English

Разумевање СПАН, РСПАН и ЕРСПАН: Технике за праћење мрежног саобраћаја

СПАН, РСПАН и ЕРСПАНсу технике које се користе у умрежавању за хватање и праћење саобраћаја ради анализе. Ево кратког прегледа сваког од њих:

СПАН (анализатор комутираних портова)

Сврха: Користи се за пресликавање саобраћаја са одређених портова или ВЛАН-ова на комутатору на други порт ради надгледања.

Случај употребе: Идеалан за анализу локалног саобраћаја на једном прекидачу. Саобраћај се пресликава на одређени порт где га мрежни анализатор може ухватити.

РСПАН (Удаљени СПАН)

Сврха: Проширује СПАН могућности на више прекидача у мрежи.

Случај употребе: Омогућава праћење саобраћаја од једног прекидача до другог преко магистралне везе. Корисно за сценарије у којима се уређај за надзор налази на другом прекидачу.

ЕРСПАН (инкапсулирани даљински СПАН)

Сврха: Комбинује РСПАН са ГРЕ (генеричка енкапсулација рутирања) да би се инкапсулирао пресликани саобраћај.

Случај употребе: Омогућава праћење саобраћаја преко рутираних мрежа. Ово је корисно у сложеним мрежним архитектурама где саобраћај треба да се ухвати у различитим сегментима.

Анализатор портова за пребацивање (СПАН)је ефикасан систем за праћење саобраћаја високих перформанси. Он усмерава или пресликава саобраћај са изворног порта или ВЛАН-а на одредишни порт. Ово се понекад назива праћење сесије. СПАН се користи за решавање проблема са повезивањем и израчунавање коришћења мреже и перформанси, између многих других. Постоје три типа СПАН-ова подржаних на Цисцо производима…

а. СПАН или локални СПАН.

б. Ремоте СПАН (РСПАН).

ц. Инкапсулирани даљински СПАН (ЕРСПАН).

Да знате: "Милинкинг™ брокер мрежних пакета са СПАН, РСПАН и ЕРСПАН функцијама"

СПАН, РСПАН, ЕРСПАН

СПАН / пресликавање саобраћаја / пресликавање портова се користи за многе сврхе, у наставку су неке.

- Имплементација ИДС/ИПС у промискуитетном режиму.

- Решења за снимање ВОИП позива.

- Безбедносни разлози за праћење и анализу саобраћаја.

- Решавање проблема са везом, праћење саобраћаја.

Без обзира на тип СПАН који је покренут, СПАН извор може бити било који тип порта, тј. рутирани порт, физички порт комутатора, приступни порт, транк, ВЛАН (сви активни портови се надгледају комутатором), ЕтхерЦханнел (или порт или цео порт -цханнел интерфацес) итд. Имајте на уму да порт конфигурисан за СПАН одредиште НЕ МОЖЕ бити део СПАН изворног ВЛАН-а.

СПАН сесије подржавају праћење улазног саобраћаја (улазни СПАН), излазног саобраћаја (излазни СПАН) или саобраћаја који тече у оба смера.

- Ингресс СПАН (РКС) копира саобраћај који примају изворни портови и ВЛАН на одредишни порт. СПАН копира саобраћај пре било какве измене (на пример, пре било ког ВАЦЛ или АЦЛ филтера, КоС-а или контроле улаза или излаза).

- Излазни СПАН (ТКС) копира саобраћај који се преноси са изворних портова и ВЛАН-ова на одредишни порт. Сва релевантна филтрирања или модификације помоћу ВАЦЛ или АЦЛ филтера, КоС-а или радње контроле улаза или излаза се предузимају пре него што комутатор проследи саобраћај на СПАН одредишни порт.

- Када се користи обе кључне речи, СПАН копира мрежни саобраћај који примају и преносе изворни портови и ВЛАН на одредишни порт.

- СПАН/РСПАН обично игнорише ЦДП, СТП БПДУ, ВТП, ДТП и ПАгП оквире. Међутим, ови типови саобраћаја се могу прослеђивати ако је конфигурисана команда за реплицирање енкапсулације.

СПАН или локални СПАН

СПАН одражава саобраћај са једног или више интерфејса на прекидачу у један или више интерфејса на истом прекидачу; стога се СПАН углавном назива ЛОКАЛНИ СПАН.

Смернице или ограничења за локални СПАН:

- Оба комутирани портови слоја 2 и портови слоја 3 могу се конфигурисати као изворни или одредишни портови.

- Извор може бити један или више портова или ВЛАН, али не и њихова комбинација.

- Транк портови су важећи изворни портови помешани са изворним портовима који нису транк.

- На комутатору се могу конфигурисати до 64 СПАН одредишна порта.

- Када конфигуришемо одредишни порт, његова оригинална конфигурација се преписује. Ако се СПАН конфигурација уклони, првобитна конфигурација на том порту се враћа.

- Када конфигуришете одредишни порт, порт се уклања из било ког пакета ЕтхерЦханнел ако је део њега. Ако је то био рутирани порт, конфигурација СПАН одредишта замењује конфигурацију рутираних портова.

- Одредишни портови не подржавају безбедност порта, 802.1к аутентификацију или приватне ВЛАН мреже.

- Порт може да делује као одредишни порт за само једну СПАН сесију.

- Порт се не може конфигурисати као одредишни порт ако је изворни порт спан сесије или део изворног ВЛАН-а.

- Интерфејси канала портова (ЕтхерЦханнел) могу се конфигурисати као изворни портови, али не и одредишни порт за СПАН.

- Смер саобраћаја је подразумевано „обоје“ за СПАН изворе.

- Одредишни портови никада не учествују у инстанци разапињућег стабла. Не може да подржи ДТП, ЦДП итд. Локални СПАН укључује БПДУ-ове у надгледани саобраћај, тако да се сви БПДУ-ови који се виде на одредишном порту копирају са изворног порта. Стога никада не повезујте прекидач на овај тип СПАН-а јер би то могло да изазове мрежну петљу.

- Када је ВЛАН конфигурисан као СПАН извор (углавном се назива ВСПАН) са конфигурисаним улазним и излазним опцијама, прослеђује дупликате пакета са изворног порта само ако се пакети мењају у истом ВЛАН-у. Једна копија пакета је из улазног саобраћаја на улазном порту, а друга копија пакета је из излазног саобраћаја на излазном порту.

- ВСПАН надгледа само саобраћај који напушта или улази у портове слоја 2 у ВЛАН-у.

СПАН, РСПАН, ЕРСПАН 1

СПАН, РСПАН и ЕРСПАН су технике које се користе у умрежавању за хватање и праћење саобраћаја ради анализе. Ево кратког прегледа сваког од њих:

СПАН (анализатор комутираних портова)

  • сврха: Користи се за пресликавање саобраћаја са одређених портова или ВЛАН-ова на комутатору на други порт ради надгледања.
  • Случај употребе: Идеално за анализу локалног саобраћаја на једном прекидачу. Саобраћај се пресликава на одређени порт где га мрежни анализатор може ухватити.

РСПАН (Удаљени СПАН)

  • сврха: Проширује СПАН могућности на више прекидача у мрежи.
  • Случај употребе: Омогућава праћење саобраћаја од једног прекидача до другог преко магистралне везе. Корисно за сценарије у којима се уређај за надзор налази на другом прекидачу.

ЕРСПАН (инкапсулирани даљински СПАН)

  • сврха: Комбинује РСПАН са ГРЕ (Генериц Роутинг Енцапсулатион) да би се инкапсулирао пресликани саобраћај.
  • Случај употребе: Омогућава праћење саобраћаја преко рутираних мрежа. Ово је корисно у сложеним мрежним архитектурама где саобраћај треба да се ухвати у различитим сегментима.

Удаљени СПАН (РСПАН)

Ремоте СПАН (РСПАН) је сличан СПАН-у, али подржава изворне портове, изворне ВЛАН-ове и одредишне портове на различитим комутаторима, који обезбеђују даљински надзор саобраћаја са изворних портова распоређених преко више комутатора и омогућавају централизовање одредишних уређаја за хватање мреже. Свака РСПАН сесија преноси СПАН саобраћај преко наменског РСПАН ВЛАН-а који је одредио корисник у свим укљученим прекидачима. Овај ВЛАН се затим повезује са другим комутаторима, омогућавајући да се саобраћај РСПАН сесије транспортује преко више комутатора и испоручује до одредишне станице за снимање. РСПАН се састоји од РСПАН изворне сесије, РСПАН ВЛАН-а и РСПАН одредишне сесије.

Смернице или ограничења за РСПАН:

- Одређени ВЛАН мора бити конфигурисан за СПАН одредиште које ће пролазити преко међусклопки преко транк веза ка одредишном порту.

- Може да креира исти тип извора – најмање један порт или бар један ВЛАН, али не може бити мешавина.

- Одредиште за сесију је РСПАН ВЛАН, а не један порт у комутатору, тако да ће сви портови у РСПАН ВЛАН-у примати пресликани саобраћај.

- Конфигуришите било који ВЛАН као РСПАН ВЛАН све док сви мрежни уређаји који учествују подржавају конфигурацију РСПАН ВЛАН-ова и користите исти РСПАН ВЛАН за сваку РСПАН сесију

- ВТП може да шири конфигурацију ВЛАН-а са бројевима од 1 до 1024 као РСПАН ВЛАН-ове, мора ручно да конфигурише ВЛАН-ове са бројем већим од 1024 као РСПАН ВЛАН-ове на свим изворним, посредним и одредишним мрежним уређајима.

- Учење МАЦ адресе је онемогућено у РСПАН ВЛАН-у.

СПАН, РСПАН, ЕРСПАН 2

Енкапсулирани даљински СПАН (ЕРСПАН)

Енкапсулирани удаљени СПАН (ЕРСПАН) доноси генеричку енкапсулацију рутирања (ГРЕ) за сав ухваћени саобраћај и омогућава његово проширење на домене слоја 3.

ЕРСПАН је аЦисцо власничкии до сада је доступна само на Цаталист 6500, 7600, Некус и АСР 1000 платформама. АСР 1000 подржава ЕРСПАН извор (надгледање) само на Фаст Етхернет, Гигабит Етхернет и интерфејсима порт-канал.

Смернице или ограничења за ЕРСПАН:

- ЕРСПАН изворне сесије не копирају ЕРСПАН ГРЕ-енкапсулирани саобраћај са изворних портова. Свака ЕРСПАН изворна сесија може имати или портове или ВЛАН као изворе, али не обоје.

- Без обзира на било коју конфигурисану МТУ величину, ЕРСПАН креира пакете слоја 3 који могу бити дуги и до 9.202 бајта. ЕРСПАН саобраћај може бити одбачен било којим интерфејсом у мрежи који намеће МТУ величину мању од 9.202 бајта.

- ЕРСПАН не подржава фрагментацију пакета. Бит „не фрагментирај“ је постављен у ИП заглављу ЕРСПАН пакета. ЕРСПАН одредишне сесије не могу поново да саставе фрагментиране ЕРСПАН пакете.

- ЕРСПАН ИД разликује ЕРСПАН саобраћај који стиже на исту одредишну ИП адресу од различитих различитих изворних сесија ЕРСПАН-а; конфигурисани ЕРСПАН ИД мора да се подудара на изворном и одредишном уређају.

- За изворни порт или изворни ВЛАН, ЕРСПАН може да надгледа улазни, излазни или и улазни и излазни саобраћај. Подразумевано, ЕРСПАН надгледа сав саобраћај, укључујући мултицаст и БПДУ оквире.

- Тунелски интерфејс подржан као изворни портови за изворну сесију ЕРСПАН-а су ГРЕ, ИПинИП, СВТИ, ИПв6, ИПв6 преко ИП тунела, Мултипоинт ГРЕ (мГРЕ) и Сецуре Виртуал Туннел Интерфацес (СВТИ).

– Опција филтер ВЛАН није функционална у ЕРСПАН сесији надгледања на ВАН интерфејсима.

- ЕРСПАН на рутерима Цисцо АСР 1000 серије подржава само интерфејсе слоја 3. Етхернет интерфејси нису подржани на ЕРСПАН-у када су конфигурисани као интерфејси слоја 2.

- Када се сесија конфигурише преко ЕРСПАН конфигурационог ЦЛИ-а, ИД сесије и тип сесије не могу да се промене. Да бисте их променили, прво морате да употребите форму не конфигурационе команде да бисте уклонили сесију, а затим поново конфигурисали сесију.

- Цисцо ИОС КСЕ издање 3.4С: - Надгледање тунелских пакета који нису заштићени ИПсец је подржано на ИПв6 и ИПв6 преко ИП тунелских интерфејса само до ЕРСПАН изворних сесија, не и до ЕРСПАН одредишних сесија.

- Цисцо ИОС КСЕ Релеасе 3.5С, додата је подршка за следеће типове ВАН интерфејса као изворних портова за изворну сесију: серијски (Т1/Е1, Т3/Е3, ДС0) , пакет преко СОНЕТ-а (ПОС) (ОЦ3, ОЦ12) и Мултилинк ППП (мултилинк, пос и сериал кључне речи су додате команди изворног интерфејса).

СПАН, РСПАН, ЕРСПАН 3

Коришћење ЕРСПАН-а као локалног СПАН-а:

Да бисмо користили ЕРСПАН за надгледање саобраћаја кроз један или више портова или ВЛАН-ова на истом уређају, морамо да креирамо ЕРСПАН изворну и ЕРСПАН одредишну сесију на истом уређају, ток података се одвија унутар рутера, што је слично оном у локалном СПАН-у.

Следећи фактори су применљиви када се ЕРСПАН користи као локални СПАН:

– Обе сесије имају исти ЕРСПАН ИД.

- Обе сесије имају исту ИП адресу. Ова ИП адреса је сопствена ИП адреса рутера; односно ИП адреса повратне петље или ИП адреса конфигурисана на било ком порту.

(цонфиг)# монитор сесије 10 типа ерспан-соурце
(цонфиг-мон-ерспан-срц)# изворни интерфејс Гиг0/0/0
(цонфиг-мон-ерспан-срц)# одредиште
(цонфиг-мон-ерспан-срц-дст)# ИП адреса 10.10.10.1
(цонфиг-мон-ерспан-срц-дст)# оригин ИП адреса 10.10.10.1
(цонфиг-мон-ерспан-срц-дст)# ерспан-ид 100

СПАН, РСПАН, ЕРСПАН 4

Време поста: 28.08.2024
Притисните ентер за претрагу или ЕСЦ да бисте затворили