN is inCisco proprietêrfunksje en is oant no ta allinich beskikber foar Catalyst 6500, 7600, Nexus, en ASR 1000 platfoarms. De ASR 1000 stipet allinich ERSPAN-boarne (monitoring) op Fast Ethernet, Gigabit Ethernet, en port-channel-ynterfaces.

Rjochtlinen of beheiningen foar ERSPAN:

- ERSPAN-boarnesesjes kopiearje gjin ERSPAN GRE-ynkapsele ferkear fan boarnepoarten. Elke ERSPAN-boarnesesje kin of poarten of VLAN's as boarnen hawwe, mar net beide.

- Nettsjinsteande elke konfigurearre MTU-grutte makket ERSPAN Layer 3-pakketten dy't oant 9.202 bytes lang wêze kinne. ERSPAN-ferkear kin falle litten wurde troch elke ynterface yn it netwurk dy't in MTU-grutte lytser as 9.202 bytes ôftwingt.

- ERSPAN stipet gjin pakketfragmentaasje. De "net fragmentearje" bit is ynsteld yn 'e IP-header fan ERSPAN-pakketten. ERSPAN-bestimmingssesjes kinne fragmintearre ERSPAN-pakketten net opnij gearstalle.

- De ERSPAN ID ûnderskiedt it ERSPAN-ferkear dat op itselde bestimmings-IP-adres oankomt fan ferskate ERSPAN-boarnesesjes; de konfigurearre ERSPAN ID moat oerienkomme op boarne- en bestimmingsapparaten.

- Foar in boarnepoarte of in boarne-VLAN kin de ERSPAN it ynkommende, útgeande, of sawol ynkommende as útgeande ferkear kontrolearje. Standert kontrolearret ERSPAN al it ferkear, ynklusyf multicast- en Bridge Protocol Data Unit (BPDU)-frames.

- Tunnel-ynterface dy't stipe wurde as boarnepoarten foar in ERSPAN-boarnesesje binne GRE, IPinIP, SVTI, IPv6, IPv6 over IP-tunnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).

- De filter VLAN-opsje wurket net yn in ERSPAN-monitoringssesje op WAN-ynterfaces.

- ERSPAN op Cisco ASR 1000 Series Routers stipet allinich Layer 3-ynterfaces. Ethernet-ynterfaces wurde net stipe op ERSPAN as se konfigurearre binne as Layer 2-ynterfaces.

- As in sesje konfigurearre wurdt fia de ERSPAN-konfiguraasje-CLI, kinne de sesje-ID en it sesjetype net feroare wurde. Om se te feroarjen, moatte jo earst de "no"-foarm fan it konfiguraasjekommando brûke om de sesje te ferwiderjen en dan de sesje opnij te konfigurearjen.

- Cisco IOS XE Release 3.4S: - Monitoaring fan net-IPsec-beskerme tunnelpakketten wurdt allinich stipe op IPv6- en IPv6 oer IP-tunnelynterfaces nei ERSPAN-boarnesesjes, net nei ERSPAN-bestimmingssesjes.

- Cisco IOS XE Release 3.5S, stipe is tafoege foar de folgjende soarten WAN-ynterfaces as boarnepoarten foar in boarnesesje: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) en Multilink PPP (multilink, pos, en serial kaaiwurden waarden tafoege oan it boarne-ynterfacekommando).

SPAN, RSPAN, ERSPAN 3

ERSPAN brûke as lokale SPAN:

Om ERSPAN te brûken om ferkear te kontrolearjen fia ien of mear poarten of VLAN's yn itselde apparaat, moatte wy in ERSPAN-boarne en ERSPAN-bestimmingssesjes yn itselde apparaat oanmeitsje, de gegevensstream fynt plak binnen de router, wat fergelykber is mei dy yn lokale SPAN.

De folgjende faktoaren binne fan tapassing by it brûken fan ERSPAN as in lokale SPAN:

- Beide sesjes hawwe deselde ERSPAN ID.

- Beide sesjes hawwe itselde IP-adres. Dit IP-adres is it eigen IP-adres fan 'e router; dat is it loopback IP-adres of it IP-adres dat op elke poarte konfigurearre is.

(konfiguraasje) # monitor sesje 10 type erspan-boarne
(config-mon-erspan-src)# boarne-ynterface Gig0/0/0
(config-mon-erspan-src)# bestimming
(config-mon-erspan-src-dst)# ip-adres 10.10.10.1
(config-mon-erspan-src-dst)# oarsprong ip-adres 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Pleatsingstiid: 28 augustus 2024
Druk op Enter om te sykjen of ESC om te sluten