SPAN, RSPAN và ERSPAN là các kỹ thuật được sử dụng trong mạng để thu thập và giám sát lưu lượng truy cập nhằm mục đích phân tích. Dưới đây là tổng quan ngắn gọn về từng kỹ thuật:
SPAN (Bộ phân tích cổng chuyển mạch)
Mục đích: Được sử dụng để sao chép lưu lượng truy cập từ các cổng hoặc VLAN cụ thể trên một switch sang một cổng khác để giám sát.
Ứng dụng: Lý tưởng cho việc phân tích lưu lượng cục bộ trên một switch duy nhất. Lưu lượng được sao chép đến một cổng được chỉ định, nơi mà bộ phân tích mạng có thể thu thập.
RSPAN (Remote SPAN)
Mục đích: Mở rộng khả năng SPAN trên nhiều thiết bị chuyển mạch trong mạng.
Trường hợp sử dụng: Cho phép giám sát lưu lượng truy cập từ một switch này sang switch khác thông qua đường truyền trunk. Hữu ích trong các trường hợp thiết bị giám sát được đặt trên một switch khác.
ERSPAN (Encapsulated Remote SPAN)
Mục đích: Kết hợp RSPAN với GRE (Generic Routing Encapsulation) để đóng gói lưu lượng truy cập được sao chép.
Trường hợp sử dụng: Cho phép giám sát lưu lượng truy cập trên các mạng định tuyến. Điều này hữu ích trong các kiến trúc mạng phức tạp, nơi cần thu thập lưu lượng truy cập trên các phân đoạn khác nhau.
Bộ phân tích cổng chuyển mạch (SPAN) là một hệ thống giám sát lưu lượng hiệu quả, hiệu suất cao. Nó điều hướng hoặc sao chép lưu lượng từ cổng nguồn hoặc VLAN đến cổng đích. Điều này đôi khi được gọi là giám sát phiên. SPAN được sử dụng để khắc phục sự cố kết nối và tính toán mức sử dụng và hiệu suất mạng, cùng nhiều ứng dụng khác. Có ba loại SPAN được hỗ trợ trên các sản phẩm của Cisco…
a. SPAN hoặc SPAN cục bộ.
b. SPAN từ xa (RSPAN).
c. SPAN từ xa được đóng gói (ERSPAN).
Để biết: "Bộ điều phối gói mạng Mylinking™ với các tính năng SPAN, RSPAN và ERSPAN"
SPAN / sao chép lưu lượng / sao chép cổng được sử dụng cho nhiều mục đích, dưới đây là một số ví dụ.
- Triển khai IDS/IPS ở chế độ promiscuous.
- Giải pháp ghi âm cuộc gọi VoIP.
- Lý do tuân thủ quy định an ninh để giám sát và phân tích lưu lượng truy cập.
- Khắc phục sự cố kết nối, giám sát lưu lượng truy cập.
Bất kể loại SPAN nào đang chạy, nguồn SPAN có thể là bất kỳ loại cổng nào, ví dụ: cổng định tuyến, cổng chuyển mạch vật lý, cổng truy cập, cổng trunk, VLAN (tất cả các cổng đang hoạt động của switch đều được giám sát), EtherChannel (một cổng hoặc toàn bộ giao diện kênh cổng), v.v. Lưu ý rằng một cổng được cấu hình cho đích SPAN KHÔNG THỂ là một phần của VLAN nguồn SPAN.
Phiên SPAN hỗ trợ giám sát lưu lượng truy cập vào (ingress SPAN), lưu lượng truy cập ra (egress SPAN) hoặc lưu lượng truy cập theo cả hai hướng.
- Ingress SPAN (RX) sao chép lưu lượng truy cập nhận được từ các cổng nguồn và VLAN đến cổng đích. SPAN sao chép lưu lượng truy cập trước khi có bất kỳ sửa đổi nào (ví dụ: trước khi áp dụng bất kỳ bộ lọc VACL hoặc ACL, QoS hoặc chính sách kiểm soát lưu lượng truy cập vào hoặc ra nào).
- Egress SPAN (TX) sao chép lưu lượng được truyền từ các cổng nguồn và VLAN đến cổng đích. Tất cả các thao tác lọc hoặc sửa đổi liên quan bởi bộ lọc VACL hoặc ACL, QoS hoặc các hành động kiểm soát lưu lượng vào hoặc ra đều được thực hiện trước khi thiết bị chuyển mạch chuyển tiếp lưu lượng đến cổng đích SPAN.
- Khi sử dụng từ khóa both, SPAN sao chép lưu lượng mạng nhận và truyền từ các cổng nguồn và VLAN đến cổng đích.
- SPAN/RSPAN thường bỏ qua các khung CDP, STP BPDU, VTP, DTP và PAgP. Tuy nhiên, các loại lưu lượng này có thể được chuyển tiếp nếu lệnh sao chép đóng gói được cấu hình.
SPAN hoặc SPAN cục bộ
SPAN sao chép lưu lượng truy cập từ một hoặc nhiều giao diện trên switch sang một hoặc nhiều giao diện khác trên cùng switch đó; do đó, SPAN thường được gọi là LOCAL SPAN.
Các hướng dẫn hoặc hạn chế đối với SPAN địa phương:
- Cả cổng chuyển mạch lớp 2 và cổng lớp 3 đều có thể được cấu hình làm cổng nguồn hoặc cổng đích.
- Nguồn có thể là một hoặc nhiều cổng hoặc một VLAN, nhưng không thể là sự kết hợp của các yếu tố này.
- Cổng trunk là các cổng nguồn hợp lệ được trộn lẫn với các cổng nguồn không phải trunk.
- Có thể cấu hình tối đa 64 cổng đích SPAN trên một switch.
- Khi chúng ta cấu hình cổng đích, cấu hình ban đầu của nó sẽ bị ghi đè. Nếu cấu hình SPAN bị xóa, cấu hình ban đầu trên cổng đó sẽ được khôi phục.
- Khi cấu hình cổng đích, cổng đó sẽ bị xóa khỏi bất kỳ gói EtherChannel nào nếu nó là một phần của gói đó. Nếu đó là cổng định tuyến, cấu hình đích SPAN sẽ ghi đè lên cấu hình cổng định tuyến.
- Các cổng đích không hỗ trợ bảo mật cổng, xác thực 802.1x hoặc VLAN riêng.
- Một cổng chỉ có thể đóng vai trò là cổng đích cho một phiên SPAN duy nhất.
- Không thể cấu hình một cổng làm cổng đích nếu nó là cổng nguồn của một phiên span hoặc là một phần của VLAN nguồn.
- Giao diện kênh cổng (EtherChannel) có thể được cấu hình làm cổng nguồn nhưng không thể làm cổng đích cho SPAN.
- Hướng lưu lượng truy cập mặc định cho các nguồn SPAN là “cả hai”.
- Các cổng đích không bao giờ tham gia vào một phiên bản cây spanning-tree. Không hỗ trợ DTP, CDP, v.v. SPAN cục bộ bao gồm các BPDU trong lưu lượng được giám sát, do đó bất kỳ BPDU nào được thấy trên cổng đích đều được sao chép từ cổng nguồn. Vì vậy, không bao giờ kết nối switch với loại SPAN này vì nó có thể gây ra vòng lặp mạng. Các công cụ AI sẽ cải thiện hiệu quả công việc, vàtrí tuệ nhân tạo không thể phát hiệnDịch vụ này có thể nâng cao chất lượng của các công cụ AI.
- Khi VLAN được cấu hình làm nguồn SPAN (thường được gọi là VSPAN) với cả tùy chọn đầu vào và đầu ra được cấu hình, các gói tin trùng lặp từ cổng nguồn chỉ được chuyển tiếp nếu các gói tin được chuyển mạch trong cùng một VLAN. Một bản sao của gói tin là từ lưu lượng đầu vào trên cổng đầu vào, và bản sao còn lại là từ lưu lượng đầu ra trên cổng đầu ra.
- VSPAN chỉ giám sát lưu lượng truy cập đi ra hoặc đi vào các cổng Lớp 2 trong VLAN.
SPAN từ xa (RSPAN)
SPAN từ xa (RSPAN) tương tự như SPAN, nhưng nó hỗ trợ các cổng nguồn, VLAN nguồn và cổng đích trên các switch khác nhau, cho phép giám sát lưu lượng từ xa từ các cổng nguồn được phân phối trên nhiều switch và cho phép thiết bị thu thập mạng tập trung tại đích. Mỗi phiên RSPAN truyền tải lưu lượng SPAN qua một VLAN RSPAN chuyên dụng do người dùng chỉ định trên tất cả các switch tham gia. VLAN này sau đó được chuyển tiếp đến các switch khác, cho phép lưu lượng phiên RSPAN được vận chuyển qua nhiều switch và được chuyển đến trạm thu thập đích. RSPAN bao gồm một phiên nguồn RSPAN, một VLAN RSPAN và một phiên đích RSPAN.
Các hướng dẫn hoặc hạn chế đối với RSPAN:
- Cần phải cấu hình một VLAN cụ thể cho đích SPAN, VLAN này sẽ truyền qua các switch trung gian thông qua các liên kết trunk đến cổng đích.
- Có thể tạo cùng loại nguồn – ít nhất một cổng hoặc ít nhất một VLAN nhưng không thể kết hợp cả hai.
- Điểm đến của phiên là VLAN RSPAN chứ không phải là một cổng đơn lẻ trong switch, do đó tất cả các cổng trong VLAN RSPAN sẽ nhận được lưu lượng truy cập được sao chép.
- Cấu hình bất kỳ VLAN nào thành VLAN RSPAN miễn là tất cả các thiết bị mạng tham gia đều hỗ trợ cấu hình VLAN RSPAN và sử dụng cùng một VLAN RSPAN cho mỗi phiên RSPAN.
- VTP có thể truyền bá cấu hình các VLAN được đánh số từ 1 đến 1024 dưới dạng VLAN RSPAN, nhưng phải tự cấu hình các VLAN được đánh số cao hơn 1024 dưới dạng VLAN RSPAN trên tất cả các thiết bị mạng nguồn, trung gian và đích.
- Chức năng học địa chỉ MAC đã bị vô hiệu hóa trong VLAN RSPAN.
SPAN từ xa được đóng gói (ERSPAN)
Giao thức SPAN từ xa được đóng gói (ERSPAN) mang lại khả năng đóng gói định tuyến chung (GRE) cho tất cả lưu lượng truy cập được thu thập và cho phép mở rộng nó trên các miền Lớp 3.
ERSPAN là mộtĐộc quyền của CiscoTính năng này hiện chỉ khả dụng trên các nền tảng Catalyst 6500, 7600, Nexus và ASR 1000. ASR 1000 chỉ hỗ trợ nguồn ERSPAN (giám sát) trên các giao diện Fast Ethernet, Gigabit Ethernet và port-channel.
Các hướng dẫn hoặc hạn chế đối với ERSPAN:
- Các phiên nguồn ERSPAN không sao chép lưu lượng được đóng gói GRE của ERSPAN từ các cổng nguồn. Mỗi phiên nguồn ERSPAN có thể có cổng hoặc VLAN làm nguồn, nhưng không thể có cả hai.
- Bất kể kích thước MTU được cấu hình như thế nào, ERSPAN tạo ra các gói tin lớp 3 có thể dài tới 9.202 byte. Lưu lượng ERSPAN có thể bị loại bỏ bởi bất kỳ giao diện nào trong mạng yêu cầu kích thước MTU nhỏ hơn 9.202 byte.
- ERSPAN không hỗ trợ phân mảnh gói tin. Bit "không phân mảnh" được đặt trong tiêu đề IP của các gói tin ERSPAN. Các phiên đích ERSPAN không thể ghép nối lại các gói tin ERSPAN đã bị phân mảnh.
- Mã định danh ERSPAN (ERSPAN ID) phân biệt lưu lượng ERSPAN đến cùng một địa chỉ IP đích từ nhiều phiên ERSPAN nguồn khác nhau; mã định danh ERSPAN được cấu hình phải khớp nhau trên thiết bị nguồn và thiết bị đích.
- Đối với một cổng nguồn hoặc một VLAN nguồn, ERSPAN có thể giám sát lưu lượng truy cập vào, ra hoặc cả vào và ra. Theo mặc định, ERSPAN giám sát tất cả lưu lượng truy cập, bao gồm cả multicast và các khung dữ liệu giao thức cầu nối (BPDU).
- Các giao diện đường hầm được hỗ trợ làm cổng nguồn cho phiên nguồn ERSPAN bao gồm GRE, IPinIP, SVTI, IPv6, đường hầm IPv6 qua IP, GRE đa điểm (mGRE) và Giao diện đường hầm ảo bảo mật (SVTI).
- Tùy chọn lọc VLAN không hoạt động trong phiên giám sát ERSPAN trên giao diện WAN.
- ERSPAN trên bộ định tuyến Cisco ASR 1000 Series chỉ hỗ trợ giao diện Layer 3. Giao diện Ethernet không được hỗ trợ trên ERSPAN khi được cấu hình là giao diện Layer 2.
- Khi cấu hình phiên thông qua giao diện dòng lệnh cấu hình ERSPAN, ID phiên và loại phiên không thể thay đổi. Để thay đổi chúng, trước tiên bạn phải sử dụng dạng phủ định của lệnh cấu hình để xóa phiên và sau đó cấu hình lại phiên.
- Cisco IOS XE Phiên bản 3.4S: Việc giám sát các gói tin đường hầm không được bảo vệ bằng IPsec chỉ được hỗ trợ trên các giao diện đường hầm IPv6 và IPv6 qua IP đối với các phiên nguồn ERSPAN, chứ không phải đối với các phiên đích ERSPAN.
- Trong Cisco IOS XE Release 3.5S, hỗ trợ được bổ sung cho các loại giao diện WAN sau đây làm cổng nguồn cho một phiên nguồn: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) và Multilink PPP (các từ khóa multilink, pos và serial đã được thêm vào lệnh giao diện nguồn).
Sử dụng ERSPAN làm SPAN cục bộ:
Để sử dụng ERSPAN để giám sát lưu lượng truy cập thông qua một hoặc nhiều cổng hoặc VLAN trên cùng một thiết bị, chúng ta phải tạo các phiên ERSPAN nguồn và ERSPAN đích trên cùng một thiết bị, luồng dữ liệu diễn ra bên trong bộ định tuyến, tương tự như trong SPAN cục bộ.
Các yếu tố sau đây cần được xem xét khi sử dụng ERSPAN như một SPAN cục bộ:
- Cả hai phiên đều có cùng ID ERSPAN.
- Cả hai phiên đều có cùng địa chỉ IP. Địa chỉ IP này là địa chỉ IP riêng của bộ định tuyến; tức là địa chỉ IP loopback hoặc địa chỉ IP được cấu hình trên bất kỳ cổng nào.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# source interface Gig0/0/0 |
| (config-mon-erspan-src)# đích |
| (config-mon-erspan-src-dst)# địa chỉ IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# địa chỉ IP gốc 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Thời gian đăng bài: 28/08/2024
