Comprensione di Span, Rspan ed Erspan: tecniche per il monitoraggio del traffico di rete

Span, RSPAN ed Erspan sono tecniche utilizzate nella rete per acquisire e monitorare il traffico per l'analisi. Ecco una breve panoramica di ciascuno:

Span (analizzatore della porta commutata)

Scopo: utilizzato per rispecchiare il traffico da porte o VLAN specifiche su un passaggio a un'altra porta per il monitoraggio.

Caso d'uso: ideale per l'analisi del traffico locale su un singolo switch. Il traffico è rispecchiato in una porta designata in cui un analizzatore di rete può acquisirlo.

RSPAN (remoto intervallo)

Scopo: estende le capacità di span su più switch in una rete.

Caso d'uso: consente il monitoraggio del traffico da un passaggio a un altro a un link a baule. Utile per scenari in cui il dispositivo di monitoraggio si trova su un interruttore diverso.

Erspan (intervallo remoto incapsulato)

Scopo: combina RSPAN con GRE (incapsulamento di routing generico) per incapsulare il traffico specchio.

Caso d'uso: consente il monitoraggio del traffico attraverso le reti instradate. Ciò è utile nelle complesse architetture di rete in cui il traffico deve essere catturato su diversi segmenti.

Switch Port Analyzer (Span) è un sistema di monitoraggio del traffico efficiente e ad alte prestazioni. Dirige o rispecchia il traffico da una porta di origine o VLAN a una porta di destinazione. Questo a volte viene definito monitoraggio della sessione. L'intervallo viene utilizzato per la risoluzione dei problemi di connettività e il calcolo dell'utilizzo e delle prestazioni della rete, tra molti altri. Esistono tre tipi di campate supportate sui prodotti Cisco ...

UN. Intervallo o intervallo locale.

B. Span remoto (RSPAN).

C. Span remoto incapsulata (Erspan).

Per sapere: "Broker di pacchetti di rete Mylinking ™ con SPAN, RSPAN ed ERSPAN"

Span, Rspan, Erspan

Il mirroring / la porta del traffico viene utilizzato per molti scopi, in basso include alcuni.

- Implementazione di ID/IP in modalità promiscua.

- Soluzioni di registrazione delle chiamate VoIP.

- Motivi di conformità della sicurezza per monitorare e analizzare il traffico.

- Risoluzione dei problemi di connessione, monitoraggio del traffico.

Indipendentemente da ciò che il tipo di span in esecuzione, la sorgente di span può essere qualsiasi tipo di porta, cioè una porta instradata, una porta di interruttore fisico, una porta di accesso, un tronco, una VLAN (tutte le porte attive sono monitorate dell'interruttore), un etermanale (una porta o interfacce intera del canale della porta) ecc. Nota che una porta configurata per la destinazione span non può essere parte di un VLAN della sorgente di span.

Le sessioni di span supportano il monitoraggio del traffico di ingresso (intervallo di ingressi), il traffico in uscita (intervallo di uscita) o il traffico che scorre in entrambe le direzioni.

- Ingress Span (RX) copia il traffico ricevuto dalle porte di origine e dalle VLAN nella porta di destinazione. Span copia il traffico prima di qualsiasi modifica (ad esempio prima di un filtro VACL o ACL, QoS o ingresso o polizia di uscita).

- Egress Span (TX) copia il traffico trasmesso dalle porte di origine e dalle VLAN alla porta di destinazione. Tutti i filtrazioni o la modifica pertinenti tramite Filtro VACL o ACL, QoS o Ingress o azioni di polizia di uscita vengono intraprese prima che lo switch inoltra il traffico per attraversare la porta di destinazione.

- Quando viene utilizzata entrambe le parole chiave, lo span copia il traffico di rete ricevuto e trasmesso dalle porte di origine e dalle VLAN alla porta di destinazione.

- Span/RSPAN di solito ignora i frame CDP, STP BPDU, VTP, DTP e PAGP. Tuttavia, questi tipi di traffico possono essere inoltrati se il comando replicato incapsulante è configurato.

Campata locale o locale

Span mira il traffico da una o più interfaccia sul passaggio a una o più interfacce sullo stesso interruttore; Quindi la span è principalmente definita span locale.

Linee guida o restrizioni all'espansione locale:

- Entrambe le porte commutate del livello 2 e le porte del livello 3 possono essere configurate come porte di origine o di destinazione.

- La fonte può essere una o più porte o una VLAN, ma non un mix di queste.

- Le porte del tronco sono porte di origine valide miscelate con porte di origine non tronchi.

- Fino a 64 porte di destinazione possono essere configurate su uno switch.

- Quando configuriamo una porta di destinazione, la sua configurazione originale viene sovrascritta. Se la configurazione span viene rimossa, viene ripristinata la configurazione originale su quella porta.

- Quando si configura una porta di destinazione, la porta viene rimossa da qualsiasi pacchetto eterchannel se faceva parte di uno. Se si trattava di una porta instradata, la configurazione della destinazione Span sovrascrive la configurazione della porta instradata.

- Le porte di destinazione non supportano la sicurezza delle porte, l'autenticazione 802.1x o le VLAN private.

- Una porta può fungere da porta di destinazione per una sola sessione di span.

- Una porta non può essere configurata come porta di destinazione se si tratta di una porta di origine di una sessione di span o parte della VLAN di origine.

- Le interfacce del canale delle porte (EtherChannel) possono essere configurate come porte di origine ma non una porta di destinazione per Span.

- La direzione del traffico è "entrambi" per impostazione predefinita per le fonti di span.

- Le porte di destinazione non partecipano mai a un'istanza per lo spanning-tree. Impossibile supportare DTP, CDP ecc. La campata locale include BPDU nel traffico monitorato, quindi qualsiasi BPDU visto sulla porta di destinazione viene copiato dalla porta di origine. Quindi non collegare mai un interruttore a questo tipo di campata in quanto potrebbe causare un ciclo di rete. Gli strumenti AI miglioreranno l'efficienza del lavoro eAI non rilevabileIl servizio può migliorare la qualità degli strumenti di intelligenza artificiale.

- Quando la VLAN è configurata come sorgente di span (principalmente indicata come VSPAN) con le opzioni di ingresso e di uscita configurate, pacchetti duplicati in avanti dalla porta di origine solo se i pacchetti vengono commutati nella stessa VLAN. Una copia del pacchetto proviene dal traffico di ingresso sulla porta di ingresso e l'altra copia del pacchetto proviene dal traffico in uscita sulla porta di uscita.

- VSPAN monitora solo il traffico che lascia o entra nelle porte di livello 2 nella VLAN.

Span, Rspan, Erspan 1

Span remoto (RSPAN)

L'intervallo remoto (RSPAN) è simile all'archivio, ma supporta le porte di origine, le VLAN di origine e le porte di destinazione su diversi switch, che forniscono il traffico di monitoraggio remoto dalle porte di origine distribuite su più switch e consente di centralizzare i dispositivi di acquisizione di rete di destinazione. Ogni sessione RSPAN trasporta il traffico di span su una VLAN RSPAN dedicata all'utente in tutti gli switch partecipanti. Questa VLAN viene quindi attraversata su altri switch, consentendo il trasporto del traffico della sessione RSPAN su più switch e consegnata alla stazione di cattura di destinazione. RSPAN è costituito da una sessione di origine RSPAN, una RSPAN VLAN e una sessione di destinazione RSPAN.

Linee guida o restrizioni a RSPAN:

- Una VLAN specifica deve essere configurata per la destinazione Span che attraverserà gli switch intermedi tramite i collegamenti del tronco verso la porta di destinazione.

- Può creare lo stesso tipo di origine - almeno una porta o almeno una VLAN ma non può essere il mix.

- La destinazione per la sessione è RSPAN VLAN anziché la porta singola in Switch, quindi tutte le porte in RSPAN VLAN riceveranno il traffico a specchio.

- Configurare qualsiasi VLAN come RSPAN VLAN fintanto che tutti i dispositivi di rete partecipanti supportano la configurazione delle VLAN RSPAN e utilizza la stessa VLAN RSPAN per ogni sessione RSPAN

- VTP può propagare la configurazione delle VLAN numerate da 1 a 1024 come VLAN RSPAN, deve configurare manualmente le VLAN numerate superiori a 1024 come VLAN RSPAN su tutti i dispositivi di rete di origine, intermedio e destinazione.

- L'apprendimento dell'indirizzo MAC è disabilitato nella VLAN RSPAN.

Span, Rspan, Erspan 2

Span remoto incapsulato (Erspan)

La campata remota incapsulata (ERSPAN) porta l'incapsulamento di routing generico (GRE) per tutto il traffico catturato e gli consente di estendere attraverso i domini di livello 3.

Erspan è aCisco proprietarioFunzionalità ed è disponibile solo per catalizzare le piattaforme 6500, 7600, Nexus e ASR 1000 fino ad oggi. L'ASR 1000 supporta la sorgente Erspan (monitoraggio) solo su interfacce Ethernet, Gigabit Ethernet e Port-Channel veloci.

Linee guida o restrizioni a Erspan:

- Le sessioni di origine Erspan non copiano il traffico incapsulato GRE da porte di origine. Ogni sessione di origine Erspan può avere porte o VLAN come fonti, ma non entrambe.

- Indipendentemente da qualsiasi dimensione MTU configurata, Erspan crea pacchetti di livello 3 che possono essere lunghi di 9.202 byte. Il traffico di Erspan potrebbe essere eliminato da qualsiasi interfaccia della rete che impone una dimensione MTU inferiore a 9.202 byte.

- Erspan non supporta la frammentazione dei pacchetti. Il bit "non frammento" è impostato nell'intestazione IP dei pacchetti Erspan. Le sessioni di destinazione di Erspan non possono riassemblare i pacchetti Erspan frammentati.

- L'ID ERSPAN differenzia il traffico ERSPAN che arriva allo stesso indirizzo IP di destinazione da varie sessioni di origine Erspan; L'ID ERSPAN configurato deve corrispondere ai dispositivi di origine e di destinazione.

- Per una porta di origine o una VLAN di origine, l'Erspan può monitorare l'ingresso, l'uscita o il traffico di ingresso e in uscita. Per impostazione predefinita, Erspan monitora tutto il traffico, inclusi i frame BPDU (Bridge Protocol Data Unit (Bridge Protocol).

- Interfaccia tunnel supportata come porte di origine per una sessione di origine Erspan sono GRE, IPinip, SVTI, IPv6, IPv6 su Tunnel IP, MultiPoint GRE (MGRE) e Interfacce tunnel virtuali Secure (SVTI).

- L'opzione Filtro VLAN non è funzionale in una sessione di monitoraggio ERSPAN sulle interfacce WAN.

- Erspan sui router della serie Cisco ASR 1000 supportano solo interfacce di livello 3. Le interfacce Ethernet non sono supportate su Erspan quando configurate come interfacce di livello 2.

- Quando una sessione è configurata tramite la CLI di configurazione Erspan, l'ID sessione e il tipo di sessione non possono essere modificati. Per modificarli, è necessario prima utilizzare la forma NO del comando di configurazione per rimuovere la sessione e quindi riconfigurare la sessione.

- Cisco IOS XE Release 3.4s:- Il monitoraggio dei pacchetti di tunnel protetti non IPSEC è supportato su IPv6 e IPv6 tramite interfacce di tunnel IP solo per sessioni di origine Erspan, non per sessioni di destinazione Erspan.

- Cisco IOS XE Release 3.5S, è stato aggiunto il supporto per i seguenti tipi di interfacce WAN come porte di origine per una sessione di origine: seriale (T1/E1, T3/E3, DS0), pacchetto su Sonet (POS) (OC3, OC12) e MultiLink PPP (MultiLink, POS e parole chiave seriali sono state aggiunte alla comando di interfaccia).

Span, Rspan, Erspan 3

Usando Erspan come spunta locale:

Per utilizzare Erspan per monitorare il traffico attraverso una o più porte o VLAN nello stesso dispositivo, dobbiamo creare sessioni di destinazione Erspan e Erspan nello stesso dispositivo, il flusso di dati si svolge all'interno del router, che è simile a quello nell'intervallo locale.

I seguenti fattori sono applicabili durante l'utilizzo di Erspan come intervallo locale:

- Entrambe le sessioni hanno lo stesso ID Erspan.

- Entrambe le sessioni hanno lo stesso indirizzo IP. Questo indirizzo IP è l'indirizzo IP proprio router; Cioè, l'indirizzo IP loopback o l'indirizzo IP configurato su qualsiasi porta.

(config)# monitor sessione 10 tipo erspan-source
(config-mon-span-src)# interfaccia sorgente Gig0/0/0
(Configura-mon-sanp-src)# destinazione
(Config-Mon-Erspan-Src-DST)# Indirizzo IP 10.10.10.1
(config-mon-span-src-dst)# origine IP Indirizzo 10.10.10.1
(config-mon-sanp-src-dst)# Erspan-ID 100

Span, Rspan, Erspan 4


Tempo post: agosto-28-2024