SPAN, RSPAN e ERSPANsão técnicas usadas em redes para capturar e monitorar o tráfego para análise. Aqui está uma breve visão geral de cada um:
SPAN (Analisador de porta comutada)
Objetivo: Usado para espelhar o tráfego de portas ou VLANs específicas em um switch para outra porta para monitoramento.
Caso de uso: Ideal para análise de tráfego local em um único switch. O tráfego é espelhado em uma porta designada onde um analisador de rede pode capturá-lo.
RSPAN (SPAN remoto)
Objetivo: Estende os recursos de SPAN em vários switches em uma rede.
Caso de uso: Permite o monitoramento do tráfego de um switch para outro através de um link trunk. Útil para cenários em que o dispositivo de monitoramento está localizado em um switch diferente.
ERSPAN (SPAN remoto encapsulado)
Objetivo: Combina RSPAN com GRE (Generic Routing Encapsulation) para encapsular o tráfego espelhado.
Caso de uso: permite o monitoramento do tráfego em redes roteadas. Isto é útil em arquiteturas de rede complexas onde o tráfego precisa ser capturado em diferentes segmentos.
Analisador de porta de switch (SPAN)é um sistema de monitoramento de tráfego eficiente e de alto desempenho. Ele direciona ou espelha o tráfego de uma porta de origem ou VLAN para uma porta de destino. Isso às vezes é chamado de monitoramento de sessão. SPAN é usado para solucionar problemas de conectividade e calcular a utilização e o desempenho da rede, entre muitos outros. Existem três tipos de SPANs suportados em produtos Cisco…
um. SPAN ou SPAN local.
b. SPAN Remoto (RSPAN).
c. SPAN remoto encapsulado (ERSPAN).
Para saber: "Corretor de pacotes de rede Mylinking™ com recursos SPAN, RSPAN e ERSPAN"
SPAN/espelhamento de tráfego/espelhamento de porta é usado para muitos propósitos, abaixo inclui alguns.
- Implementação de IDS/IPS em modo promíscuo.
- Soluções de gravação de chamadas VOIP.
- Razões de conformidade de segurança para monitorar e analisar o tráfego.
- Solução de problemas de conexão, monitoramento de tráfego.
Independentemente do tipo de SPAN em execução, a origem do SPAN pode ser qualquer tipo de porta, ou seja, uma porta roteada, porta de switch físico, uma porta de acesso, tronco, VLAN (todas as portas ativas são monitoradas pelo switch), um EtherChannel (uma porta ou uma porta inteira). -interfaces de canal) etc. Observe que uma porta configurada para destino SPAN NÃO PODE fazer parte de uma VLAN de origem SPAN.
As sessões SPAN suportam o monitoramento do tráfego de entrada (SPAN de entrada), do tráfego de saída (SPAN de saída) ou do tráfego que flui em ambas as direções.
- O Ingress SPAN (RX) copia o tráfego recebido pelas portas de origem e VLANs para a porta de destino. SPAN copia o tráfego antes de qualquer modificação (por exemplo, antes de qualquer filtro VACL ou ACL, QoS ou policiamento de entrada ou saída).
- Egress SPAN (TX) copia o tráfego transmitido das portas de origem e VLANs para a porta de destino. Toda filtragem ou modificação relevante por filtro VACL ou ACL, QoS ou ações de policiamento de entrada ou saída são tomadas antes que o switch encaminhe o tráfego para a porta de destino SPAN.
- Quando a palavra-chave Both é usada, o SPAN copia o tráfego de rede recebido e transmitido pelas portas de origem e VLANs para a porta de destino.
- SPAN/RSPAN geralmente ignora quadros CDP, STP BPDU, VTP, DTP e PAgP. Contudo estes tipos de tráfego podem ser encaminhados se o comando encapsulation replicate estiver configurado.
SPAN ou SPAN Local
SPAN espelha o tráfego de uma ou mais interfaces no switch para uma ou mais interfaces no mesmo switch; portanto, SPAN é mais conhecido como LOCAL SPAN.
Diretrizes ou restrições ao SPAN local:
- Tanto as portas comutadas da Camada 2 quanto as portas da Camada 3 podem ser configuradas como portas de origem ou de destino.
- A origem pode ser uma ou mais portas ou uma VLAN, mas não uma combinação destas.
- As portas de tronco são portas de origem válidas misturadas com portas de origem não-tronco.
- Até 64 portas de destino SPAN podem ser configuradas em um switch.
- Quando configuramos uma porta de destino, sua configuração original é sobrescrita. Se a configuração SPAN for removida, a configuração original nessa porta será restaurada.
- Ao configurar uma porta de destino, a porta é removida de qualquer pacote EtherChannel se fizer parte de um. Se fosse uma porta roteada, a configuração de destino SPAN substituirá a configuração da porta roteada.
- As portas de destino não suportam segurança de porta, autenticação 802.1x ou VLANs privadas.
- Uma porta pode atuar como porta de destino para apenas uma sessão SPAN.
- Uma porta não pode ser configurada como porta de destino se for uma porta de origem de uma sessão de extensão ou parte da VLAN de origem.
- As interfaces Port Channel (EtherChannel) podem ser configuradas como portas de origem, mas não como porta de destino para SPAN.
- A direção do tráfego é “ambas” por padrão para fontes SPAN.
- As portas de destino nunca participam de uma instância de spanning tree. Não é possível suportar DTP, CDP etc. O SPAN local inclui BPDUs no tráfego monitorado, portanto, quaisquer BPDUs vistos na porta de destino são copiados da porta de origem. Portanto, nunca conecte um switch a este tipo de SPAN, pois isso pode causar um loop na rede.
- Quando a VLAN estiver configurada como origem SPAN (geralmente chamada de VSPAN) com opções de entrada e saída configuradas, encaminhe pacotes duplicados da porta de origem somente se os pacotes forem comutados na mesma VLAN. Uma cópia do pacote vem do tráfego de entrada na porta de entrada e a outra cópia do pacote vem do tráfego de saída na porta de saída.
- O VSPAN monitora apenas o tráfego que sai ou entra nas portas da Camada 2 na VLAN.
SPAN, RSPAN e ERSPAN são técnicas usadas em redes para capturar e monitorar tráfego para análise. Aqui está uma breve visão geral de cada um:
SPAN (Analisador de porta comutada)
- Propósito: usado para espelhar o tráfego de portas ou VLANs específicas em um switch para outra porta para monitoramento.
- Caso de uso: Ideal para análise de tráfego local em um único switch. O tráfego é espelhado em uma porta designada onde um analisador de rede pode capturá-lo.
RSPAN (SPAN remoto)
- Propósito: estende os recursos de SPAN em vários switches em uma rede.
- Caso de uso: Permite o monitoramento do tráfego de um switch para outro através de um link de tronco. Útil para cenários em que o dispositivo de monitoramento está localizado em um switch diferente.
ERSPAN (SPAN remoto encapsulado)
- Propósito: Combina RSPAN com GRE (Generic Routing Encapsulation) para encapsular o tráfego espelhado.
- Caso de uso: permite o monitoramento do tráfego em redes roteadas. Isto é útil em arquiteturas de rede complexas onde o tráfego precisa ser capturado em diferentes segmentos.
SPAN Remoto (RSPAN)
Remote SPAN (RSPAN) é semelhante ao SPAN, mas suporta portas de origem, VLANs de origem e portas de destino em diferentes switches, que fornecem monitoramento remoto do tráfego de portas de origem distribuídas em vários switches e permitem centralizar o destino dos dispositivos de captura de rede. Cada sessão RSPAN transporta o tráfego SPAN através de uma VLAN RSPAN dedicada especificada pelo usuário em todos os switches participantes. Essa VLAN é então troncalizada para outros switches, permitindo que o tráfego da sessão RSPAN seja transportado através de vários switches e entregue à estação de captura de destino. O RSPAN consiste em uma sessão de origem RSPAN, uma VLAN RSPAN e uma sessão de destino RSPAN.
Diretrizes ou restrições ao RSPAN:
- Uma VLAN específica deve ser configurada para o destino SPAN que atravessará os switches intermediários através de links de tronco em direção à porta de destino.
- Pode criar o mesmo tipo de origem – pelo menos uma porta ou pelo menos uma VLAN, mas não pode ser a combinação.
- O destino da sessão é RSPAN VLAN em vez da porta única no switch, portanto todas as portas na RSPAN VLAN receberão o tráfego espelhado.
- Configure qualquer VLAN como uma VLAN RSPAN, desde que todos os dispositivos de rede participantes suportem a configuração de VLANs RSPAN e usem a mesma VLAN RSPAN para cada sessão RSPAN
- O VTP pode propagar a configuração de VLANs numeradas de 1 a 1024 como VLANs RSPAN, deve configurar manualmente VLANs numeradas acima de 1024 como VLANs RSPAN em todos os dispositivos de rede de origem, intermediários e destino.
- O aprendizado de endereço MAC está desabilitado na VLAN RSPAN.
SPAN remoto encapsulado (ERSPAN)
O SPAN remoto encapsulado (ERSPAN) traz encapsulamento de roteamento genérico (GRE) para todo o tráfego capturado e permite que ele seja estendido através de domínios da Camada 3.
A ERSPAN é umaPropriedade da Ciscorecurso e está disponível apenas para plataformas Catalyst 6500, 7600, Nexus e ASR 1000 até o momento. O ASR 1000 suporta fonte ERSPAN (monitoramento) apenas em Fast Ethernet, Gigabit Ethernet e interfaces port-channel.
Orientações ou restrições à ERSPAN:
- As sessões de origem ERSPAN não copiam o tráfego encapsulado em ERSPAN GRE das portas de origem. Cada sessão de origem ERSPAN pode ter portas ou VLANs como fontes, mas não ambas.
- Independentemente de qualquer tamanho de MTU configurado, o ERSPAN cria pacotes da Camada 3 que podem ter até 9.202 bytes. O tráfego ERSPAN pode ser eliminado por qualquer interface na rede que imponha um tamanho de MTU menor que 9.202 bytes.
- ERSPAN não suporta fragmentação de pacotes. O bit "não fragmentar" é definido no cabeçalho IP dos pacotes ERSPAN. As sessões de destino ERSPAN não podem remontar pacotes ERSPAN fragmentados.
- O ERSPAN ID diferencia o tráfego ERSPAN que chega ao mesmo endereço IP de destino de várias sessões de origem ERSPAN diferentes; O ID ERSPAN configurado deve corresponder aos dispositivos de origem e de destino.
- Para uma porta de origem ou VLAN de origem, o ERSPAN pode monitorar a entrada, a saída ou o tráfego de entrada e saída. Por padrão, o ERSPAN monitora todo o tráfego, incluindo quadros multicast e Bridge Protocol Data Unit (BPDU).
- As interfaces de túnel suportadas como portas de origem para uma sessão de origem ERSPAN são GRE, IPinIP, SVTI, IPv6, IPv6 sobre túnel IP, Multipoint GRE (mGRE) e Secure Virtual Tunnel Interfaces (SVTI).
- A opção de filtro VLAN não funciona em uma sessão de monitoramento ERSPAN em interfaces WAN.
- ERSPAN nos roteadores Cisco ASR série 1000 suporta apenas interfaces de Camada 3. As interfaces Ethernet não são suportadas no ERSPAN quando configuradas como interfaces de Camada 2.
- Quando uma sessão é configurada através da CLI de configuração do ERSPAN, o ID da sessão e o tipo de sessão não podem ser alterados. Para alterá-los, você deve primeiro usar o formulário no do comando de configuração para remover a sessão e depois reconfigurar a sessão.
- Cisco IOS XE versão 3.4S: - O monitoramento de pacotes de túnel não protegidos por IPsec é suportado em interfaces de túnel IPv6 e IPv6 sobre IP apenas para sessões de origem ERSPAN, não para sessões de destino ERSPAN.
- Cisco IOS XE versão 3.5S, foi adicionado suporte para os seguintes tipos de interfaces WAN como portas de origem para uma sessão de origem: Serial (T1/E1, T3/E3, DS0), Pacote sobre SONET (POS) (OC3, OC12) e Multilink PPP (palavras-chave multilink, pos e serial foram adicionadas ao comando da interface de origem).
Usando ERSPAN como SPAN local:
Para usar o ERSPAN para monitorar o tráfego através de uma ou mais portas ou VLANs no mesmo dispositivo, devemos criar uma sessão de origem e de destino ERSPAN no mesmo dispositivo, o fluxo de dados ocorre dentro do roteador, que é semelhante ao do SPAN local.
Os seguintes fatores são aplicáveis ao usar ERSPAN como SPAN local:
- Ambas as sessões possuem o mesmo ID ERSPAN.
- Ambas as sessões têm o mesmo endereço IP. Este endereço IP é o endereço IP do próprio roteador; isto é, o endereço IP de loopback ou o endereço IP configurado em qualquer porta.
| (config)# monitora sessão 10 tipo erspan-source |
| (config-mon-erspan-src)# interface de origem Gig0/0/0 |
| (config-mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# endereço IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# endereço IP de origem 10.10.10.1 |
| (config-mon-erspan-src-dst)#erspan-id 100 |
Horário da postagem: 28 de agosto de 2024
