Comprendere SPAN, RSPAN ed ERSPAN: tecniche per il monitoraggio del traffico di rete

SPAN, RSPAN ed ERSPAN sono tecniche utilizzate nelle reti per acquisire e monitorare il traffico a scopo di analisi. Ecco una breve panoramica di ciascuno:

SPAN (analizzatore di porte commutate)

Scopo: utilizzato per eseguire il mirroring del traffico da porte o VLAN specifiche su uno switch a un'altra porta per il monitoraggio.

Caso d'uso: ideale per l'analisi del traffico locale su un singolo switch. Il traffico viene rispecchiato su una porta designata dove un analizzatore di rete può catturarlo.

RSPAN (SPAN remoto)

Scopo: estende le funzionalità SPAN su più switch in una rete.

Caso d'uso: consente il monitoraggio del traffico da uno switch all'altro su un collegamento trunk. Utile per scenari in cui il dispositivo di monitoraggio si trova su uno switch diverso.

ERSPAN (SPAN remoto incapsulato)

Scopo: combina RSPAN con GRE (Generic Routing Encapsulation) per incapsulare il traffico con mirroring.

Caso d'uso: consente il monitoraggio del traffico attraverso reti instradate. Ciò è utile in architetture di rete complesse in cui il traffico deve essere catturato su segmenti diversi.

Switch Port Analyser (SPAN) è un sistema di monitoraggio del traffico efficiente e ad alte prestazioni. Dirige o rispecchia il traffico da una porta di origine o VLAN a una porta di destinazione. Questo a volte viene definito monitoraggio della sessione. SPAN viene utilizzato per risolvere problemi di connettività e calcolare l'utilizzo e le prestazioni della rete, tra molti altri. Esistono tre tipi di SPAN supportati sui prodotti Cisco:

UN. SPAN o SPAN locale.

B. SPAN remoto (RSPAN).

C. SPAN remoto incapsulato (ERSPAN).

Per sapere: "Broker di pacchetti di rete Mylinking™ con funzionalità SPAN, RSPAN ed ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN/traffic mirroring/port mirroring viene utilizzato per molti scopi, di seguito ne sono riportati alcuni.

- Implementazione IDS/IPS in modalità promiscua.

- Soluzioni di registrazione delle chiamate VOIP.

- Motivi di conformità alla sicurezza per monitorare e analizzare il traffico.

- Risoluzione dei problemi di connessione, monitoraggio del traffico.

Indipendentemente dal tipo di SPAN in esecuzione, l'origine SPAN può essere qualsiasi tipo di porta, ovvero una porta instradata, una porta dello switch fisico, una porta di accesso, un trunk, una VLAN (tutte le porte attive sono monitorate dello switch), un EtherChannel (una porta o l'intera porta -channel interfacce) ecc. Si noti che una porta configurata per la destinazione SPAN NON PUÒ far parte di una VLAN di origine SPAN.

Le sessioni SPAN supportano il monitoraggio del traffico in entrata (ingress SPAN), del traffico in uscita (egress SPAN) o del traffico che scorre in entrambe le direzioni.

- Ingress SPAN (RX) copia il traffico ricevuto dalle porte di origine e dalle VLAN alla porta di destinazione. SPAN copia il traffico prima di qualsiasi modifica (ad esempio prima di qualsiasi filtro VACL o ACL, QoS o polizia in ingresso o in uscita).

- Egress SPAN (TX) copia il traffico trasmesso dalle porte di origine e dalle VLAN alla porta di destinazione. Tutti i filtri o le modifiche rilevanti tramite filtro VACL o ACL, QoS o azioni di polizia in ingresso o in uscita vengono eseguiti prima che lo switch inoltri il traffico alla porta di destinazione SPAN.

- Quando viene utilizzata la parola chiave Both, SPAN copia il traffico di rete ricevuto e trasmesso dalle porte di origine e dalle VLAN alla porta di destinazione.

- SPAN/RSPAN solitamente ignora i frame CDP, STP BPDU, VTP, DTP e PAgP. Tuttavia questi tipi di traffico possono essere inoltrati se è configurato il comando di replica di incapsulamento.

SPAN o SPAN locale

SPAN rispecchia il traffico da una o più interfacce sullo switch a una o più interfacce sullo stesso switch; quindi SPAN è per lo più indicato come SPAN LOCALE.

Linee guida o restrizioni allo SPAN locale:

- Sia le porte commutate di Livello 2 che le porte di Livello 3 possono essere configurate come porte di origine o di destinazione.

- La sorgente può essere una o più porte o una VLAN, ma non un mix di queste.

- Le porte trunk sono porte di origine valide combinate con porte di origine non trunk.

- Su uno switch è possibile configurare fino a 64 porte di destinazione SPAN.

- Quando configuriamo una porta di destinazione, la sua configurazione originale viene sovrascritta. Se la configurazione SPAN viene rimossa, viene ripristinata la configurazione originale su quella porta.

- Quando si configura una porta di destinazione, la porta viene rimossa da qualsiasi bundle EtherChannel se ne faceva parte. Se si trattasse di una porta instradata, la configurazione di destinazione SPAN sovrascrive la configurazione della porta instradata.

- Le porte di destinazione non supportano la sicurezza delle porte, l'autenticazione 802.1x o le VLAN private.

- Una porta può fungere da porta di destinazione per una sola sessione SPAN.

- Una porta non può essere configurata come porta di destinazione se è una porta di origine di una sessione span o parte della VLAN di origine.

- Le interfacce port-channel (EtherChannel) possono essere configurate come porte di origine ma non come porte di destinazione per SPAN.

- La direzione del traffico è "entrambi" per impostazione predefinita per le sorgenti SPAN.

- Le porte di destinazione non partecipano mai a un'istanza spanning tree. Non supporta DTP, CDP ecc. Lo SPAN locale include BPDU nel traffico monitorato, quindi qualsiasi BPDU visualizzato sulla porta di destinazione viene copiato dalla porta di origine. Quindi non collegare mai uno switch a questo tipo di SPAN poiché potrebbe causare un loop di rete. Gli strumenti di intelligenza artificiale miglioreranno l’efficienza del lavoro eIA non rilevabileil servizio può migliorare la qualità degli strumenti di intelligenza artificiale.

- Quando la VLAN è configurata come origine SPAN (per lo più denominata VSPAN) con entrambe le opzioni di ingresso e uscita configurate, inoltra i pacchetti duplicati dalla porta di origine solo se i pacchetti vengono scambiati nella stessa VLAN. Una copia del pacchetto proviene dal traffico in ingresso sulla porta di ingresso e l'altra copia del pacchetto proviene dal traffico in uscita sulla porta di uscita.

- VSPAN monitora solo il traffico che lascia o entra nelle porte Layer 2 nella VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN remoto (RSPAN)

Remote SPAN (RSPAN) è simile allo SPAN, ma supporta porte di origine, VLAN di origine e porte di destinazione su diversi switch, che forniscono il monitoraggio remoto del traffico dalle porte di origine distribuite su più switch e consentono alla destinazione di centralizzare i dispositivi di acquisizione della rete. Ciascuna sessione RSPAN trasporta il traffico SPAN su una VLAN RSPAN dedicata specificata dall'utente in tutti gli switch partecipanti. Questa VLAN viene quindi collegata ad altri switch, consentendo al traffico della sessione RSPAN di essere trasportato su più switch e consegnato alla stazione di acquisizione di destinazione. RSPAN è costituito da una sessione di origine RSPAN, una VLAN RSPAN e una sessione di destinazione RSPAN.

Linee guida o restrizioni per RSPAN:

- È necessario configurare una VLAN specifica per la destinazione SPAN che attraverserà gli switch intermedi tramite collegamenti trunk verso la porta di destinazione.

- Può creare lo stesso tipo di origine: almeno una porta o almeno una VLAN ma non può essere il mix.

- La destinazione della sessione è RSPAN VLAN anziché la singola porta nello switch, quindi tutte le porte in RSPAN VLAN riceveranno il traffico con mirroring.

- Configurare qualsiasi VLAN come VLAN RSPAN purché tutti i dispositivi di rete partecipanti supportino la configurazione delle VLAN RSPAN e utilizzino la stessa VLAN RSPAN per ogni sessione RSPAN

- VTP può propagare la configurazione delle VLAN numerate da 1 a 1024 come VLAN RSPAN, deve configurare manualmente le VLAN numerate superiori a 1024 come VLAN RSPAN su tutti i dispositivi di rete di origine, intermedi e di destinazione.

- L'apprendimento dell'indirizzo MAC è disabilitato nella VLAN RSPAN.

SPAN, RSPAN, ERSPAN 2

SPAN remoto incapsulato (ERSPAN)

Lo SPAN remoto incapsulato (ERSPAN) offre l'incapsulamento del routing generico (GRE) per tutto il traffico catturato e ne consente l'estensione su domini di livello 3.

ERSPAN è unProprietario Ciscofunzionalità ed è attualmente disponibile solo per le piattaforme Catalyst 6500, 7600, Nexus e ASR 1000. L'ASR 1000 supporta la sorgente ERSPAN (monitoraggio) solo su interfacce Fast Ethernet, Gigabit Ethernet e port-channel.

Linee guida o restrizioni per ERSPAN:

- Le sessioni di origine ERSPAN non copiano il traffico incapsulato ERSPAN GRE dalle porte di origine. Ogni sessione di origine ERSPAN può avere porte o VLAN come origini, ma non entrambe.

- Indipendentemente dalla dimensione MTU configurata, ERSPAN crea pacchetti di livello 3 che possono essere lunghi fino a 9.202 byte. Il traffico ERSPAN potrebbe essere interrotto da qualsiasi interfaccia nella rete che imponga una dimensione MTU inferiore a 9.202 byte.

- ERSPAN non supporta la frammentazione dei pacchetti. Il bit "non frammentare" è impostato nell'intestazione IP dei pacchetti ERSPAN. Le sessioni di destinazione ERSPAN non possono riassemblare i pacchetti ERSPAN frammentati.

- L'ERSPAN ID differenzia il traffico ERSPAN che arriva allo stesso indirizzo IP di destinazione da diverse sessioni sorgente ERSPAN; L'ID ERSPAN configurato deve corrispondere sui dispositivi di origine e di destinazione.

- Per una porta di origine o una VLAN di origine, l'ERSPAN può monitorare il traffico in ingresso, in uscita o sia in ingresso che in uscita. Per impostazione predefinita, ERSPAN monitora tutto il traffico, inclusi i frame multicast e Bridge Protocol Data Unit (BPDU).

- Le interfacce tunnel supportate come porte di origine per una sessione di origine ERSPAN sono GRE, IPinIP, SVTI, IPv6, IPv6 su tunnel IP, Multipoint GRE (mGRE) e Secure Virtual Tunnel Interfaces (SVTI).

- L'opzione filtro VLAN non è funzionale in una sessione di monitoraggio ERSPAN su interfacce WAN.

- ERSPAN sui router Cisco ASR serie 1000 supporta solo le interfacce Layer 3. Le interfacce Ethernet non sono supportate su ERSPAN se configurate come interfacce di livello 2.

- Quando una sessione viene configurata tramite la CLI di configurazione ERSPAN, l'ID sessione e il tipo di sessione non possono essere modificati. Per modificarli è necessario prima utilizzare la forma no del comando di configurazione per rimuovere la sessione e quindi riconfigurare la sessione.

- Cisco IOS XE versione 3.4S: - Il monitoraggio dei pacchetti tunnel non protetti da IPsec è supportato su interfacce tunnel IPv6 e IPv6 su IP solo per le sessioni di origine ERSPAN, non per le sessioni di destinazione ERSPAN.

- Cisco IOS XE Release 3.5S, è stato aggiunto il supporto per i seguenti tipi di interfacce WAN come porte di origine per una sessione di origine: Seriale (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) e Multilink PPP (le parole chiave multilink, pos e serial sono state aggiunte al comando dell'interfaccia sorgente).

SPAN, RSPAN, ERSPAN 3

Utilizzo di ERSPAN come SPAN locale:

Per utilizzare ERSPAN per monitorare il traffico attraverso una o più porte o VLAN nello stesso dispositivo, dobbiamo creare un'origine ERSPAN e sessioni di destinazione ERSPAN nello stesso dispositivo, il flusso di dati avviene all'interno del router, che è simile a quello nello SPAN locale.

I seguenti fattori sono applicabili durante l'utilizzo di ERSPAN come SPAN locale:

- Entrambe le sessioni hanno lo stesso ID ERSPAN.

- Entrambe le sessioni hanno lo stesso indirizzo IP. Questo indirizzo IP è l'indirizzo IP del router; ovvero l'indirizzo IP di loopback o l'indirizzo IP configurato su qualsiasi porta.

(config)# monitora la sessione 10 digita erspan-source
(config-mon-erspan-src)# interfaccia sorgente Gig0/0/0
(config-mon-erspan-src)# destinazione
(config-mon-erspan-src-dst)# indirizzo IP 10.10.10.1
(config-mon-erspan-src-dst)# indirizzo IP di origine 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Orario di pubblicazione: 28 agosto 2024