English

Pag-unawa sa SPAN, RSPAN at ERSPAN: Mga Teknik para sa Pagsubaybay sa Trapiko sa Network

SPAN, RSPAN, at ERSPANay mga pamamaraan na ginagamit sa networking upang makuha at masubaybayan ang trapiko para sa pagsusuri. Narito ang isang maikling pangkalahatang-ideya ng bawat isa:

SPAN (Switched Port Analyzer)

Layunin: Ginagamit upang i-mirror ang trapiko mula sa mga partikular na port o VLAN sa isang switch sa isa pang port para sa pagsubaybay.

Use Case: Tamang-tama para sa lokal na pagsusuri ng trapiko sa isang switch. Ang trapiko ay sinasalamin sa isang itinalagang port kung saan maaaring makuha ito ng isang network analyzer.

RSPAN (Remote SPAN)

Layunin: Pinapalawak ang mga kakayahan ng SPAN sa maraming switch sa isang network.

Use Case: Nagbibigay-daan sa pagsubaybay ng trapiko mula sa isang switch patungo sa isa pa sa isang trunk link. Kapaki-pakinabang para sa mga sitwasyon kung saan matatagpuan ang monitoring device sa ibang switch.

ERSPAN (Encapsulated Remote SPAN)

Layunin: Pinagsasama ang RSPAN sa GRE (Generic Routing Encapsulation) para i-encapsulate ang naka-mirror na trapiko.

Use Case: Nagbibigay-daan para sa pagsubaybay ng trapiko sa mga naka-ruta na network. Ito ay kapaki-pakinabang sa mga kumplikadong arkitektura ng network kung saan kailangang makuha ang trapiko sa iba't ibang mga segment.

Lumipat ng port Analyzer (SPAN)ay isang mahusay, mataas na pagganap ng sistema ng pagsubaybay sa trapiko. Dinidirekta o sinasalamin nito ang trapiko mula sa isang source port o VLAN patungo sa isang destination port. Minsan ito ay tinutukoy bilang pagsubaybay sa session. Ginagamit ang SPAN para sa pag-troubleshoot ng mga isyu sa koneksyon at pagkalkula ng paggamit at pagganap ng network, bukod sa marami pang iba. May tatlong uri ng mga SPAN na sinusuportahan sa mga produkto ng Cisco…

a. SPAN o lokal na SPAN.

b. Remote SPAN (RSPAN).

c. Naka-encapsulated na remote SPAN (ERSPAN).

Para malaman:"Mylinking™ Network Packet Broker na may SPAN, RSPAN at ERSPAN Features"

SPAN, RSPAN, ERSPAN

Ang SPAN / traffic mirroring / port mirroring ay ginagamit para sa maraming layunin, kasama sa ibaba ang ilan.

- Pagpapatupad ng mga IDS/IPS sa promiscuous mode.

- Mga solusyon sa pag-record ng tawag sa VOIP.

- Mga dahilan ng pagsunod sa seguridad upang subaybayan at pag-aralan ang trapiko.

- Pag-troubleshoot ng mga isyu sa koneksyon, pagsubaybay sa trapiko.

Anuman ang uri ng SPAN na tumatakbo, ang pinagmulan ng SPAN ay maaaring maging anumang uri ng port ie isang rutang port, pisikal na switch port, isang access port, trunk, VLAN (lahat ng mga aktibong port ay sinusubaybayan ng switch), isang EtherChannel (alinman sa isang port o buong port -channel interface) atbp. Tandaan na ang isang port na na-configure para sa destinasyon ng SPAN ay HINDI maaaring maging bahagi ng isang SPAN source na VLAN.

Sinusuportahan ng mga session ng SPAN ang pagsubaybay sa trapiko sa pagpasok (ingress SPAN), trapiko sa paglabas (egress SPAN), o trapiko na dumadaloy sa parehong direksyon.

- Kinokopya ng Ingress SPAN (RX) ang trapikong natanggap ng mga source port at VLAN sa destination port. Kinokopya ng SPAN ang trapiko bago ang anumang pagbabago (halimbawa bago ang anumang filter ng VACL o ACL, QoS o pagpasok o paglabas ng policing).

- Kinokopya ng Egress SPAN (TX) ang trapikong ipinadala mula sa mga source port at VLAN papunta sa destination port. Ang lahat ng nauugnay na pag-filter o pagbabago sa pamamagitan ng VACL o ACL filter, QoS o pagpasok o paglabas ng mga aksyon sa pagpupulis ay isinasagawa bago ang paglipat ng trapiko sa destinasyong port ng SPAN.

- Kapag ginamit ang parehong keyword, kinokopya ng SPAN ang trapiko sa network na natanggap at ipinadala ng mga source port at VLAN sa destination port.

- Karaniwang binabalewala ng SPAN/RSPAN ang CDP, STP BPDU, VTP, DTP at PAgP frame. Gayunpaman ang mga uri ng trapikong ito ay maaaring ipasa kung ang encapsulation replicate command ay na-configure.

SPAN o Lokal na SPAN

Sinasalamin ng SPAN ang trapiko mula sa isa o higit pang interface sa switch patungo sa isa o higit pang mga interface sa parehong switch; kaya ang SPAN ay kadalasang tinutukoy bilang LOCAL SPAN.

Mga alituntunin o paghihigpit sa lokal na SPAN:

- Ang parehong Layer 2 switched port at Layer 3 port ay maaaring i-configure bilang source o destination port.

- Ang pinagmulan ay maaaring isa o higit pang mga port o isang VLAN, ngunit hindi isang halo ng mga ito.

- Ang mga trunk port ay wastong source port na may halong hindi trunk source port.

- Hanggang sa 64 SPAN destination port ay maaaring i-configure sa isang switch.

- Kapag nag-configure kami ng destination port, ang orihinal na configuration nito ay ma-overwrite. Kung aalisin ang configuration ng SPAN, maibabalik ang orihinal na configuration sa port na iyon.

- Kapag nag-configure ng patutunguhang port, ang port ay aalisin sa anumang bundle ng EtherChannel kung ito ay bahagi ng isa. Kung ito ay isang naka-ruta na port, ang configuration ng destinasyon ng SPAN ay na-override ang naka-ruta na configuration ng port.

- Ang mga destination port ay hindi sumusuporta sa port security, 802.1x authentication, o pribadong VLAN.

- Ang isang port ay maaaring kumilos bilang ang destinasyong port para lamang sa isang SPAN session.

- Ang isang port ay hindi maaaring i-configure bilang isang destination port kung ito ay isang source port ng isang span session o bahagi ng source VLAN.

- Maaaring i-configure ang mga interface ng channel ng port (EtherChannel) bilang mga source port ngunit hindi isang destination port para sa SPAN.

- Ang direksyon ng trapiko ay "pareho" bilang default para sa mga pinagmulan ng SPAN.

- Ang mga destinasyong port ay hindi kailanman lumalahok sa isang spanning-tree instance. Hindi masuportahan ang DTP, CDP atbp. Kasama sa Lokal na SPAN ang mga BPDU sa sinusubaybayang trapiko, kaya ang anumang mga BPDU na makikita sa destination port ay kinokopya mula sa source port. Kaya't hindi kailanman ikonekta ang isang switch sa ganitong uri ng SPAN dahil maaari itong magdulot ng network loop.

- Kapag ang VLAN ay na-configure bilang SPAN source (karamihan ay tinutukoy bilang VSPAN) na may parehong mga pagpipilian sa pagpasok at paglabas, ipasa ang mga duplicate na packet mula sa source port lamang kung ang mga packet ay lumipat sa parehong VLAN. Ang isang kopya ng packet ay mula sa ingress traffic sa ingress port, at ang isa pang kopya ng packet ay mula sa egress traffic sa egress port.

- Sinusubaybayan lamang ng VSPAN ang trapiko na umaalis o pumapasok sa mga Layer 2 port sa VLAN.

SPAN, RSPAN, ERSPAN 1

Ang SPAN, RSPAN, at ERSPAN ay mga diskarteng ginagamit sa networking upang makuha at subaybayan ang trapiko para sa pagsusuri. Narito ang isang maikling pangkalahatang-ideya ng bawat isa:

SPAN (Switched Port Analyzer)

  • Layunin: Ginagamit upang i-mirror ang trapiko mula sa mga partikular na port o VLAN sa isang switch sa isa pang port para sa pagsubaybay.
  • Use Case: Tamang-tama para sa lokal na pagsusuri ng trapiko sa isang solong switch. Ang trapiko ay sinasalamin sa isang itinalagang port kung saan maaaring makuha ito ng isang network analyzer.

RSPAN (Remote SPAN)

  • Layunin: Pinapalawak ang mga kakayahan ng SPAN sa maraming switch sa isang network.
  • Use Case: Pinapayagan ang pagsubaybay ng trapiko mula sa isang paglipat patungo sa isa pa sa isang trunk link. Kapaki-pakinabang para sa mga sitwasyon kung saan matatagpuan ang monitoring device sa ibang switch.

ERSPAN (Encapsulated Remote SPAN)

  • Layunin: Pinagsasama ang RSPAN sa GRE (Generic Routing Encapsulation) upang i-encapsulate ang naka-mirror na trapiko.
  • Use Case: Nagbibigay-daan para sa pagsubaybay ng trapiko sa mga rutang network. Ito ay kapaki-pakinabang sa mga kumplikadong arkitektura ng network kung saan kailangang makuha ang trapiko sa iba't ibang mga segment.

Remote SPAN (RSPAN)

Ang Remote SPAN (RSPAN) ay katulad ng SPAN, ngunit sinusuportahan nito ang mga source port, source VLAN, at destination port sa iba't ibang switch, na nagbibigay ng malayuang pagsubaybay sa trapiko mula sa mga source port na ipinamahagi sa maraming switch at nagbibigay-daan sa destinasyon na i-centralize ang network capture device. Dinadala ng bawat session ng RSPAN ang trapiko ng SPAN sa isang nakatalagang RSPAN VLAN na tinukoy ng user sa lahat ng mga kalahok na switch. Ang VLAN na ito ay inilalagay sa ibang mga switch, na nagbibigay-daan sa trapiko ng session ng RSPAN na maihatid sa maraming switch at maihatid sa patutunguhang istasyon ng pagkuha. Ang RSPAN ay binubuo ng isang RSPAN source session, isang RSPAN VLAN, at isang RSPAN destination session.

Mga alituntunin o paghihigpit sa RSPAN:

- Dapat na i-configure ang isang partikular na VLAN para sa destinasyon ng SPAN na tatawid sa mga intermediate switch sa pamamagitan ng mga trunk link patungo sa destination port.

- Maaaring lumikha ng parehong uri ng pinagmulan - hindi bababa sa isang port o hindi bababa sa isang VLAN ngunit hindi maaaring ang halo.

- Ang destinasyon para sa session ay RSPAN VLAN sa halip na ang solong port sa switch, kaya lahat ng port sa RSPAN VLAN ay makakatanggap ng naka-mirror na trapiko.

- I-configure ang anumang VLAN bilang RSPAN VLAN hangga't sinusuportahan ng lahat ng kalahok na network device ang configuration ng mga RSPAN VLAN, at gumamit ng parehong RSPAN VLAN para sa bawat RSPAN session

- Maaaring i-propagate ng VTP ang configuration ng mga VLAN na may numerong 1 hanggang 1024 bilang mga RSPAN VLAN , dapat manu-manong i-configure ang mga VLAN na mas mataas sa 1024 bilang mga RSPAN VLAN sa lahat ng source, intermediate, at destination network device.

- Ang pag-aaral ng MAC address ay hindi pinagana sa RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Naka-encapsulated na remote SPAN (ERSPAN)

Ang encapsulated remote SPAN (ERSPAN) ay nagdadala ng generic routing encapsulation (GRE) para sa lahat ng na-capture na trapiko at nagbibigay-daan ito na mapalawak sa mga Layer 3 na domain.

Ang ERSPAN ay isangPagmamay-ari ng Ciscofeature at available lang sa mga platform ng Catalyst 6500, 7600, Nexus, at ASR 1000 hanggang sa kasalukuyan. Sinusuportahan lamang ng ASR 1000 ang pinagmulan ng ERSPAN (pagsubaybay) sa mga interface ng Fast Ethernet, Gigabit Ethernet, at port-channel.

Mga alituntunin o paghihigpit sa ERSPAN:

- Hindi kinokopya ng mga source session ng ERSPAN ang ERSPAN GRE-encapsulated na trapiko mula sa mga source port. Ang bawat source session ng ERSPAN ay maaaring magkaroon ng alinman sa mga port o VLAN bilang mga source, ngunit hindi pareho.

- Anuman ang anumang naka-configure na laki ng MTU, ang ERSPAN ay gumagawa ng Layer 3 packet na maaaring hanggang 9,202 bytes. Maaaring matanggal ang trapiko ng ERSPAN ng anumang interface sa network na nagpapatupad ng laki ng MTU na mas maliit sa 9,202 bytes.

- Hindi sinusuportahan ng ERSPAN ang packet fragmentation. Ang bit na "huwag i-fragment" ay nakatakda sa IP header ng mga ERSPAN packet. Hindi maaaring buuin muli ng mga patutunguhang session ng ERSPAN ang mga pira-pirasong packet ng ERSPAN.

- Iniiba ng ERSPAN ID ang trapiko ng ERSPAN na dumarating sa parehong patutunguhang IP address mula sa iba't ibang sesyon ng pinagmulan ng ERSPAN; ang na-configure na ERSPAN ID ay dapat tumugma sa pinagmulan at patutunguhang mga device.

- Para sa isang source port o isang source na VLAN, maaaring subaybayan ng ERSPAN ang pagpasok, paglabas, o parehong trapiko sa pagpasok at paglabas. Bilang default, sinusubaybayan ng ERSPAN ang lahat ng trapiko, kabilang ang mga frame ng multicast at Bridge Protocol Data Unit (BPDU).

- Tunnel interface na sinusuportahan bilang source port para sa isang ERSPAN source session ay GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) at Secure Virtual Tunnel Interfaces (SVTI).

- Ang opsyon sa filter na VLAN ay hindi gumagana sa isang sesyon ng pagsubaybay ng ERSPAN sa mga interface ng WAN.

- Ang ERSPAN sa Cisco ASR 1000 Series Router ay sumusuporta lamang sa Layer 3 na mga interface. Ang mga interface ng Ethernet ay hindi sinusuportahan sa ERSPAN kapag na-configure bilang mga interface ng Layer 2.

- Kapag ang isang session ay na-configure sa pamamagitan ng ERSPAN configuration CLI, ang session ID at ang uri ng session ay hindi mababago. Upang baguhin ang mga ito, dapat mo munang gamitin ang walang anyo ng command sa pagsasaayos upang alisin ang session at pagkatapos ay muling i-configure ang session.

- Cisco IOS XE Release 3.4S :- Sinusuportahan ang pagsubaybay sa mga tunnel packet na hindi protektado ng IPsec sa IPv6 at IPv6 sa mga interface ng IP tunnel sa mga source session lamang ng ERSPAN, hindi sa ERSPAN destination session.

- Cisco IOS XE Release 3.5S, idinagdag ang suporta para sa mga sumusunod na uri ng WAN interface bilang source port para sa source session: Serial (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) at Multilink PPP ( multilink, pos, at serial keywords ay idinagdag sa source interface command).

SPAN, RSPAN, ERSPAN 3

Paggamit ng ERSPAN bilang Lokal na SPAN:

Upang magamit ang ERSPAN upang subaybayan ang trapiko sa pamamagitan ng isa o higit pang mga port o VLAN sa parehong device, kailangan nating gumawa ng pinagmulan ng ERSPAN at mga patutunguhang session ng ERSPAN sa parehong device, ang daloy ng data ay nagaganap sa loob ng router, na katulad ng sa lokal na SPAN.

Ang mga sumusunod na salik ay naaangkop habang ginagamit ang ERSPAN bilang isang lokal na SPAN:

- Parehong may parehong ERSPAN ID ang parehong session.

- Ang parehong mga session ay may parehong IP address. Ang IP address na ito ay ang sariling IP address ng mga router; ibig sabihin, ang loopback IP address o ang IP address na na-configure sa anumang port.

(config)# monitor session 10 type erspan-source
(config-mon-erspan-src)# source interface Gig0/0/0
(config-mon-erspan-src)# destinasyon
(config-mon-erspan-src-dst)# ip address 10.10.10.1
(config-mon-erspan-src-dst)# pinanggalingan ip address 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Oras ng post: Ago-28-2024
Pindutin ang enter para maghanap o ESC para isara