Span, RSPAN e ERSPAN são técnicas usadas nas redes para capturar e monitorar o tráfego para análise. Aqui está uma breve visão geral de cada um:
Span (analisador de porta comutada)
Objetivo: Usado para refletir o tráfego de portas ou VLANs específicos em uma chave para outra porta para monitoramento.
Caso de uso: Ideal para análise de tráfego local em um único comutador. O tráfego é refletido em uma porta designada onde um analisador de rede pode capturá -lo.
RSPAN (extensão remoto)
Objetivo: estende os recursos de abrangência em vários comutadores em uma rede.
Caso de uso: permite o monitoramento do tráfego de um comutador para outro sobre um link do porta -malas. Útil para cenários em que o dispositivo de monitoramento está localizado em um interruptor diferente.
Erspan (extensão remoto encapsulado)
Objetivo: combina o RSPAN com o GRE (encapsulamento genérico de roteamento) para encapsular o tráfego espelhado.
Caso de uso: permite o monitoramento do tráfego em redes roteadas. Isso é útil em arquiteturas de rede complexas, onde o tráfego precisa ser capturado em diferentes segmentos.
Switch Port Analyzer (SPAN) é um sistema de monitoramento de tráfego de alto desempenho eficiente. Ele direciona ou reflete o tráfego de uma porta de origem ou VLAN para uma porta de destino. Às vezes, isso é chamado de monitoramento da sessão. O SPAN é usado para solucionar problemas de conectividade e calcular a utilização e o desempenho da rede, entre muitos outros. Existem três tipos de vãos suportados nos produtos da Cisco…
um. Extensão ou extensão local.
b. Extensão remoto (rspan).
c. Espanha remoto encapsulado (Erspan).
Para saber: "Corretor de pacotes de rede MyLinking ™ com recursos de span, rspan e erspan"
O espelhamento / espelho de tráfego / porta é usado para muitos propósitos, abaixo inclui alguns.
- Implementando IDs/IPS no modo promíscuo.
- Soluções de gravação de chamadas VoIP.
- Razões de conformidade de segurança para monitorar e analisar o tráfego.
- Solução de problemas de conexão, monitorando o tráfego.
Independentemente do tipo de extensão em execução, a fonte do span pode ser qualquer tipo de porta, ou seja, uma porta roteada, porta de chave física, porta de acesso, tronco, vlan (todas as portas ativas são monitoradas do interruptor), um ethannel (uma porta ou interfaces de câmera de porta inteira) etc. etc. Observe que uma porta configurada para o span de destino não pode fazer parte de uma vlan de fonte.
As sessões de span suportam o monitoramento do tráfego de entrada (intervalo de entrada), tráfego de saída (extensão de saída) ou tráfego que flui em ambas as direções.
- O intervalo de entrada (RX) copia o tráfego recebido pelas portas de origem e VLANs para a porta de destino. A Span copia o tráfego antes de qualquer modificação (por exemplo, antes de qualquer filtro VACL ou ACL, QoS ou policiamento de entrada ou saída).
- A extensão da saída (TX) copia o tráfego transmitido das portas de origem e VLANs para a porta de destino. Toda a filtragem ou modificação relevante por filtro VACL ou ACL, QoS ou Ações de policiamento de entrada ou entrada ou saída são tomadas antes do tráfego do interruptor para a frente da porta de destino.
- Quando a palavra -chave for usada, o SPAN cópia o tráfego de rede recebido e transmitido pelas portas de origem e VLANs para a porta de destino.
- Span/Rspan geralmente ignora os quadros CDP, STP BPDU, VTP, DTP e PAGP. No entanto, esses tipos de tráfego podem ser encaminhados se o comando replicado no encapsulamento estiver configurado.
Extensão ou extensão local
O Span reflete o tráfego de uma ou mais interface no comutador para uma ou mais interfaces no mesmo interruptor; Portanto, o intervalo é referido principalmente como extensão local.
Diretrizes ou restrições à extensão local:
- As portas comutadas da camada 2 e as portas da camada 3 podem ser configuradas como portas de origem ou destino.
- A fonte pode ser uma ou mais portas ou uma VLAN, mas não uma mistura dessas.
- As portas de tronco são portas de origem válidas misturadas com portas de origem não-trunk.
- Até 64 portas de destino de span podem ser configuradas em um interruptor.
- Quando configuramos uma porta de destino, sua configuração original é substituída. Se a configuração do span for removida, a configuração original nessa porta será restaurada.
- Ao configurar uma porta de destino, a porta é removida de qualquer pacote de EtherChannel, se fizer parte de um. Se fosse uma porta roteada, a configuração de destino do span substitui a configuração da porta roteada.
- As portas de destino não suportam segurança da porta, autenticação 802.1x ou VLANs privadas.
- Uma porta pode atuar como a porta de destino para apenas uma sessão de span.
- Uma porta não pode ser configurada como uma porta de destino se for uma porta de origem de uma sessão de span ou parte da VLAN de origem.
- As interfaces de canal da porta (EtherChannel) podem ser configuradas como portas de origem, mas não uma porta de destino para span.
- A direção do tráfego é "ambos" por padrão para fontes de span.
- As portas de destino nunca participam de uma instância de spanning-árvore. Não é possível suportar DTP, CDP etc. A extensão local inclui BPDUs no tráfego monitorado; portanto, qualquer BPDUS visto na porta de destino é copiado da porta de origem. Portanto, nunca conecte uma chave a esse tipo de extensão, pois poderia causar um loop de rede. As ferramentas de IA melhorarão a eficiência do trabalho eIA indetectávelO serviço pode melhorar a qualidade das ferramentas de IA.
- Quando a VLAN é configurada como fonte de span (principalmente denominada vspan) com as opções de entrada e saída configuradas, pacotes duplicados para a frente da porta de origem somente se os pacotes forem alternados na mesma VLAN. Uma cópia do pacote é do tráfego de entrada na porta de entrada e a outra cópia do pacote é do tráfego de saída na porta de saída.
- O vspan monitora apenas o tráfego que sai ou entra na camada 2 portas na VLAN.
Extensão remoto (rspan)
O Remote Span (RSPAN) é semelhante ao SPAN, mas suporta portas de origem, VLANs de origem e portas de destino em diferentes interruptores, que fornecem tráfego de monitoramento remoto das portas de origem distribuídas por vários comutadores e permite o destino centralize os dispositivos de captura de rede. Cada sessão do RSPAN carrega o tráfego de extensão sobre uma RSPAN VLAN dedicada ao usuário em todos os interruptores participantes. Esta VLAN é então assada para outros interruptores, permitindo que o tráfego da sessão do RSPAN seja transportado por vários interruptores e entregue à estação de captura de destino. O RSPAN consiste em uma sessão de origem do RSPAN, uma VLAN da RSPAN e uma sessão de destino do RSPAN.
Diretrizes ou restrições ao RSPAN:
- Uma VLAN específica deve ser configurada para o destino do Span, que atravessará os interruptores intermediários por meio de links de tronco para a porta de destino.
- Pode criar o mesmo tipo de origem - pelo menos uma porta ou pelo menos uma VLAN, mas não pode ser a mistura.
- O destino da sessão é a RSPAN VLAN, em vez da única porta no comutador; portanto, todas as portas da RSPAN VLAN receberão o tráfego espelhado.
- Configure qualquer VLAN como uma VLAN da RSPAN, desde que todos os dispositivos de rede participantes suportem a configuração das VLANs RSPAN e use a mesma RSPAN VLAN para cada sessão RSPAN
- O VTP pode propagar a configuração das VLANs numeradas de 1 a 1024 como VLANs RSPAN, deve configurar manualmente as VLANs numeradas superiores a 1024 como VLANs RSPAN em todos os dispositivos de rede, intermediários e de destino.
- O aprendizado de endereço MAC está desativado na RSPAN VLAN.
Span remoto encapsulado (Erspan)
O Span Remote Encapsulado (ERSPAN) traz o encapsulamento de roteamento genérico (GRE) para todo o tráfego capturado e permite que ele seja estendido pelos domínios da camada 3.
Erspan é aProprietário da CiscoRecurso e está disponível apenas para Catalyst 6500, 7600, Nexus e ASR 1000 plataformas até o momento. O ASR 1000 suporta a fonte Erspan (monitoramento) apenas nas interfaces Fast Ethernet, Gigabit Ethernet e Channel de porta.
Diretrizes ou restrições a Erspan:
- As sessões de origem Erspan não copiam tráfego encapsulado em erspan gre das portas de origem. Cada sessão de origem do ERSPAN pode ter portas ou VLANs como fontes, mas não ambas.
- Independentemente de qualquer tamanho de MTU configurado, a Erspan cria pacotes da camada 3 que podem chegar a 9.202 bytes. O tráfego da ERSPAN pode ser descartado por qualquer interface na rede que aplique um tamanho de MTU menor que 9.202 bytes.
- Erspan não suporta fragmentação de pacotes. O bit "não fragmento" está definido no cabeçalho IP dos pacotes Erspan. As sessões de destino de Erspan não podem remontar pacotes ERSPAN fragmentados.
- O IDS da Erspan diferencia o tráfego Erspan que chega ao mesmo endereço IP de destino de várias sessões de origem Erspan; O ISPAN configurado ID deve corresponder aos dispositivos de origem e destino.
- Para uma porta de origem ou uma VLAN de origem, a Erspan pode monitorar a entrada, a saída ou o tráfego de entrada e saída. Por padrão, a Erspan monitora todo o tráfego, incluindo os quadros da Unidade de Dados de Multicast e Bridge Protocol (BPDU).
- A interface do túnel suportada como portas de origem para uma sessão de origem Erspan são GRE GRE, IPINIP, SVTI, IPv6, IPv6 sobre o túnel IP, GRE multiponto (MGRE) e interfaces de túnel virtual seguro (SVTI).
- A opção VLAN do filtro não é funcional em uma sessão de monitoramento de Erspan em interfaces WAN.
- Erspan On Cisco ASR 1000 Series Routers suporta apenas interfaces da camada 3. As interfaces Ethernet não são suportadas no erspan quando configuradas como interfaces da camada 2.
- Quando uma sessão é configurada através da CLI da configuração do ERSPAN, o ID da sessão e o tipo de sessão não podem ser alterados. Para alterá -los, você deve primeiro usar a forma sem forma do comando de configuração para remover a sessão e depois reconfigurar a sessão.
- Cisco iOS XE Release 3.4S:- O monitoramento de pacotes de túnel não protegido por iPsec é suportado nas interfaces IPv6 e IPv6 sobre o túnel IP apenas nas sessões de origem da ERSPAN, não às sessões de destino de Erspan.
- Cisco IOS XE Release 3.5S, foi adicionado suporte para os seguintes tipos de interfaces WAN como portas de origem para uma sessão de origem: serial (T1/E1, T3/E3, DS0), Pacote sobre Sonet (POS) (OC3, OC12) e Multilink PPP (Multilink, POS e Postais Serriais foram adicionados à fonte.
Usando Erspan como extensão local:
Para usar o ERSPAN para monitorar o tráfego através de uma ou mais portas ou VLANs no mesmo dispositivo, devemos ter que criar uma fonte Erspan e as sessões de destino de Erspan no mesmo dispositivo, o fluxo de dados ocorre dentro do roteador, que é semelhante ao da extensão local.
Os seguintes fatores são aplicáveis ao usar o Erspan como um período local:
- Ambas as sessões têm o mesmo idspan ID.
- Ambas as sessões têm o mesmo endereço IP. Este endereço IP é o próprio endereço IP de roteadores; Ou seja, o endereço IP do loopback ou o endereço IP configurado em qualquer porta.
| (config)# Monitor Sessão 10 Tipo Erspan Source |
| (config-mon-erspan-src)# interface de origem gig0/0/0 |
| (config-mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# endereço IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# Endereço IP de origem 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Hora de postagem: 28-2024 de agosto
