SPAN, RSPAN và ERSPAN là các kỹ thuật được sử dụng trong mạng để thu thập và giám sát lưu lượng truy cập nhằm mục đích phân tích. Dưới đây là tổng quan ngắn gọn về từng kỹ thuật:
SPAN (Bộ phân tích cổng chuyển mạch)
Mục đích: Dùng để phản chiếu lưu lượng từ các cổng hoặc VLAN cụ thể trên một thiết bị chuyển mạch sang một cổng khác để giám sát.
Trường hợp sử dụng: Lý tưởng cho việc phân tích lưu lượng cục bộ trên một thiết bị chuyển mạch duy nhất. Lưu lượng được phản chiếu đến một cổng được chỉ định, nơi bộ phân tích mạng có thể ghi lại.
RSPAN (SPAN từ xa)
Mục đích: Mở rộng khả năng SPAN trên nhiều thiết bị chuyển mạch trong mạng.
Trường hợp sử dụng: Cho phép giám sát lưu lượng từ switch này sang switch khác qua liên kết trunk. Hữu ích cho các trường hợp thiết bị giám sát nằm trên một switch khác.
ERSPAN (SPAN từ xa được đóng gói)
Mục đích: Kết hợp RSPAN với GRE (Đóng gói định tuyến chung) để đóng gói lưu lượng được phản chiếu.
Trường hợp sử dụng: Cho phép giám sát lưu lượng trên các mạng được định tuyến. Tính năng này hữu ích trong các kiến trúc mạng phức tạp, nơi lưu lượng cần được ghi lại trên các phân đoạn khác nhau.
Switch Port Analyzer (SPAN) là một hệ thống giám sát lưu lượng hiệu quả và hiệu suất cao. Nó định hướng hoặc phản chiếu lưu lượng từ cổng nguồn hoặc VLAN đến cổng đích. Điều này đôi khi được gọi là giám sát phiên. SPAN được sử dụng để khắc phục sự cố kết nối, tính toán mức sử dụng và hiệu suất mạng, cùng nhiều mục đích khác. Có ba loại SPAN được hỗ trợ trên các sản phẩm Cisco…
a. SPAN hoặc SPAN cục bộ.
b. SPAN từ xa (RSPAN).
c. SPAN từ xa được đóng gói (ERSPAN).
Để biết: "Mylinking™ Network Packet Broker với các tính năng SPAN, RSPAN và ERSPAN"
SPAN / phản chiếu lưu lượng / phản chiếu cổng được sử dụng cho nhiều mục đích, dưới đây bao gồm một số mục đích.
- Triển khai IDS/IPS ở chế độ hỗn tạp.
- Giải pháp ghi âm cuộc gọi VOIP.
- Lý do tuân thủ bảo mật để giám sát và phân tích lưu lượng truy cập.
- Xử lý sự cố kết nối, giám sát lưu lượng.
Bất kể loại SPAN nào đang chạy, nguồn SPAN có thể là bất kỳ loại cổng nào, tức là cổng định tuyến, cổng chuyển mạch vật lý, cổng truy cập, đường trục, VLAN (tất cả các cổng đang hoạt động đều được giám sát của bộ chuyển mạch), EtherChannel (một cổng hoặc toàn bộ giao diện kênh cổng) v.v. Lưu ý rằng cổng được cấu hình cho đích SPAN KHÔNG THỂ là một phần của VLAN nguồn SPAN.
Phiên SPAN hỗ trợ giám sát lưu lượng truy cập vào (SPAN truy cập), lưu lượng truy cập ra (SPAN truy cập) hoặc lưu lượng truy cập theo cả hai hướng.
- Ingress SPAN (RX) sao chép lưu lượng nhận được từ các cổng nguồn và VLAN đến cổng đích. SPAN sao chép lưu lượng trước bất kỳ sửa đổi nào (ví dụ: trước bất kỳ bộ lọc VACL hoặc ACL, QoS hoặc chính sách vào hoặc ra nào).
- Egress SPAN (TX) sao chép lưu lượng được truyền từ các cổng nguồn và VLAN đến cổng đích. Tất cả các hoạt động lọc hoặc sửa đổi liên quan bằng bộ lọc VACL hoặc ACL, QoS hoặc các hành động kiểm soát vào/ra đều được thực hiện trước khi chuyển mạch chuyển tiếp lưu lượng đến cổng đích SPAN.
- Khi từ khóa both được sử dụng, SPAN sẽ sao chép lưu lượng mạng được nhận và truyền bởi các cổng nguồn và VLAN đến cổng đích.
- SPAN/RSPAN thường bỏ qua các khung CDP, STP BPDU, VTP, DTP và PAgP. Tuy nhiên, các loại lưu lượng này có thể được chuyển tiếp nếu lệnh encapsulation replica được cấu hình.
SPAN hoặc SPAN cục bộ
SPAN phản ánh lưu lượng từ một hoặc nhiều giao diện trên bộ chuyển mạch đến một hoặc nhiều giao diện trên cùng một bộ chuyển mạch; do đó, SPAN thường được gọi là LOCAL SPAN.
Hướng dẫn hoặc hạn chế đối với SPAN cục bộ:
- Cả cổng chuyển mạch Lớp 2 và cổng Lớp 3 đều có thể được cấu hình làm cổng nguồn hoặc cổng đích.
- Nguồn có thể là một hoặc nhiều cổng hoặc VLAN, nhưng không phải là sự kết hợp của các cổng này.
- Cổng trunk là cổng nguồn hợp lệ được kết hợp với cổng nguồn không phải trunk.
- Có thể cấu hình tối đa 64 cổng đích SPAN trên một bộ chuyển mạch.
- Khi cấu hình một cổng đích, cấu hình gốc của cổng đó sẽ bị ghi đè. Nếu cấu hình SPAN bị xóa, cấu hình gốc trên cổng đó sẽ được khôi phục.
- Khi cấu hình cổng đích, cổng đó sẽ bị xóa khỏi bất kỳ gói EtherChannel nào nếu nó là một phần của gói đó. Nếu đó là cổng định tuyến, cấu hình đích SPAN sẽ ghi đè lên cấu hình cổng định tuyến.
- Cổng đích không hỗ trợ bảo mật cổng, xác thực 802.1x hoặc VLAN riêng.
- Một cổng chỉ có thể hoạt động như cổng đích cho một phiên SPAN.
- Không thể cấu hình một cổng làm cổng đích nếu nó là cổng nguồn của phiên span hoặc là một phần của VLAN nguồn.
- Giao diện kênh cổng (EtherChannel) có thể được cấu hình là cổng nguồn nhưng không phải là cổng đích cho SPAN.
- Hướng lưu lượng là “cả hai” theo mặc định cho các nguồn SPAN.
- Cổng đích không bao giờ tham gia vào một phiên bản cây mở rộng. Không hỗ trợ DTP, CDP, v.v. SPAN cục bộ bao gồm BPDU trong lưu lượng được giám sát, do đó bất kỳ BPDU nào nhìn thấy trên cổng đích đều được sao chép từ cổng nguồn. Do đó, không bao giờ kết nối switch với loại SPAN này vì nó có thể gây ra vòng lặp mạng. Các công cụ AI sẽ cải thiện hiệu quả công việc vàAI không thể phát hiệndịch vụ có thể cải thiện chất lượng của các công cụ AI.
- Khi VLAN được cấu hình là nguồn SPAN (thường được gọi là VSPAN) với cả tùy chọn ingress và egress được cấu hình, chỉ chuyển tiếp các gói tin trùng lặp từ cổng nguồn nếu các gói tin được chuyển mạch trong cùng một VLAN. Một bản sao của gói tin đến từ lưu lượng ingress trên cổng ingress, và bản sao còn lại đến từ lưu lượng egress trên cổng egress.
- VSPAN chỉ giám sát lưu lượng ra hoặc vào các cổng Lớp 2 trong VLAN.
SPAN từ xa (RSPAN)
Remote SPAN (RSPAN) tương tự như SPAN, nhưng hỗ trợ các cổng nguồn, VLAN nguồn và cổng đích trên các thiết bị chuyển mạch khác nhau, cung cấp lưu lượng giám sát từ xa từ các cổng nguồn được phân phối trên nhiều thiết bị chuyển mạch và cho phép tập trung các thiết bị bắt mạng đích. Mỗi phiên RSPAN mang lưu lượng SPAN qua một VLAN RSPAN chuyên dụng do người dùng chỉ định trong tất cả các thiết bị chuyển mạch tham gia. VLAN này sau đó được trunking đến các thiết bị chuyển mạch khác, cho phép lưu lượng phiên RSPAN được truyền qua nhiều thiết bị chuyển mạch và phân phối đến trạm bắt đích. RSPAN bao gồm một phiên RSPAN nguồn, một VLAN RSPAN và một phiên RSPAN đích.
Hướng dẫn hoặc hạn chế đối với RSPAN:
- Phải cấu hình VLAN cụ thể cho đích SPAN, VLAN này sẽ đi qua các bộ chuyển mạch trung gian thông qua các liên kết trunk tới cổng đích.
- Có thể tạo cùng một loại nguồn – ít nhất một cổng hoặc ít nhất một VLAN nhưng không thể kết hợp cả hai.
- Điểm đến của phiên là RSPAN VLAN chứ không phải là một cổng duy nhất trong bộ chuyển mạch, do đó tất cả các cổng trong RSPAN VLAN sẽ nhận được lưu lượng phản chiếu.
- Cấu hình bất kỳ VLAN nào thành RSPAN VLAN miễn là tất cả các thiết bị mạng tham gia đều hỗ trợ cấu hình RSPAN VLAN và sử dụng cùng một RSPAN VLAN cho mỗi phiên RSPAN
- VTP có thể truyền bá cấu hình các VLAN được đánh số từ 1 đến 1024 dưới dạng VLAN RSPAN, phải cấu hình thủ công các VLAN được đánh số cao hơn 1024 dưới dạng VLAN RSPAN trên tất cả các thiết bị mạng nguồn, trung gian và đích.
- Tính năng học địa chỉ MAC bị vô hiệu hóa trong RSPAN VLAN.
SPAN từ xa được đóng gói (ERSPAN)
SPAN từ xa được đóng gói (ERSPAN) mang lại khả năng đóng gói định tuyến chung (GRE) cho tất cả lưu lượng được thu thập và cho phép mở rộng trên các miền Lớp 3.
ERSPAN là mộtCisco độc quyềnTính năng này hiện chỉ khả dụng trên các nền tảng Catalyst 6500, 7600, Nexus và ASR 1000. ASR 1000 chỉ hỗ trợ ERSPAN nguồn (giám sát) trên các giao diện Fast Ethernet, Gigabit Ethernet và cổng-kênh.
Hướng dẫn hoặc hạn chế đối với ERSPAN:
- Phiên nguồn ERSPAN không sao chép lưu lượng được đóng gói GRE của ERSPAN từ các cổng nguồn. Mỗi phiên nguồn ERSPAN có thể có cổng hoặc VLAN làm nguồn, nhưng không thể có cả hai.
- Bất kể kích thước MTU được cấu hình như thế nào, ERSPAN đều tạo ra các gói tin Lớp 3 có thể dài tới 9.202 byte. Lưu lượng ERSPAN có thể bị loại bỏ bởi bất kỳ giao diện nào trong mạng áp dụng kích thước MTU nhỏ hơn 9.202 byte.
- ERSPAN không hỗ trợ phân mảnh gói tin. Bit "không phân mảnh" được đặt trong tiêu đề IP của các gói tin ERSPAN. Các phiên đích ERSPAN không thể lắp ráp lại các gói tin ERSPAN đã phân mảnh.
- ID ERSPAN phân biệt lưu lượng ERSPAN đến cùng một địa chỉ IP đích với nhiều phiên nguồn ERSPAN khác nhau; ID ERSPAN được cấu hình phải khớp trên các thiết bị nguồn và đích.
- Đối với cổng nguồn hoặc VLAN nguồn, ERSPAN có thể giám sát lưu lượng vào, ra hoặc cả vào và ra. Theo mặc định, ERSPAN giám sát tất cả lưu lượng, bao gồm cả khung multicast và khung Bridge Protocol Data Unit (BPDU).
- Giao diện đường hầm được hỗ trợ làm cổng nguồn cho phiên nguồn ERSPAN là GRE, IPinIP, SVTI, IPv6, đường hầm IPv6 qua IP, GRE đa điểm (mGRE) và Giao diện đường hầm ảo an toàn (SVTI).
- Tùy chọn bộ lọc VLAN không hoạt động trong phiên giám sát ERSPAN trên giao diện WAN.
- ERSPAN trên Bộ định tuyến Cisco ASR 1000 Series chỉ hỗ trợ giao diện Lớp 3. Giao diện Ethernet không được hỗ trợ trên ERSPAN khi được cấu hình là giao diện Lớp 2.
- Khi một phiên được cấu hình thông qua CLI cấu hình ERSPAN, ID phiên và loại phiên không thể thay đổi. Để thay đổi, trước tiên bạn phải sử dụng dạng no của lệnh cấu hình để xóa phiên và sau đó cấu hình lại phiên.
- Cisco IOS XE Phiên bản 3.4S: Việc giám sát các gói tin đường hầm không được bảo vệ bằng IPsec chỉ được hỗ trợ trên các giao diện đường hầm IPv6 và IPv6 qua IP tới các phiên nguồn ERSPAN, không phải tới các phiên đích ERSPAN.
- Cisco IOS XE Phiên bản 3.5S, hỗ trợ được thêm vào cho các loại giao diện WAN sau đây làm cổng nguồn cho phiên nguồn: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) và Multilink PPP (các từ khóa multilink, pos và serial đã được thêm vào lệnh giao diện nguồn).
Sử dụng ERSPAN làm SPAN cục bộ:
Để sử dụng ERSPAN để giám sát lưu lượng truy cập qua một hoặc nhiều cổng hoặc VLAN trong cùng một thiết bị, chúng ta phải tạo phiên ERSPAN nguồn và phiên ERSPAN đích trong cùng một thiết bị, luồng dữ liệu diễn ra bên trong bộ định tuyến, tương tự như trong SPAN cục bộ.
Các yếu tố sau đây được áp dụng khi sử dụng ERSPAN làm SPAN cục bộ:
- Cả hai phiên đều có cùng ID ERSPAN.
- Cả hai phiên đều có cùng địa chỉ IP. Địa chỉ IP này là địa chỉ IP riêng của bộ định tuyến; tức là địa chỉ IP vòng lặp hoặc địa chỉ IP được cấu hình trên bất kỳ cổng nào.
| (config)# giám sát phiên 10 loại erspan-source |
| (config-mon-erspan-src)# giao diện nguồn Gig0/0/0 |
| (config-mon-erspan-src)# đích |
| (config-mon-erspan-src-dst)# địa chỉ ip 10.10.10.1 |
| (config-mon-erspan-src-dst)# địa chỉ IP gốc 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Thời gian đăng: 28-08-2024
