Hiểu về SPAN, RSPAN và ERSPAN: Các kỹ thuật giám sát lưu lượng mạng

SPAN, RSPAN và ERSPAN là các kỹ thuật được sử dụng trong mạng để nắm bắt và giám sát lưu lượng để phân tích. Sau đây là tổng quan ngắn gọn về từng kỹ thuật:

SPAN (Bộ phân tích cổng chuyển mạch)

Mục đích: Dùng để phản chiếu lưu lượng từ các cổng hoặc VLAN cụ thể trên một thiết bị chuyển mạch sang một cổng khác để giám sát.

Trường hợp sử dụng: Lý tưởng cho phân tích lưu lượng cục bộ trên một công tắc duy nhất. Lưu lượng được phản chiếu đến một cổng được chỉ định nơi bộ phân tích mạng có thể nắm bắt được.

RSPAN (SPAN từ xa)

Mục đích: Mở rộng khả năng SPAN trên nhiều thiết bị chuyển mạch trong mạng.

Trường hợp sử dụng: Cho phép giám sát lưu lượng từ một switch này sang switch khác qua liên kết trunk. Hữu ích cho các tình huống mà thiết bị giám sát nằm trên một switch khác.

ERSPAN (SPAN từ xa được đóng gói)

Mục đích: Kết hợp RSPAN với GRE (Đóng gói định tuyến chung) để đóng gói lưu lượng được phản chiếu.

Trường hợp sử dụng: Cho phép giám sát lưu lượng trên các mạng được định tuyến. Điều này hữu ích trong các kiến ​​trúc mạng phức tạp, nơi lưu lượng cần được nắm bắt trên các phân đoạn khác nhau.

Switch port Analyzer (SPAN) là một hệ thống giám sát lưu lượng hiệu quả, hiệu suất cao. Nó định hướng hoặc phản chiếu lưu lượng từ một cổng nguồn hoặc VLAN đến một cổng đích. Đôi khi, điều này được gọi là giám sát phiên. SPAN được sử dụng để khắc phục sự cố kết nối và tính toán mức sử dụng và hiệu suất mạng, trong số nhiều mục đích khác. Có ba loại SPAN được hỗ trợ trên các sản phẩm của Cisco …

a. SPAN hoặc SPAN cục bộ.

b. SPAN từ xa (RSPAN).

c. SPAN từ xa được đóng gói (ERSPAN).

Để biết: "Mylinking™ Network Packet Broker với các tính năng SPAN, RSPAN và ERSPAN"

SPAN / phản chiếu lưu lượng / phản chiếu cổng được sử dụng cho nhiều mục đích, dưới đây bao gồm một số mục đích.

- Triển khai IDS/IPS ở chế độ hỗn tạp.

- Giải pháp ghi âm cuộc gọi VOIP.

- Lý do tuân thủ bảo mật để giám sát và phân tích lưu lượng truy cập.

- Xử lý sự cố kết nối, giám sát lưu lượng.

Bất kể loại SPAN nào đang chạy, nguồn SPAN có thể là bất kỳ loại cổng nào, tức là cổng định tuyến, cổng chuyển mạch vật lý, cổng truy cập, đường trung kế, VLAN (tất cả các cổng đang hoạt động đều được giám sát của bộ chuyển mạch), EtherChannel (một cổng hoặc toàn bộ giao diện kênh cổng) v.v. Lưu ý rằng cổng được cấu hình cho đích SPAN KHÔNG THỂ là một phần của VLAN nguồn SPAN.

Phiên SPAN hỗ trợ giám sát lưu lượng truy cập vào (SPAN truy cập), lưu lượng truy cập ra (SPAN truy cập) hoặc lưu lượng truy cập theo cả hai hướng.

- Ingress SPAN (RX) sao chép lưu lượng nhận được từ các cổng nguồn và VLAN đến cổng đích. SPAN sao chép lưu lượng trước bất kỳ sửa đổi nào (ví dụ trước bất kỳ bộ lọc VACL hoặc ACL, QoS hoặc chính sách vào hoặc ra nào).

- Egress SPAN (TX) sao chép lưu lượng được truyền từ các cổng nguồn và VLAN đến cổng đích. Tất cả các hoạt động lọc hoặc sửa đổi có liên quan bằng bộ lọc VACL hoặc ACL, QoS hoặc hành động kiểm soát vào hoặc ra đều được thực hiện trước khi bộ chuyển mạch chuyển tiếp lưu lượng đến cổng đích SPAN.

- Khi từ khóa both được sử dụng, SPAN sẽ sao chép lưu lượng mạng được nhận và truyền bởi các cổng nguồn và VLAN đến cổng đích.

- SPAN/RSPAN thường bỏ qua các khung CDP, STP BPDU, VTP, DTP và PAgP. Tuy nhiên, các loại lưu lượng này có thể được chuyển tiếp nếu lệnh encapsulation replica được cấu hình.

SPAN hoặc SPAN cục bộ

SPAN phản ánh lưu lượng từ một hoặc nhiều giao diện trên bộ chuyển mạch tới một hoặc nhiều giao diện trên cùng một bộ chuyển mạch; do đó, SPAN thường được gọi là LOCAL SPAN.

Hướng dẫn hoặc hạn chế đối với SPAN cục bộ:

- Cả cổng chuyển mạch Lớp 2 và cổng Lớp 3 đều có thể được cấu hình làm cổng nguồn hoặc cổng đích.

- Nguồn có thể là một hoặc nhiều cổng hoặc VLAN, nhưng không phải là sự kết hợp của cả hai.

- Cổng trunk là cổng nguồn hợp lệ được kết hợp với các cổng nguồn không phải trunk.

- Có thể cấu hình tối đa 64 cổng đích SPAN trên một bộ chuyển mạch.

- Khi chúng ta cấu hình một cổng đích, cấu hình gốc của nó sẽ bị ghi đè. Nếu cấu hình SPAN bị xóa, cấu hình gốc trên cổng đó sẽ được khôi phục.

- Khi cấu hình cổng đích, cổng sẽ bị xóa khỏi bất kỳ bó EtherChannel nào nếu nó là một phần của bó đó. Nếu nó là một cổng định tuyến, cấu hình đích SPAN sẽ ghi đè lên cấu hình cổng định tuyến.

- Cổng đích không hỗ trợ bảo mật cổng, xác thực 802.1x hoặc VLAN riêng.

- Mỗi cổng chỉ có thể hoạt động như cổng đích cho một phiên SPAN.

- Không thể cấu hình một cổng làm cổng đích nếu nó là cổng nguồn của phiên span hoặc là một phần của VLAN nguồn.

- Giao diện kênh cổng (EtherChannel) có thể được cấu hình làm cổng nguồn nhưng không phải là cổng đích cho SPAN.

- Hướng lưu lượng là “cả hai” theo mặc định cho các nguồn SPAN.

- Cổng đích không bao giờ tham gia vào một phiên bản cây mở rộng. Không hỗ trợ DTP, CDP, v.v. SPAN cục bộ bao gồm BPDU trong lưu lượng được giám sát, do đó bất kỳ BPDU nào được nhìn thấy trên cổng đích đều được sao chép từ cổng nguồn. Do đó, không bao giờ kết nối một công tắc với loại SPAN này vì nó có thể gây ra vòng lặp mạng. Các công cụ AI sẽ cải thiện hiệu quả công việc vàAI không thể phát hiệndịch vụ có thể cải thiện chất lượng của các công cụ AI.

- Khi VLAN được cấu hình là nguồn SPAN (thường được gọi là VSPAN) với cả tùy chọn ingress và egress được cấu hình, chỉ chuyển tiếp các gói trùng lặp từ cổng nguồn nếu các gói được chuyển đổi trong cùng một VLAN. Một bản sao của gói là từ lưu lượng ingress trên cổng ingress và bản sao còn lại của gói là từ lưu lượng egress trên cổng egress.

- VSPAN chỉ giám sát lưu lượng ra hoặc vào các cổng Lớp 2 trong VLAN.