English

Understanding SPAN, RSPAN and ERSPAN: Techniques for Network Traffic Monitoring

SPAN, RSPAN en ERSPANbinne techniken dy't brûkt wurde yn netwurken om ferkear te fangen en te kontrolearjen foar analyse. Hjir is in koart oersjoch fan elk:

SPAN (Switched Port Analyzer)

Doel: Wurdt brûkt foar in wjerspegelje ferkear fan spesifike havens of VLANs op in switch nei in oare haven foar tafersjoch.

Use Case: Ideaal foar lokale ferkearsanalyse op ien switch. Ferkear wurdt spegele nei in oanwiisde haven wêr't in netwurkanalysator it kin fange.

RSPAN (Remote SPAN)

Doel: Wreidet SPAN-mooglikheden út oer meardere skeakels yn in netwurk.

Use Case: Stelt it tafersjoch op fan ferkear fan de iene switch nei de oare oer in trunk link. Nuttich foar senario's wêr't it tafersjochapparaat op in oare switch leit.

ERSPAN (Encapsulated Remote SPAN)

Doel: Kombinearret RSPAN mei GRE (Generic Routing Encapsulation) om it spegele ferkear yn te kapseljen.

Use Case: makket it mooglik om tafersjoch op ferkear oer routed netwurken. Dit is nuttich yn komplekse netwurkarsjitektueren wêr't ferkear oer ferskate segminten fêstlein wurde moat.

Switch poarte Analyzer (SPAN)is in effisjint, hege prestaasjes ferkear monitoring systeem. It rjochtet of spegelet ferkear fan in boarnehaven of VLAN nei in bestimmingspoarte. Dit wurdt soms oantsjutten as sesjemonitoring. SPAN wurdt brûkt foar it oplossen fan ferbiningsproblemen en it berekkenjen fan netwurkgebrûk en prestaasjes, ûnder in protte oaren. D'r binne trije soarten SPAN's stipe op Cisco-produkten ...

in. SPAN of lokale SPAN.

b. Remote SPAN (RSPAN).

c. Encapsulated remote SPAN (ERSPAN).

Om te witten: "Mylinking™ Network Packet Broker mei SPAN-, RSPAN- en ERSPAN-funksjes"

SPAN, RSPAN, ERSPAN

SPAN / ferkearsspegeljen / poartespegeljen wurdt brûkt foar in protte doelen, hjirûnder befettet guon.

- Implementearje IDS / IPS yn promiskueuze modus.

- Oplossingen foar VOIP-opropopname.

- Redenen foar neilibjen fan feiligens om ferkear te kontrolearjen en te analysearjen.

- Problemen mei ferbining oplosse, ferkear kontrolearje.

Nettsjinsteande it SPAN-type dat rint, SPAN-boarne kin elk type poarte wêze, dws in routede poarte, fysike skeakelpoarte, in tagongspoarte, kofferbak, VLAN (alle aktive poarten wurde kontroleare fan 'e skeakel), in EtherChannel (of in poarte as in heule poarte -channel Schnittstellen) ensfh Tink derom dat in haven konfigurearre foar SPAN bestimming KINNE diel útmeitsje fan in SPAN boarne VLAN.

SPAN-sesjes stypje it kontrolearjen fan yngongsferkear (yngong SPAN), útgongsferkear (útgong SPAN), of ferkear dat yn beide rjochtingen streamt.

- Ingress SPAN (RX) kopiearret ferkear ûntfongen troch de boarne havens en VLANs nei de bestimming haven. SPAN kopiearret it ferkear foar elke wiziging (bygelyks foar elke VACL- of ACL-filter, QoS of ingress- of egress-plysje).

- Egress SPAN (TX) kopiearret ferkear oerbrocht fan de boarne havens en VLANs nei de bestimming haven. Alle relevante filtering of wiziging troch VACL- of ACL-filter, QoS of ingress- of egress-politykaksjes wurde nommen foardat de skeakel it ferkear trochstjoert nei SPAN-bestimmingspoarte.

- As beide kaaiwurden brûkt wurde, kopiearret SPAN it netwurkferkear ûntfongen en oerbrocht troch de boarnehavens en VLAN's nei de bestimmingspoarte.

- SPAN / RSPAN negearret meastal CDP, STP BPDU, VTP, DTP en PAgP frames. Dizze ferkearstypen kinne lykwols trochstjoerd wurde as it kommando ynkapselingsreplikaat is konfigureare.

SPAN of Local SPAN

SPAN spegelet ferkear fan ien of mear ynterface op 'e switch nei ien of mear ynterfaces op deselde switch; dêrom wurdt SPAN meast oantsjut as LOCAL SPAN.

Rjochtlinen of beheiningen foar lokale SPAN:

- Sawol Laach 2-skeakele havens as Laach 3-poarten kinne wurde konfigureare as boarne- as bestimmingsporten.

- De boarne kin wêze ien of mear havens of in VLAN, mar net in miks fan dizze.

- Trunk havens binne jildige boarne havens mingd mei net-trunk boarne havens.

- Oant 64 SPAN bestimming havens kinne wurde konfigurearre op in switch.

- As wy in bestimmingspoarte konfigurearje, wurdt de oarspronklike konfiguraasje oerskreaun. As de SPAN-konfiguraasje wurdt fuortsmiten, wurdt de orizjinele konfiguraasje op dy poarte weromset.

- As jo ​​​​in bestimmingspoarte konfigurearje, wurdt de poarte fuortsmiten fan elke EtherChannel-bondel as it diel wie fan ien. As it in routearre poarte wie, oerskriuwt de SPAN-bestimmingskonfiguraasje de route poartekonfiguraasje.

- Bestimmingsporten stypje gjin havenfeiligens, 802.1x-ferifikaasje of privee VLAN's.

- In poarte kin fungearje as de bestimmingspoarte foar mar ien SPAN-sesje.

- In haven kin net ynsteld wurde as in bestimming haven as it is in boarne haven fan in span sesje of diel fan boarne VLAN.

- Port kanaal Schnittstellen (EtherChannel) kin wurde konfigurearre as boarne havens, mar net in bestimming haven foar SPAN.

- Ferkearsrjochting is standert "beide" foar SPAN-boarnen.

- Bestimmingshavens nimme nea mei oan in eksimplaar fan spanningsbeam. Kin net stypje DTP, CDP ensfh Lokale SPAN befettet BPDUs yn it kontrolearre ferkear, sadat alle BPDUs sjoen op de bestimming haven wurde kopiearre út de boarne haven. Ferbine dêrom nea in skeakel oan dit type SPAN, om't it in netwurklus kin feroarsaakje.

- As VLAN is konfigurearre as SPAN-boarne (meast oantsjutten as VSPAN) mei sawol yngong- as útgongsopsjes konfigureare, duplikaatpakketten fan 'e boarnepoarte allinich trochstjoere as de pakketten yn deselde VLAN wurde oerskeakele. Ien kopy fan it pakket is fan it yngongsferkear op 'e yngongspoarte, en de oare kopy fan it pakket is fan it útgongsferkear op' e útgongspoarte.

- VSPAN kontrolearret allinich ferkear dat Layer 2-poarten yn it VLAN ferlit of ynkomt.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN en ERSPAN binne techniken dy't brûkt wurde yn netwurken om ferkear te fangen en te kontrolearjen foar analyse. Hjir is in koart oersjoch fan elk:

SPAN (Switched Port Analyzer)

  • Doel: Wurdt brûkt om ôfspegeljen ferkear fan spesifike havens of VLANs op in switch nei in oare haven foar tafersjoch.
  • Brûk Case: Ideaal foar lokale ferkearsanalyse op ien switch. Ferkear wurdt spegele nei in oanwiisde haven wêr't in netwurkanalysator it kin fange.

RSPAN (Remote SPAN)

  • Doel: Wreidet SPAN-mooglikheden út oer meardere skakelaars yn in netwurk.
  • Brûk Case: Stelt it tafersjoch fan ferkear fan de iene switch nei de oare oer in kofferke keppeling. Nuttich foar senario's wêr't it tafersjochapparaat op in oare switch leit.

ERSPAN (Encapsulated Remote SPAN)

  • Doel: Kombinearret RSPAN mei GRE (Generic Routing Encapsulation) om it spegele ferkear yn te kapseljen.
  • Brûk Case: Stelt it tafersjoch op fan ferkear oer trochstjoerde netwurken. Dit is nuttich yn komplekse netwurkarsjitektueren wêr't ferkear oer ferskate segminten fêstlein wurde moat.

Remote SPAN (RSPAN)

Remote SPAN (RSPAN) is fergelykber mei SPAN, mar it stipet boarne havens, boarne VLANs, en bestimming havens op ferskillende switches, dy't soargje remote monitoring ferkear fan boarne havens ferdield oer meardere switches en kinne bestimming sintralisearje netwurk capture apparaten. Elke RSPAN-sesje draacht it SPAN-ferkear oer in brûker spesifisearre tawijd RSPAN VLAN yn alle dielnimmende skeakels. Dit VLAN wurdt dan trunked nei oare skeakels, wêrtroch it RSPAN-sesjeferkear kin wurde ferfierd oer meardere skeakels en levere oan bestimmingsfangstasjon. RSPAN bestiet út in RSPAN boarne sesje, in RSPAN VLAN, en in RSPAN bestimming sesje.

Rjochtlinen of beheiningen foar RSPAN:

- In spesifyk VLAN moat wurde konfigureare foar SPAN-bestimming dy't oer de tuskenskeakels sil trochrinne fia trunklinks nei bestimmingspoarte.

- Kin itselde boarnetype oanmeitsje - op syn minst ien haven as op syn minst ien VLAN, mar kin net de miks wêze.

- De bestimming foar de sesje is RSPAN VLAN ynstee fan de ienige haven yn switch, sadat alle havens yn RSPAN VLAN it spegele ferkear ûntfange.

- Konfigurearje elk VLAN as in RSPAN VLAN salang't alle dielnimmende netwurkapparaten de konfiguraasje fan RSPAN VLAN's stypje, en deselde RSPAN VLAN brûke foar elke RSPAN-sesje

- VTP kin propagearje konfiguraasje fan VLANs nûmere 1 troch 1024 as RSPAN VLANs, moat manuell konfigurearje VLANs nûmere heger as 1024 as RSPAN VLANs op alle boarne, tuskenlizzende, en bestimming netwurk apparaten.

- MAC-adres learen is útskeakele yn it RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Encapsulated remote SPAN (ERSPAN)

Encapsulated remote SPAN (ERSPAN) bringt generic routing encapsulation (GRE) foar alle finzene ferkear en lit it útwreide wurde oer Layer 3-domeinen.

ERSPAN is aCisco proprietaryfunksje en is allinich beskikber foar Catalyst 6500, 7600, Nexus, en ASR 1000 platfoarms oant no ta. De ASR 1000 stipet ERSPAN-boarne (monitoring) allinich op Fast Ethernet, Gigabit Ethernet, en poarte-kanaal-ynterfaces.

Rjochtlinen of beheiningen foar ERSPAN:

- ERSPAN boarne sesjes kopiearje gjin ERSPAN GRE-ynkapsele ferkear fan boarne havens. Elke ERSPAN-boarne sesje kin havens of VLAN's as boarnen hawwe, mar net beide.

- Nettsjinsteande elke ynstelde MTU-grutte, makket ERSPAN Layer 3-pakketten dy't sa lang kinne wêze as 9.202 bytes. ERSPAN-ferkear kin falle wurde troch elke ynterface yn it netwurk dy't in MTU-grutte lytser dan 9.202 bytes hanthavenet.

- ERSPAN stipet gjin pakketfragmintaasje. It bit "net fragmintearje" is ynsteld yn 'e IP-koptekst fan ERSPAN-pakketten. ERSPAN bestimming sesjes kinne net opnij gearstalle fragmintele ERSPAN pakketten.

- De ERSPAN ID ûnderskiedt it ERSPAN-ferkear dat op itselde bestimmings-IP-adres komt fan ferskate ferskillende ERSPAN-boarne sesjes; ynstelde ERSPAN ID moat oerienkomme op boarne- en bestimmingsapparaten.

- Foar in boarne haven as in boarne VLAN, de ERSPAN kin tafersjoch op de yngong, útgong, of sawol yn- en útgong ferkear. Standert kontrolearret ERSPAN alle ferkear, ynklusyf multicast en Bridge Protocol Data Unit (BPDU) frames.

- Tunnel ynterface stipe as boarne havens foar in ERSPAN boarne sesje binne GRE, IPinIP, SVTI, IPv6, IPv6 oer IP tunnel, Multipoint GRE (mGRE) en Secure Virtual Tunnel Interfaces (SVTI).

- De filter VLAN-opsje is net funksjoneel yn in ERSPAN-monitoringssesje op WAN-ynterfaces.

- ERSPAN op Cisco ASR 1000 Series Router stipet allinnich Laach 3 Schnittstellen. Ethernet-ynterfaces wurde net stipe op ERSPAN as se konfigureare as Layer 2-ynterfaces.

- As in sesje is konfigureare fia de ERSPAN-konfiguraasje CLI, kinne de sesje-ID en it sesjetype net feroare wurde. Om se te feroarjen, moatte jo earst de gjin foarm fan it konfiguraasjekommando brûke om de sesje te ferwiderjen en dan de sesje opnij ynstelle.

- Cisco IOS XE Release 3.4S: - Monitoring fan net-IPsec-beskerme tunnelpakketten wurdt stipe op IPv6 en IPv6 oer IP-tunnelynterfaces allinich foar ERSPAN boarne sesjes, net nei ERSPAN bestimmingssesjes.

- Cisco IOS XE Release 3.5S, stipe waard tafoege foar de folgjende soarten WAN ynterfaces as boarne havens foar in boarne sesje: Serial (T1 / E1, T3 / E3, DS0), Pakket oer SONET (POS) (OC3, OC12) en Multilink PPP (multylink, pos, en serial kaaiwurden waarden tafoege oan de boarne ynterface kommando).

SPAN, RSPAN, ERSPAN 3

ERSPAN brûke as lokaal SPAN:

Om ERSPAN te brûken om ferkear te kontrolearjen troch ien of mear havens of VLAN's yn itselde apparaat, moatte wy in ERSPAN-boarne en ERSPAN-bestimmingssesjes oanmeitsje op itselde apparaat, gegevensstream fynt plak yn 'e router, wat fergelykber is mei dy yn lokale SPAN.

De folgjende faktoaren binne fan tapassing by it brûken fan ERSPAN as in lokale SPAN:

- Beide sesjes hawwe deselde ERSPAN ID.

- Beide sesjes hawwe itselde IP-adres. Dit IP-adres is it eigen IP-adres fan de router; dat is, it loopback IP-adres of it IP-adres konfigureare op elke poarte.

(config) # monitor sesje 10 type erspan-source
(config-mon-erspan-src) # boarne ynterface Gig0/0/0
(config-mon-erspan-src) # bestimming
(config-mon-erspan-src-dst)# IP-adres 10.10.10.1
(config-mon-erspan-src-dst) # oarsprong ip adres 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Post tiid: Aug-28-2024
Druk op enter om te sykjen of ESC om te sluten