Hiểu SPAN, RSPAN và ERSPAN: Kỹ thuật giám sát lưu lượng mạng

SPAN, RSPAN và ERSPAN là các kỹ thuật được sử dụng trong mạng để nắm bắt và giám sát lưu lượng truy cập để phân tích. Dưới đây là tổng quan ngắn gọn về mỗi:

SPAN (Trình phân tích cổng chuyển đổi)

Mục đích: Được sử dụng để phản chiếu lưu lượng truy cập từ các cổng hoặc Vlan cụ thể trên một bộ chuyển mạch sang một cổng khác để giám sát.

Trường hợp sử dụng: Lý tưởng để phân tích lưu lượng truy cập cục bộ trên một nút chuyển. Lưu lượng truy cập được phản ánh tới một cổng được chỉ định nơi bộ phân tích mạng có thể nắm bắt được nó.

RSPAN (SPAN từ xa)

Mục đích: Mở rộng khả năng SPAN trên nhiều thiết bị chuyển mạch trong mạng.

Ca sử dụng: Cho phép giám sát lưu lượng từ bộ chuyển mạch này sang bộ chuyển mạch khác qua liên kết trung kế. Hữu ích cho các tình huống trong đó thiết bị giám sát được đặt trên một bộ chuyển mạch khác.

ERSPAN (SPAN từ xa được đóng gói)

Mục đích: Kết hợp RSPAN với GRE (Đóng gói định tuyến chung) để đóng gói lưu lượng được phản ánh.

Ca sử dụng: Cho phép giám sát lưu lượng trên các mạng được định tuyến. Điều này rất hữu ích trong các kiến ​​trúc mạng phức tạp nơi lưu lượng truy cập cần được nắm bắt trên các phân đoạn khác nhau.

Bộ phân tích cổng chuyển mạch (SPAN) là một hệ thống giám sát lưu lượng truy cập hiệu quả, hiệu suất cao. Nó hướng hoặc phản ánh lưu lượng truy cập từ cổng nguồn hoặc Vlan đến cổng đích. Điều này đôi khi được gọi là giám sát phiên. SPAN được sử dụng để khắc phục sự cố kết nối cũng như tính toán hiệu suất và mức sử dụng mạng, cùng nhiều vấn đề khác. Có ba loại SPAN được hỗ trợ trên các sản phẩm của Cisco…

Một. SPAN hoặc SPAN cục bộ.

b. SPAN từ xa (RSPAN).

c. SPAN từ xa được đóng gói (ERSPAN).

Để biết: "Nhà môi giới gói mạng Mylinking™ với các tính năng SPAN, RSPAN và ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / phản chiếu lưu lượng / phản chiếu cổng được sử dụng cho nhiều mục đích, dưới đây bao gồm một số mục đích.

- Triển khai IDS/IPS ở chế độ promiscuous.

- Giải pháp ghi âm cuộc gọi VOIP.

- Lý do tuân thủ an ninh để theo dõi và phân tích lưu lượng truy cập.

- Xử lý sự cố kết nối, giám sát lưu lượng.

Bất kể loại SPAN đang chạy, nguồn SPAN có thể là bất kỳ loại cổng nào, ví dụ: cổng được định tuyến, cổng chuyển mạch vật lý, cổng truy cập, đường trục, Vlan (tất cả các cổng hoạt động đều được giám sát của switch), EtherChannel (một cổng hoặc toàn bộ cổng). -channel giao diện), v.v. Lưu ý rằng cổng được định cấu hình cho đích SPAN KHÔNG THỂ là một phần của VLAN nguồn SPAN.

Các phiên SPAN hỗ trợ giám sát lưu lượng truy cập vào (ingress SPAN), lưu lượng truy cập đi ra (egress SPAN) hoặc lưu lượng truy cập theo cả hai hướng.

- Ingress SPAN (RX) sao chép lưu lượng nhận được từ cổng nguồn và Vlan sang cổng đích. SPAN sao chép lưu lượng truy cập trước bất kỳ sửa đổi nào (ví dụ trước bất kỳ bộ lọc VACL hoặc ACL nào, QoS hoặc chính sách đi vào hoặc đi ra).

- Egress SPAN (TX) sao chép lưu lượng được truyền từ cổng nguồn và Vlan sang cổng đích. Tất cả các hoạt động lọc hoặc sửa đổi có liên quan bằng bộ lọc VACL hoặc ACL, QoS hoặc các hành động kiểm soát lối vào hoặc lối ra đều được thực hiện trước khi switch chuyển tiếp lưu lượng truy cập đến cổng đích SPAN.

- Khi từ khóa cả hai được sử dụng, SPAN sẽ sao chép lưu lượng mạng được nhận và truyền bởi các cổng nguồn và Vlan sang cổng đích.

- SPAN/RSPAN thường bỏ qua các khung CDP, STP BPDU, VTP, DTP và PAgP. Tuy nhiên, các loại lưu lượng này có thể được chuyển tiếp nếu lệnh sao chép đóng gói được cấu hình.

SPAN hoặc SPAN cục bộ

SPAN phản ánh lưu lượng truy cập từ một hoặc nhiều giao diện trên switch sang một hoặc nhiều giao diện trên cùng một switch; do đó SPAN chủ yếu được gọi là SPAN ĐỊA PHƯƠNG.

Nguyên tắc hoặc hạn chế đối với SPAN địa phương:

- Cả hai cổng chuyển mạch Lớp 2 và cổng Lớp 3 đều có thể được cấu hình làm cổng nguồn hoặc cổng đích.

- Nguồn có thể là một hoặc nhiều cổng hoặc VLAN, nhưng không được kết hợp các cổng này.

- Cổng trung kế là cổng nguồn hợp lệ trộn lẫn với cổng nguồn không trung kế.

- Có thể cấu hình tối đa 64 cổng đích SPAN trên một switch.

- Khi chúng ta cấu hình cổng đích, cấu hình ban đầu của nó sẽ bị ghi đè. Nếu cấu hình SPAN bị xóa, cấu hình ban đầu trên cổng đó sẽ được khôi phục.

- Khi định cấu hình cổng đích, cổng đó sẽ bị xóa khỏi bất kỳ gói EtherChannel nào nếu nó là một phần của một gói. Nếu đó là cổng được định tuyến, cấu hình đích SPAN sẽ ghi đè cấu hình cổng được định tuyến.

- Cổng đích không hỗ trợ bảo mật cổng, xác thực 802.1x hoặc Vlan riêng.

- Một cổng có thể đóng vai trò là cổng đích chỉ cho một phiên SPAN.

- Một cổng không thể được cấu hình làm cổng đích nếu đó là cổng nguồn của phiên span hoặc một phần của VLAN nguồn.

- Giao diện kênh cổng (EtherChannel) có thể được cấu hình làm cổng nguồn nhưng không phải là cổng đích cho SPAN.

- Hướng lưu lượng truy cập là “cả hai” theo mặc định cho các nguồn SPAN.

- Cổng đích không bao giờ tham gia vào phiên bản cây bao trùm. Không thể hỗ trợ DTP, CDP, v.v. SPAN cục bộ bao gồm các BPDU trong lưu lượng được giám sát, do đó mọi BPDU nhìn thấy trên cổng đích đều được sao chép từ cổng nguồn. Do đó, đừng bao giờ kết nối bộ chuyển mạch với loại SPAN này vì nó có thể gây ra hiện tượng lặp mạng. Các công cụ AI sẽ nâng cao hiệu quả công việc vàAI không thể phát hiệndịch vụ có thể cải thiện chất lượng của các công cụ AI.

- Khi Vlan được cấu hình là nguồn SPAN (chủ yếu được gọi là VSPAN) với cả tùy chọn đầu vào và đầu ra được định cấu hình, chỉ chuyển tiếp các gói trùng lặp từ cổng nguồn nếu các gói được chuyển trong cùng một Vlan. Một bản sao của gói là từ lưu lượng truy cập vào trên cổng vào và bản sao còn lại của gói là từ lưu lượng đi ra trên cổng đi.

- VSPAN chỉ giám sát lưu lượng truy cập rời khỏi hoặc đi vào các cổng Lớp 2 trong Vlan.

SPAN, RSPAN, ERSPAN 1

SPAN từ xa (RSPAN)

SPAN từ xa (RSPAN) tương tự như SPAN, nhưng nó hỗ trợ các cổng nguồn, Vlan nguồn và cổng đích trên các thiết bị chuyển mạch khác nhau, cung cấp lưu lượng giám sát từ xa từ các cổng nguồn được phân bổ trên nhiều thiết bị chuyển mạch và cho phép các thiết bị chụp mạng tập trung vào đích. Mỗi phiên RSPAN mang lưu lượng SPAN qua RSPAN VLAN chuyên dụng do người dùng chỉ định trong tất cả các thiết bị chuyển mạch tham gia. Vlan này sau đó được chuyển sang các thiết bị chuyển mạch khác, cho phép lưu lượng phiên RSPAN được vận chuyển qua nhiều thiết bị chuyển mạch và được chuyển đến trạm thu thập đích. RSPAN bao gồm phiên nguồn RSPAN, phiên RSPAN Vlan và phiên đích RSPAN.

Nguyên tắc hoặc hạn chế đối với RSPAN:

- Một VLAN cụ thể phải được cấu hình cho đích SPAN sẽ đi qua các thiết bị chuyển mạch trung gian thông qua các liên kết trung kế tới cổng đích.

- Có thể tạo cùng loại nguồn – ít nhất một cổng hoặc ít nhất một VLAN nhưng không thể trộn lẫn được.

- Đích của phiên là RSPAN VLAN chứ không phải cổng đơn trong switch, do đó tất cả các cổng trong RSPAN VLAN sẽ nhận được lưu lượng được nhân đôi.

- Định cấu hình bất kỳ Vlan nào dưới dạng RSPAN Vlan miễn là tất cả các thiết bị mạng tham gia đều hỗ trợ cấu hình RSPAN Vlan và sử dụng cùng một RSPAN Vlan cho mỗi phiên RSPAN

- VTP có thể truyền cấu hình các Vlan được đánh số từ 1 đến 1024 dưới dạng RSPAN Vlan, phải cấu hình thủ công các Vlan được đánh số cao hơn 1024 dưới dạng RSPAN Vlan trên tất cả các thiết bị mạng nguồn, trung gian và đích.

- Việc học địa chỉ MAC bị vô hiệu hóa trong RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

SPAN từ xa được đóng gói (ERSPAN)

SPAN từ xa được đóng gói (ERSPAN) mang đến khả năng đóng gói định tuyến chung (GRE) cho tất cả lưu lượng truy cập đã bắt được và cho phép mở rộng nó trên các miền Lớp 3.

ERSPAN là mộtCisco độc quyềntính năng này và cho đến nay chỉ có sẵn trên các nền tảng Catalyst 6500, 7600, Nexus và ASR 1000. ASR 1000 chỉ hỗ trợ nguồn ERSPAN (giám sát) trên Fast Ethernet, Gigabit Ethernet và giao diện kênh cổng.

Nguyên tắc hoặc hạn chế đối với ERSPAN:

- Phiên nguồn ERSPAN không sao chép lưu lượng được đóng gói ERSPAN GRE từ các cổng nguồn. Mỗi phiên nguồn ERSPAN có thể có cổng hoặc Vlan làm nguồn, nhưng không thể có cả hai.

- Bất kể kích thước MTU được định cấu hình, ERSPAN tạo các gói Lớp 3 có thể dài tới 9.202 byte. Lưu lượng truy cập ERSPAN có thể bị giảm bởi bất kỳ giao diện nào trong mạng thực thi kích thước MTU nhỏ hơn 9.202 byte.

- ERSPAN không hỗ trợ phân mảnh gói. Bit "không phân mảnh" được đặt trong tiêu đề IP của gói ERSPAN. Phiên đích ERSPAN không thể tập hợp lại các gói ERSPAN bị phân mảnh.

- ID ERSPAN phân biệt lưu lượng truy cập ERSPAN đến cùng một địa chỉ IP đích với các phiên nguồn ERSPAN khác nhau; ID ERSPAN được định cấu hình phải khớp trên thiết bị nguồn và đích.

- Đối với cổng nguồn hoặc VLAN nguồn, ERSPAN có thể giám sát lưu lượng vào, ra hoặc cả lưu lượng vào và ra. Theo mặc định, ERSPAN giám sát tất cả lưu lượng truy cập, bao gồm các khung multicast và Bridge Protocol Data Unit (BPDU).

- Giao diện đường hầm được hỗ trợ làm cổng nguồn cho phiên nguồn ERSPAN là GRE, IPinIP, SVTI, IPv6, IPv6 qua đường hầm IP, GRE đa điểm (mGRE) và Giao diện đường hầm ảo an toàn (SVTI).

- Tùy chọn bộ lọc VLAN không hoạt động trong phiên giám sát ERSPAN trên giao diện WAN.

- ERSPAN trên Bộ định tuyến Cisco ASR 1000 Series chỉ hỗ trợ giao diện Lớp 3. Giao diện Ethernet không được hỗ trợ trên ERSPAN khi được định cấu hình làm giao diện Lớp 2.

- Khi một phiên được định cấu hình thông qua CLI cấu hình ERSPAN, ID phiên và loại phiên không thể thay đổi. Để thay đổi chúng, trước tiên bạn phải sử dụng dạng no của lệnh cấu hình để xóa phiên và sau đó cấu hình lại phiên.

- Cisco IOS XE Release 3.4S :- Giám sát các gói đường hầm không được bảo vệ IPsec chỉ được hỗ trợ trên các giao diện đường hầm IP IPv6 và IPv6 đối với các phiên nguồn ERSPAN, không hỗ trợ các phiên đích ERSPAN.

- Cisco IOS XE Release 3.5S, hỗ trợ đã được thêm cho các loại giao diện WAN sau làm cổng nguồn cho phiên nguồn: Serial (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) và Multilink PPP (các từ khóa multilink, pos và serial đã được thêm vào lệnh giao diện nguồn).

SPAN, RSPAN, ERSPAN 3

Sử dụng ERSPAN làm SPAN cục bộ:

Để sử dụng ERSPAN để giám sát lưu lượng truy cập qua một hoặc nhiều cổng hoặc Vlan trong cùng một thiết bị, chúng ta phải tạo phiên nguồn ERSPAN và phiên đích ERSPAN trong cùng một thiết bị, luồng dữ liệu diễn ra bên trong bộ định tuyến, tương tự như trong SPAN cục bộ.

Các yếu tố sau có thể áp dụng khi sử dụng ERSPAN làm SPAN cục bộ:

- Cả hai phiên đều có cùng ID ERSPAN.

- Cả hai phiên đều có cùng địa chỉ IP. Địa chỉ IP này là địa chỉ IP riêng của bộ định tuyến; nghĩa là địa chỉ IP loopback hoặc địa chỉ IP được định cấu hình trên bất kỳ cổng nào.

(config)# giám sát phiên 10 loại erspan-source
(config-mon-erspan-src)# giao diện nguồn Gig0/0/0
(config-mon-erspan-src)# đích
(config-mon-erspan-src-dst)# địa chỉ IP 10.10.10.1
(config-mon-erspan-src-dst)# địa chỉ IP gốc 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Thời gian đăng: 28-08-2024