SPAN, RSPAN và ERSPAN là các kỹ thuật được sử dụng trong mạng để nắm bắt và giám sát lưu lượng truy cập để phân tích. Đây là một tổng quan ngắn gọn về mỗi:
SPAN (Bộ phân tích cổng chuyển đổi)
Mục đích: Được sử dụng để phản ánh lưu lượng truy cập từ các cổng hoặc Vlan cụ thể trên chuyển đổi sang cổng khác để giám sát.
Trường hợp sử dụng: Lý tưởng để phân tích lưu lượng truy cập cục bộ trên một công tắc duy nhất. Lưu lượng truy cập được nhân đôi đến một cổng được chỉ định trong đó máy phân tích mạng có thể nắm bắt được nó.
RSPAN (khoảng từ xa)
Mục đích: Mở rộng các khả năng của nhịp trên nhiều công tắc trong một mạng.
Trường hợp sử dụng: Cho phép giám sát lưu lượng từ công tắc này sang công tắc khác qua liên kết trung kế. Hữu ích cho các kịch bản trong đó thiết bị giám sát được đặt trên một công tắc khác.
Erspan (khoảng từ xa được đóng gói)
Mục đích: Kết hợp RSPAN với GRE (đóng gói định tuyến chung) để gói gọn lưu lượng được nhân đôi.
Trường hợp sử dụng: Cho phép giám sát lưu lượng trên các mạng được định tuyến. Điều này rất hữu ích trong các kiến trúc mạng phức tạp, nơi lưu lượng truy cập cần được ghi lại trên các phân khúc khác nhau.
Trình phân tích cổng chuyển đổi (SPAN) là một hệ thống giám sát lưu lượng hiệu suất cao, hiệu quả. Nó hướng hoặc phản ánh lưu lượng từ cổng nguồn hoặc Vlan đến cổng đích. Điều này đôi khi được gọi là giám sát phiên. SPAN được sử dụng để khắc phục sự cố kết nối và tính toán việc sử dụng và thực hiện mạng, trong số nhiều vấn đề khác. Có ba loại nhịp được hỗ trợ trên các sản phẩm của Cisco
Một. Nhịp hoặc nhịp địa phương.
b. Khoảng cách xa (RSPAN).
c. Khoảng cách xa được đóng gói (ERSPAN).
Để biết: "Nhà môi giới gói mạng MYLinking ™ với các tính năng của Span, RSPAN và ERSPAN"
Phản chiếu SPAN / Giao thông / phản chiếu cổng được sử dụng cho nhiều mục đích, bên dưới bao gồm một số.
- Thực hiện ID/IPS ở chế độ lăng nhăng.
- Giải pháp ghi âm VoIP.
- Lý do tuân thủ bảo mật để theo dõi và phân tích lưu lượng truy cập.
- Khắc phục sự cố kết nối, giám sát lưu lượng truy cập.
Bất kể chạy loại nhịp, nguồn Span có thể là bất kỳ loại cổng nào IE một cổng được định tuyến, cổng chuyển đổi vật lý, cổng truy cập, thân cây, Vlan (tất cả các cổng hoạt động được theo dõi công tắc), một etherchannel (có thể là một giao diện cổng hoặc toàn bộ giao diện kênh).
Các phiên nhịp hỗ trợ giám sát lưu lượng xâm nhập (khoảng thời gian xâm nhập), lưu lượng ra (khoảng cách đi ra) hoặc lưu lượng truy cập theo cả hai hướng.
- Khoảng thời gian Ingress (RX) Bản sao lưu lượng truy cập nhận được bởi các cổng nguồn và Vlan đến cổng đích. SPAN sao chép lưu lượng trước khi sửa đổi (ví dụ: trước bất kỳ bộ lọc VACL hoặc ACL, QoS hoặc chính sách xâm nhập hoặc đi ra).
- SPAR (TX) Sao chép lưu lượng được truyền từ các cổng nguồn và VLAN đến cổng đích. Tất cả các bộ lọc hoặc sửa đổi có liên quan bằng bộ lọc VACL hoặc ACL, QoS hoặc các hành động kiểm soát xâm nhập hoặc đi ra được thực hiện trước khi chuyển đổi lưu lượng chuyển tiếp đến cổng đích.
- Khi cả hai từ khóa được sử dụng, SPAN sao chép lưu lượng mạng nhận được và truyền bởi các cổng nguồn và Vlan sang cổng đích.
- Span/RSPAN thường bỏ qua các khung CDP, STP BPDU, VTP, DTP và PAGP. Tuy nhiên, các loại lưu lượng này có thể được chuyển tiếp nếu lệnh đóng gói được cấu hình.
Nhịp hoặc nhịp địa phương
Phạm vi phản chiếu lưu lượng từ một hoặc nhiều giao diện trên công tắc sang một hoặc nhiều giao diện trên cùng một công tắc; Do đó, nhịp chủ yếu được gọi là nhịp địa phương.
Hướng dẫn hoặc hạn chế đối với nhịp địa phương:
- Cả hai cổng chuyển đổi lớp 2 và cổng 3 có thể được cấu hình dưới dạng cổng nguồn hoặc cổng đích.
- Nguồn có thể là một hoặc nhiều cổng hoặc Vlan, nhưng không phải là sự kết hợp của chúng.
- Cổng trung kế là các cổng nguồn hợp lệ trộn với các cổng nguồn không phải là thân.
- Tối đa 64 cổng đích có thể được cấu hình trên một công tắc.
- Khi chúng tôi định cấu hình cổng đích, cấu hình ban đầu của nó bị ghi đè. Nếu cấu hình nhịp được xóa, cấu hình ban đầu trên cổng đó được khôi phục.
- Khi định cấu hình cổng đích, cổng sẽ bị xóa khỏi bất kỳ gói etherchannel nào nếu nó là một phần của một. Nếu đó là một cổng được định tuyến, cấu hình đích Span sẽ ghi đè cấu hình cổng được định tuyến.
- Cổng đích không hỗ trợ bảo mật cổng, xác thực 802.1x hoặc Vlan riêng.
- Một cổng có thể đóng vai trò là cổng đích chỉ cho một phiên nhịp.
- Một cổng không thể được cấu hình như một cổng đích nếu đó là cổng nguồn của phiên nhịp hoặc một phần của Vlan nguồn.
- Giao diện kênh cổng (EtherChannel) có thể được cấu hình dưới dạng cổng nguồn nhưng không phải là cổng đích cho Span.
- Hướng giao thông là cả hai theo mặc định cho các nguồn nhịp.
- Cổng đích không bao giờ tham gia vào một thể hiện trên cây. Không thể hỗ trợ DTP, CDP, v.v. Khoảng địa phương bao gồm BPDU trong lưu lượng truy cập được theo dõi, do đó, bất kỳ BPDU nào được nhìn thấy trên cổng đích đều được sao chép từ cổng nguồn. Do đó không bao giờ kết nối một công tắc với loại nhịp này vì nó có thể gây ra một vòng lặp mạng. Các công cụ AI sẽ cải thiện hiệu quả công việc vàAI không thể phát hiện đượcDịch vụ có thể cải thiện chất lượng của các công cụ AI.
- Khi Vlan được cấu hình là nguồn nhịp (chủ yếu được gọi là VSPAN) với cả tùy chọn xâm nhập và đi ra được cấu hình, các gói trùng lặp chuyển tiếp từ cổng nguồn chỉ khi các gói được chuyển trong cùng một Vlan. Một bản sao của gói là từ lưu lượng truy cập vào cổng xâm nhập và bản sao khác của gói là từ lưu lượng ra trên cổng ra.
- VSPAN theo dõi chỉ lưu lượng truy cập rời khỏi hoặc nhập các cổng Lớp 2 trong Vlan.
Khoảng cách xa (RSPAN)
Khoảng cách xa (RSPAN) tương tự như nhịp, nhưng nó hỗ trợ các cổng nguồn, Vlan nguồn và cổng đích trên các công tắc khác nhau, cung cấp lưu lượng truy cập từ xa từ các cổng nguồn được phân phối trên nhiều công tắc và cho phép các thiết bị chụp mạng tập trung đến đích. Mỗi phiên RSPAN mang lưu lượng nhịp qua một RSPAN Vlan chuyên dụng do người dùng chỉ định trong tất cả các công tắc tham gia. Vlan này sau đó được nối với các công tắc khác, cho phép lưu lượng truy cập phiên RSPAN được vận chuyển trên nhiều công tắc và được chuyển đến trạm bắt giữ đích. RSPAN bao gồm một phiên nguồn RSPAN, RSPAN Vlan và phiên đích RSPAN.
Hướng dẫn hoặc hạn chế đối với RSPAN:
- Một Vlan cụ thể phải được cấu hình cho đích nhịp sẽ đi qua các công tắc trung gian thông qua các liên kết trung kế về phía cổng đích.
- Có thể tạo cùng loại nguồn - ít nhất một cổng hoặc ít nhất một Vlan nhưng không thể là hỗn hợp.
- Điểm đến cho phiên là RSPAN Vlan chứ không phải là một cổng duy nhất trong Switch, vì vậy tất cả các cổng trong RSPAN Vlan sẽ nhận được lưu lượng được nhân đôi.
- Định cấu hình bất kỳ Vlan nào dưới dạng RSPAN Vlan miễn là tất cả các thiết bị mạng tham gia hỗ trợ cấu hình của RSPAN Vlan và sử dụng cùng RSPAN Vlan cho mỗi phiên RSPAN
- VTP có thể tuyên truyền cấu hình của các VLAN được đánh số từ 1 đến 1024 dưới dạng RSPAN VLAN, phải cấu hình thủ công các VLAN được đánh số cao hơn 1024 dưới dạng RSPAN VLANS trên tất cả các thiết bị mạng, trung gian và mạng đích.
- Học địa chỉ MAC bị vô hiệu hóa trong RSPAN Vlan.
Khoảng từ xa được đóng gói (ERSPAN)
Khoảng từ xa được đóng gói (ERSPAN) mang đến đóng gói định tuyến chung (GRE) cho tất cả lưu lượng truy cập bị bắt và cho phép nó được mở rộng trên các miền Lớp 3.
Erspan là aĐộc quyền của CiscoTính năng và chỉ có sẵn cho các nền tảng Catalyst 6500, 7600, Nexus và ASR 1000 cho đến nay. ASR 1000 chỉ hỗ trợ nguồn ERSPAN (giám sát) trên các giao diện Ethernet, Gigabit Ethernet và kênh cổng nhanh.
Hướng dẫn hoặc hạn chế đối với ERSPAN:
- Phiên nguồn ERSPAN không sao chép lưu lượng truy cập Erspan GRE từ các cổng nguồn. Mỗi phiên nguồn ERSPAN có thể có cổng hoặc Vlan làm nguồn, nhưng không phải cả hai.
- Bất kể kích thước MTU được định cấu hình nào, ERSPAN tạo ra các gói 3 có thể dài tới 9.202 byte. Lưu lượng truy cập ERSPAN có thể bị loại bỏ bởi bất kỳ giao diện nào trong mạng thực thi kích thước MTU nhỏ hơn 9,202 byte.
- Erspan không hỗ trợ phân mảnh gói. Bit "Không phân mảnh" được đặt trong tiêu đề IP của các gói ERSPAN. Các phiên đích ERSPAN không thể lắp ráp lại các gói Erspan bị phân mảnh.
- ID ERSPAN phân biệt lưu lượng truy cập ERSPAN đến cùng một địa chỉ IP đích từ các phiên nguồn ERSPAN khác nhau khác nhau; ID ERSPAN được cấu hình phải khớp trên các thiết bị nguồn và đích.
- Đối với một cổng nguồn hoặc Vlan nguồn, ERSPAN có thể giám sát việc xâm nhập, đi ra hoặc cả lưu lượng xâm nhập và đi ra. Theo mặc định, ERSPAN theo dõi tất cả lưu lượng truy cập, bao gồm các khung đơn vị dữ liệu giao thức phát và phát (BPDU).
- Giao diện đường hầm được hỗ trợ dưới dạng cổng nguồn cho phiên nguồn ERSPAN là GRE, IPINIP, SVTI, IPv6, IPv6 qua đường hầm IP, Multipoint GRE (MGRE) và Giao diện đường hầm ảo (SVTI).
- Tùy chọn Vlan bộ lọc không chức năng trong phiên giám sát ERSPAN trên các giao diện WAN.
- ERSPAN trên bộ định tuyến Cisco ASR 1000 Series chỉ hỗ trợ các giao diện Lớp 3. Giao diện Ethernet không được hỗ trợ trên ERSPAN khi được cấu hình là giao diện Lớp 2.
- Khi một phiên được cấu hình thông qua CLI cấu hình ERSPAN, ID phiên và loại phiên không thể thay đổi. Để thay đổi chúng, trước tiên bạn phải sử dụng dạng NO của lệnh cấu hình để xóa phiên và sau đó cấu hình lại phiên.
- Cisco IOS XE Phát hành 3.4S:- Giám sát các gói đường hầm không được bảo vệ ODEC được hỗ trợ trên IPv6 và IPv6 trên các giao diện đường hầm IP chỉ cho các phiên nguồn ERSPAN, không phải cho các phiên đích ERSPAN.
- Cisco IOS XE phát hành 3.5S, hỗ trợ đã được thêm vào cho các loại giao diện WAN sau đây làm cổng nguồn cho phiên nguồn: nối tiếp (T1/E1, T3/E3, DS0), gói qua SONET (POS) (OC3, OC12) và PPP Multilink PPP.
Sử dụng Erspan làm nhịp địa phương:
Để sử dụng ERSPAN để theo dõi lưu lượng thông qua một hoặc nhiều cổng hoặc Vlan trong cùng một thiết bị, chúng ta phải tạo một phiên ERSPAN và các phiên đích ERSPAN trong cùng một thiết bị, luồng dữ liệu diễn ra bên trong bộ định tuyến, tương tự như trong khoảng thời gian cục bộ.
Các yếu tố sau được áp dụng trong khi sử dụng ERSPAN làm nhịp cục bộ:
- Cả hai phiên đều có cùng ID ERSPAN.
- Cả hai phiên đều có cùng địa chỉ IP. Địa chỉ IP này là địa chỉ IP riêng của bộ định tuyến; Đó là, địa chỉ IP loopback hoặc địa chỉ IP được cấu hình trên bất kỳ cổng nào.
| (Cấu hình)# Giám sát phiên 10 loại ERSPAN-SOURCE |
| (config-mon-erspan-src)# giao diện nguồn Gig0/0/0 |
| (config-mon-erspan-src)# đích |
| (config-mon-erspan-src-dst)# địa chỉ IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# địa chỉ IP gốc 10.10.10.1 |
| (config-mon-erspan-src-dst)# ERSPAN-ID 100 |
Thời gian đăng: tháng 8-28-2024
