SPAN, RSPAN dhe ERSPAN janë teknika të përdorura në rrjetëzim për të kapur dhe monitoruar trafikun për analiza. Ja një përmbledhje e shkurtër e secilës:
SPAN (Analizues Portash me Ndërrim)
Qëllimi: Përdoret për të pasqyruar trafikun nga porte ose VLAN specifike në një switch në një port tjetër për monitorim.
Rasti i përdorimit: Ideal për analizën e trafikut lokal në një switch të vetëm. Trafiku pasqyrohet në një port të caktuar ku një analizues rrjeti mund ta kapë atë.
RSPAN (SPAN i largët)
Qëllimi: Zgjeron aftësitë SPAN nëpër shumë ndërprerës në një rrjet.
Rasti i Përdorimit: Lejon monitorimin e trafikut nga një switch në tjetrin nëpërmjet një lidhjeje kryesore. I dobishëm për skenarët ku pajisja e monitorimit ndodhet në një switch tjetër.
ERSPAN (SPAN i Kapsuluar në Distancë)
Qëllimi: Kombinon RSPAN me GRE (Generic Routing Encapsulation) për të enkapsuluar trafikun e pasqyruar.
Rasti i Përdorimit: Lejon monitorimin e trafikut nëpër rrjetet e drejtuara. Kjo është e dobishme në arkitekturat komplekse të rrjetit ku trafiku duhet të kapet nëpër segmente të ndryshme.
Analizuesi i Portave të Ndërprerësit (SPAN) është një sistem efikas dhe me performancë të lartë për monitorimin e trafikut. Ai drejton ose pasqyron trafikun nga një port burimor ose VLAN në një port destinacioni. Kjo nganjëherë quhet monitorim sesioni. SPAN përdoret për zgjidhjen e problemeve të lidhjes dhe llogaritjen e shfrytëzimit dhe performancës së rrjetit, ndër shumë të tjera. Ekzistojnë tre lloje SPAN-esh të mbështetura në produktet Cisco …
a. SPAN ose SPAN lokal.
b. SPAN në distancë (RSPAN).
c. SPAN i enkapsuluar në distancë (ERSPAN).
Për të ditur: "Ndërmjetësi i Paketave të Rrjetit Mylinking™ me Karakteristikat SPAN, RSPAN dhe ERSPAN"
SPAN / pasqyrimi i trafikut / pasqyrimi i porteve përdoret për shumë qëllime, më poshtë përfshihen disa.
- Implementimi i IDS/IPS në modalitetin promiscuous.
- Zgjidhje për regjistrimin e thirrjeve VOIP.
- Arsyet e pajtueshmërisë së sigurisë për të monitoruar dhe analizuar trafikun.
- Zgjidhja e problemeve të lidhjes, monitorimi i trafikut.
Pavarësisht nga lloji i SPAN që po ekzekutohet, burimi i SPAN mund të jetë çdo lloj porti, p.sh. një port i routuar, një port fizik i switch-it, një port aksesi, trunk, VLAN (të gjitha portet aktive monitorohen nga switch-i), një EtherChannel (ose një port ose të gjitha ndërfaqet port-kanal) etj. Vini re se një port i konfiguruar për destinacionin SPAN NUK MUND të jetë pjesë e një VLAN burimor SPAN.
Sesionet SPAN mbështesin monitorimin e trafikut hyrës (ingress SPAN), trafikut dalës (egress SPAN) ose trafikut që rrjedh në të dy drejtimet.
- Ingress SPAN (RX) kopjon trafikun e marrë nga portet burimore dhe VLAN-et në portin e destinacionit. SPAN kopjon trafikun para çdo modifikimi (për shembull para çdo filtri VACL ose ACL, QoS ose policimit të hyrjes ose daljes).
- Egress SPAN (TX) kopjon trafikun e transmetuar nga portet burimore dhe VLAN-et në portin e destinacionit. I gjithë filtrimi ose modifikimi përkatës nga filtri VACL ose ACL, QoS ose veprimet policore të hyrjes ose daljes ndërmerren përpara se switch-i të përçojë trafikun në portin e destinacionit SPAN.
- Kur përdoret fjala kyçe "të dyja", SPAN kopjon trafikun e rrjetit të marrë dhe të transmetuar nga portet burimore dhe VLAN-et në portin e destinacionit.
- SPAN/RSPAN zakonisht i shpërfill kornizat CDP, STP BPDU, VTP, DTP dhe PAgP. Megjithatë, këto lloje trafiku mund të përcillen nëse është konfiguruar komanda e replikimit të enkapsulimit.
SPAN ose SPAN Lokal
SPAN pasqyron trafikun nga një ose më shumë ndërfaqe në switch në një ose më shumë ndërfaqe në të njëjtin switch; prandaj SPAN kryesisht quhet SPAN LOKAL.
Udhëzime ose kufizime për SPAN lokale:
- Të dy portet e ndërruara të Shtresës 2 dhe portet e Shtresës 3 mund të konfigurohen si porta burimi ose destinacioni.
- Burimi mund të jetë një ose më shumë porta ose një VLAN, por jo një përzierje e këtyre.
- Portat trunk janë porta burimi të vlefshme të përziera me porta burimi jo-trunk.
- Deri në 64 porta destinacioni SPAN mund të konfigurohen në një switch.
- Kur konfigurojmë një port destinacioni, konfigurimi i tij origjinal mbishkruhet. Nëse konfigurimi SPAN hiqet, konfigurimi origjinal në atë port rikthehet.
- Kur konfigurohet një port destinacioni, porti hiqet nga çdo paketë EtherChannel nëse ishte pjesë e një të tille. Nëse ishte një port i rrugëzuar, konfigurimi i destinacionit SPAN mbivendos konfigurimin e portit të rrugëzuar.
- Portat e destinacionit nuk mbështesin sigurinë e portave, autentifikimin 802.1x ose VLAN-et private.
- Një port mund të veprojë si port destinacioni vetëm për një seancë SPAN.
- Një port nuk mund të konfigurohet si port destinacioni nëse është një port burimor i një sesioni span ose pjesë e VLAN burimor.
- Ndërfaqet e kanalit të portit (EtherChannel) mund të konfigurohen si porta burimi, por jo si port destinacioni për SPAN.
- Drejtimi i trafikut është "të dyja" si parazgjedhje për burimet SPAN.
- Portat e destinacionit nuk marrin pjesë kurrë në një instancë të pemës shtrirëse. Nuk mund të mbështesë DTP, CDP etj. SPAN lokal përfshin BPDU në trafikun e monitoruar, kështu që çdo BPDU e parë në portin e destinacionit kopjohet nga porta burimore. Prandaj, mos lidhni kurrë një switch me këtë lloj SPAN pasi kjo mund të shkaktojë një lak rrjeti. Mjetet e IA do të përmirësojnë efikasitetin e punës dheAI e pazbulueshmeShërbimi mund të përmirësojë cilësinë e mjeteve të IA-së.
- Kur VLAN është konfiguruar si burim SPAN (kryesisht i referuar si VSPAN) me të dyja opsionet e hyrjes dhe daljes të konfiguruara, përcillni paketat e dyfishta nga porta burimore vetëm nëse paketat ndërrohen në të njëjtin VLAN. Një kopje e paketës është nga trafiku i hyrjes në portin e hyrjes, dhe kopja tjetër e paketës është nga trafiku i daljes në portin e daljes.
- VSPAN monitoron vetëm trafikun që del ose hyn në portet e Shtresës 2 në VLAN.
SPAN në distancë (RSPAN)
SPAN në distancë (RSPAN) është i ngjashëm me SPAN, por mbështet portat burimore, VLAN-et burimore dhe portat e destinacionit në switch-e të ndryshëm, të cilat ofrojnë monitorim në distancë të trafikut nga portat burimore të shpërndara nëpër switch-e të shumtë dhe lejon destinacionin të centralizojë pajisjet e kapjes së rrjetit. Çdo seancë RSPAN mbart trafikun SPAN mbi një VLAN RSPAN të dedikuar të specifikuar nga përdoruesi në të gjithë switch-et pjesëmarrës. Ky VLAN më pas lidhet me switch-e të tjerë, duke lejuar që trafiku i seancës RSPAN të transportohet nëpër switch-e të shumtë dhe të dorëzohet në stacionin e kapjes së destinacionit. RSPAN përbëhet nga një seancë burimore RSPAN, një VLAN RSPAN dhe një seancë destinacioni RSPAN.
Udhëzime ose kufizime për RSPAN:
- Një VLAN specifik duhet të konfigurohet për destinacionin SPAN i cili do të kalojë nëpër switch-at e ndërmjetëm nëpërmjet lidhjeve të trungut drejt portit të destinacionit.
- Mund të krijojë të njëjtin lloj burimi - të paktën një port ose të paktën një VLAN, por nuk mund të jetë përzierja e duhur.
- Destinacioni për seancën është RSPAN VLAN në vend të portës së vetme në switch, kështu që të gjitha portet në RSPAN VLAN do të marrin trafikun e pasqyruar.
- Konfiguroni çdo VLAN si një RSPAN VLAN për sa kohë që të gjitha pajisjet e rrjetit pjesëmarrëse mbështesin konfigurimin e RSPAN VLAN-ve, dhe përdorin të njëjtin RSPAN VLAN për çdo seancë RSPAN
- VTP mund të përhapë konfigurimin e VLAN-ve të numëruara nga 1 deri në 1024 si VLAN RSPAN, por duhet të konfigurojë manualisht VLAN-et e numëruara më lart se 1024 si VLAN RSPAN në të gjitha pajisjet e rrjetit burimor, të ndërmjetëm dhe të destinacionit.
- Mësimi i adresës MAC është i çaktivizuar në RSPAN VLAN.
SPAN i enkapsuluar në distancë (ERSPAN)
SPAN i enkapsuluar në distancë (ERSPAN) sjell enkapsulim të përgjithshëm të rrugëzimit (GRE) për të gjithë trafikun e kapur dhe lejon që ai të zgjerohet në të gjithë domenet e Shtresës 3.
ERSPAN është njëCisco në pronësiveçori dhe është e disponueshme vetëm për platformat Catalyst 6500, 7600, Nexus dhe ASR 1000 deri më sot. ASR 1000 mbështet burimin ERSPAN (monitorim) vetëm në ndërfaqet Fast Ethernet, Gigabit Ethernet dhe port-kanal.
Udhëzime ose kufizime për ERSPAN:
- Sesionet burimore të ERSPAN nuk kopjojnë trafikun e enkapsuluar në ERSPAN GRE nga portet burimore. Çdo sesion burimor i ERSPAN mund të ketë ose porta ose VLAN si burime, por jo të dyja.
- Pavarësisht nga çdo madhësi e konfiguruar e MTU-së, ERSPAN krijon paketa të Shtresës 3 që mund të jenë deri në 9,202 bajt. Trafiku i ERSPAN mund të hiqet nga çdo ndërfaqe në rrjet që imponon një madhësi MTU më të vogël se 9,202 bajt.
- ERSPAN nuk mbështet fragmentimin e paketave. Biti "mos fragmento" vendoset në kokën IP të paketave ERSPAN. Sesionet e destinacionit ERSPAN nuk mund të rimontojnë paketat ERSPAN të fragmentuara.
- ID-ja ERSPAN dallon trafikun ERSPAN që mbërrin në të njëjtën adresë IP destinacioni nga seanca të ndryshme burimore ERSPAN; ID-ja e konfiguruar e ERSPAN duhet të përputhet në pajisjet burimore dhe destinacionore.
- Për një port burimor ose një VLAN burimor, ERSPAN mund të monitorojë trafikun hyrës, dalës ose të dy trafikët, hyrje dhe dalje. Si parazgjedhje, ERSPAN monitoron të gjithë trafikun, duke përfshirë kornizat multicast dhe Bridge Protocol Data Unit (BPDU).
- Ndërfaqet e tunelit të mbështetura si porta burimi për një seancë burimi ERSPAN janë GRE, IPinIP, SVTI, IPv6, IPv6 mbi tunelin IP, GRE me shumë pika (mGRE) dhe Ndërfaqet e Tunelit Virtual të Sigurt (SVTI).
- Opsioni i filtrit VLAN nuk është funksional në një seancë monitorimi ERSPAN në ndërfaqet WAN.
- ERSPAN në routerët Cisco ASR 1000 Series mbështet vetëm ndërfaqet e Shtresës 3. Ndërfaqet Ethernet nuk mbështeten në ERSPAN kur konfigurohen si ndërfaqe të Shtresës 2.
- Kur një seancë konfigurohet përmes CLI-së së konfigurimit ERSPAN, ID-ja e seancës dhe lloji i seancës nuk mund të ndryshohen. Për t'i ndryshuar ato, së pari duhet të përdorni formën no të komandës së konfigurimit për të hequr seancën dhe më pas ta rikonfiguroni seancën.
- Cisco IOS XE Versioni 3.4S: - Monitorimi i paketave të tunelit jo të mbrojtura nga IPsec mbështetet në ndërfaqet e tunelit IPv6 dhe IPv6 mbi IP vetëm për sesionet burimore ERSPAN, jo për sesionet e destinacionit ERSPAN.
- Cisco IOS XE Versioni 3.5S, u shtua mbështetje për llojet e mëposhtme të ndërfaqeve WAN si porta burimi për një sesion burimi: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) dhe Multilink PPP (fjalët kyçe multilink, pos dhe serial u shtuan në komandën e ndërfaqes burimore).
Duke përdorur ERSPAN si SPAN Lokal:
Për të përdorur ERSPAN për të monitoruar trafikun përmes një ose më shumë porteve ose VLAN-ve në të njëjtën pajisje, duhet të krijojmë një burim ERSPAN dhe një seancë destinacioni ERSPAN në të njëjtën pajisje, rrjedha e të dhënave zhvillohet brenda ruterit, gjë që është e ngjashme me atë në SPAN lokal.
Faktorët e mëposhtëm janë të zbatueshëm gjatë përdorimit të ERSPAN si një SPAN lokal:
- Të dy sesionet kanë të njëjtin ID ERSPAN.
- Të dyja sesionet kanë të njëjtën adresë IP. Kjo adresë IP është adresa IP e vetë ruterit; domethënë, adresa IP e loopback ose adresa IP e konfiguruar në çdo port.
| (konfigurim) # monitorimi i sesionit 10 tipi erspan-source |
| (config-mon-erspan-src)# ndërfaqja burimore Gig0/0/0 |
| (config-mon-erspan-src)# destinacioni |
| (config-mon-erspan-src-dst)# adresa IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adresa IP e origjinës 10.10.10.1 |
| (konfigurim-mon-erspan-src-dst)# erspan-id 100 |
Koha e postimit: 28 gusht 2024
