English

הבנת SPAN, RSPAN ו-ERSPAN: טכניקות לניטור תנועה ברשת

SPAN, RSPAN ו-ERSPANהן טכניקות המשמשות ברשת כדי ללכוד ולנטר תעבורה לצורך ניתוח. הנה סקירה קצרה של כל אחד מהם:

SPAN (נתח יציאות מתחלפות)

מטרה: משמש לשיקוף תעבורה מיציאות ספציפיות או מרשתות VLAN על מתג ליציאה אחרת לצורך ניטור.

מקרה שימוש: אידיאלי לניתוח תעבורה מקומי על מתג יחיד. התנועה משתקפת ליציאה ייעודית שבה מנתח רשת יכול ללכוד אותה.

RSPAN (Remote SPAN)

מטרה: הרחבת יכולות SPAN על פני מספר מתגים ברשת.

מקרה שימוש: מאפשר ניטור תעבורה מתג אחד למשנהו דרך קישור טראנק. שימושי עבור תרחישים שבהם התקן הניטור ממוקם על מתג אחר.

ERSPAN (Encapsulated Remote SPAN)

מטרה: משלב RSPAN עם GRE (Generic Routing Encapsulation) כדי לכלול את התעבורה המוצגת.

מקרה שימוש: מאפשר ניטור תעבורה על פני רשתות מנותבות. זה שימושי בארכיטקטורות רשת מורכבות שבהן יש לתפוס את התעבורה על פני פלחים שונים.

מנתח יציאות מתג (SPAN)היא מערכת יעילה ובעלת ביצועים גבוהים לניטור תעבורה. הוא מכוון או משקף תעבורה מיציאת מקור או VLAN ליציאת יעד. זה מכונה לפעמים ניטור הפעלה. SPAN משמש לפתרון בעיות קישוריות וחישוב ניצול וביצועי הרשת, בין רבים אחרים. ישנם שלושה סוגים של SPANs הנתמכים במוצרי Cisco ...

א. SPAN או SPAN מקומי.

ב. SPAN מרחוק (RSPAN).

ג. SPAN מרוחק מובלע (ERSPAN).

לדעת: "Mylinking™ Network Packet Broker עם תכונות SPAN, RSPAN ו-ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / שיקוף תנועה / שיקוף יציאות משמש למטרות רבות, להלן כולל כמה.

- יישום IDS/IPS במצב מופקר.

- פתרונות הקלטת שיחות VOIP.

- סיבות תאימות לאבטחה לניטור וניתוח תעבורה.

- פתרון בעיות חיבור, ניטור תעבורה.

ללא קשר לסוג ה-SPAN הפועל, מקור ה-SPAN יכול להיות כל סוג של יציאה, כלומר יציאה מנותבת, יציאת מתג פיזית, יציאת גישה, טראנק, VLAN (כל היציאות הפעילות מנוטרות של המתג), EtherChannel (או יציאה או יציאה שלמה -channel interfaces) וכו'. שימו לב שיציאה שהוגדרה עבור יעד SPAN לא יכולה להיות חלק מ-VLAN מקור SPAN.

מפגשי SPAN תומכים בניטור של תעבורת נכנסת (טווח כניסה), תעבורת יציאה (SPAN) או תעבורה זורמת בשני הכיוונים.

- Ingress SPAN (RX) מעתיק תעבורה המתקבלת על ידי יציאות המקור וה-VLAN ליציאת היעד. SPAN מעתיק את התעבורה לפני כל שינוי (לדוגמה לפני כל מסנן VACL או ACL, QoS או שיטור כניסה או יציאה).

- Egress SPAN (TX) מעתיק תעבורה המשודרת מיציאות המקור ו-VLAN ליציאת היעד. כל הסינון או השינוי הרלוונטיים על ידי מסנן VACL או ACL, QoS או פעולות שיטור כניסה או יציאה ננקטות לפני שהמתג מעביר תעבורה ליציאת יעד SPAN.

- כאשר משתמשים במילת המפתח הן, SPAN מעתיק את תעבורת הרשת המתקבלת ומשודרת על ידי יציאות המקור וה-VLAN ליציאת היעד.

- SPAN/RSPAN מתעלם בדרך כלל ממסגרות CDP, STP BPDU, VTP, DTP ו-PAgP. עם זאת, ניתן להעביר סוגי תעבורה אלה אם מוגדרת פקודת שכפול ה-encapsulation.

SPAN או מקומי SPAN

SPAN משקף תעבורה מממשק אחד או יותר במתג לממשק אחד או יותר באותו מתג; מכאן ש-SPAN מכונה בעיקר כ-LOCAL SPAN.

הנחיות או הגבלות ל-SPAN המקומי:

- ניתן להגדיר גם יציאות מתחלפות של שכבה 2 וגם יציאות שכבה 3 כיציאות מקור או יעד.

- המקור יכול להיות יציאה אחת או יותר או VLAN, אך לא שילוב של אלה.

- יציאות מטען הן יציאות מקור חוקיות מעורבות עם יציאות מקור שאינן מטען.

- ניתן להגדיר עד 64 יציאות יעד של SPAN במתג.

- כאשר אנו מגדירים יציאת יעד, התצורה המקורית שלו נמחקת. אם תצורת ה-SPAN מוסרת, התצורה המקורית ביציאה זו תשוחזר.

- בעת הגדרת יציאת יעד, היציאה מוסרת מכל חבילת EtherChannel אם היא הייתה חלק ממנה. אם זו הייתה יציאה מנותבת, תצורת היעד של SPAN עוקפת את תצורת היציאה המנותבת.

- יציאות היעד אינן תומכות באבטחת יציאות, אימות 802.1x או רשתות VLAN פרטיות.

- יציאה יכולה לשמש כיציאת היעד להפעלת SPAN אחת בלבד.

- לא ניתן להגדיר יציאה כיציאת יעד אם היא יציאת מקור של הפעלת span או חלק ממקור VLAN.

- ניתן להגדיר ממשקי ערוץ יציאה (EtherChannel) כיציאות מקור אך לא כיציאת יעד עבור SPAN.

- כיוון התנועה הוא "שניהם" כברירת מחדל עבור מקורות SPAN.

- יציאות יעד לעולם לא משתתפים במופע של עץ מתחש. לא יכול לתמוך ב-DTP, CDP וכו'. SPAN מקומי כולל BPDUs בתעבורה המנוטרת, כך שכל BPDUs הנראה ביציאת היעד מועתקים מיציאת המקור. לפיכך לעולם אל תחבר מתג לסוג זה של SPAN מכיוון שהוא עלול לגרום ללולאת רשת.

- כאשר VLAN מוגדר כמקור SPAN (המכונה בעיקר VSPAN) עם אפשרויות כניסה ויציאה מוגדרות, העבר מנות כפולות מיציאת המקור רק אם המנות עוברות באותו VLAN. עותק אחד של החבילה הוא מתעבורת הכניסה ביציאת הכניסה, והעותק השני של החבילה הוא מתעבורת היציאה על יציאת היציאה.

- VSPAN מנטר רק תעבורה שיוצאת או נכנסת ליציאות Layer 2 ב-VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN ו- ERSPAN הן טכניקות המשמשות ברשת כדי ללכוד ולנטר תעבורה לצורך ניתוח. הנה סקירה קצרה של כל אחד מהם:

SPAN (נתח יציאות מתחלפות)

  • מטרה: משמש לשיקוף תעבורה מיציאות או VLAN ספציפיים על מתג ליציאה אחרת לצורך ניטור.
  • Use Case: אידיאלי לניתוח תעבורה מקומי על מתג יחיד. התנועה משתקפת ליציאה ייעודית שבה מנתח רשת יכול ללכוד אותה.

RSPAN (Remote SPAN)

  • מטרה: מרחיב את יכולות SPAN על פני מספר מתגים ברשת.
  • Use Case: מאפשר ניטור תעבורה מתג אחד למשנהו דרך קישור טראנק. שימושי עבור תרחישים שבהם התקן הניטור ממוקם על מתג אחר.

ERSPAN (Encapsulated Remote SPAN)

  • מטרה: משלב RSPAN עם GRE (Generic Routing Encapsulation) כדי להקיף את התעבורה המוצגת.
  • Use Case: מאפשר ניטור תעבורה על פני רשתות מנותבות. זה שימושי בארכיטקטורות רשת מורכבות שבהן יש לתפוס את התעבורה על פני פלחים שונים.

SPAN מרחוק (RSPAN)

SPAN מרוחק (RSPAN) דומה ל-SPAN, אך הוא תומך ביציאות מקור, מקורות VLAN ויציאות יעד במתגים שונים, המספקים ניטור מרחוק של תעבורת יציאות מקור המופצות על פני מספר מתגים ומאפשרים לרכז היעד התקני לכידת רשת. כל הפעלה של RSPAN נושאת את תעבורת SPAN דרך RSPAN VLAN ייעודי שצוין על ידי המשתמש בכל המתגים המשתתפים. לאחר מכן, ה-VLAN הזה מועבר למתגים אחרים, מה שמאפשר להעביר את תעבורת הפגישות של RSPAN על פני מספר מתגים ולהעביר לתחנת לכידת היעד. RSPAN מורכב מהפעלת מקור RSPAN, RSPAN VLAN והפעלת יעד RSPAN.

הנחיות או הגבלות ל-RSPAN:

- יש להגדיר VLAN ספציפי עבור יעד SPAN אשר יעבור על פני מתגי הביניים באמצעות קישורי טראנק לכיוון יציאת היעד.

- יכול ליצור אותו סוג מקור - לפחות יציאה אחת או VLAN אחד לפחות אבל לא יכול להיות השילוב.

- היעד להפעלה הוא RSPAN VLAN ולא היציאה הבודדת במתג, כך שכל היציאות ב-RSPAN VLAN יקבלו את התעבורה המשוקפת.

- הגדר כל VLAN כ-RSPAN VLAN כל עוד כל התקני הרשת המשתתפים תומכים בתצורה של RSPAN VLAN, והשתמש באותו RSPAN VLAN עבור כל הפעלת RSPAN

- VTP יכול להפיץ תצורה של רשתות VLAN ממספרות 1 עד 1024 כ-RSPAN VLAN, חייב להגדיר באופן ידני רשתות VLAN שמספרן גבוה מ-1024 כ-RSPAN VLAN בכל התקני רשת המקור, הביניים והיעד.

- למידת כתובת MAC מושבתת ב-RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

SPAN מרוחק מובלע (ERSPAN)

Encapsulated Remote SPAN (ERSPAN) מביא את Encapsulation ניתוב גנרי (GRE) עבור כל התעבורה שנלכדה ומאפשר להרחיב אותה על פני תחומי שכבה 3.

ERSPAN הוא אסיסקו קנייניתכונה וזמינה רק לפלטפורמות Catalyst 6500, 7600, Nexus ו-ASR 1000 עד כה. ה-ASR 1000 תומך במקור ERSPAN (ניטור) רק בממשקי Ethernet מהיר, Gigabit Ethernet וממשקי ערוץ יציאות.

הנחיות או הגבלות ל-ERSPAN:

- הפעלות מקור של ERSPAN אינן מעתיקות תעבורה מובלעת ב-ERSPAN GRE מיציאות מקור. לכל הפעלת מקור של ERSPAN יכולות להיות יציאות או VLAN כמקורות, אך לא שניהם.

- ללא קשר לגודל MTU מוגדר כלשהו, ​​ERSPAN יוצר חבילות שכבה 3 שיכולות להיות באורך של עד 9,202 בתים. תעבורת ERSPAN עשויה להישמט על ידי כל ממשק ברשת שאוכף גודל MTU קטן מ-9,202 בתים.

- ERSPAN אינו תומך בפיצול מנות. הסיבית "אל תפרג" מוגדרת בכותרת ה-IP של מנות ERSPAN. הפעלות יעד של ERSPAN לא יכולות להרכיב מחדש מנות ERSPAN מקוטעות.

- מזהה ERSPAN מבדיל בין תעבורת ERSPAN שמגיעה לאותה כתובת IP של יעד ממפגשי מקור שונים של ERSPAN; מזהה ERSPAN שהוגדר חייב להתאים בהתקני המקור והיעד.

- עבור יציאת מקור או מקור VLAN, ה-ERSPAN יכול לנטר את תעבורת הכניסה, היציאה או גם תעבורת כניסה ויציאה. כברירת מחדל, ERSPAN מנטרת את כל התעבורה, כולל מסגרות ריבוי שידור ו-Bridge Protocol Data Unit (BPDU).

- ממשק המנהרה הנתמך כיציאות מקור עבור הפעלת מקור ERSPAN הם GRE, IPinIP, SVTI, IPv6, IPv6 over IP Tunnel, Multipoint GRE (mGRE) וממשקי מנהרה וירטואליים מאובטחים (SVTI).

- אפשרות המסנן VLAN אינה פונקציונלית בהפעלת ניטור ERSPAN בממשקי WAN.

- ERSPAN בנתבים מסדרת Cisco ASR 1000 תומך רק בממשקי שכבה 3. ממשקי Ethernet אינם נתמכים ב-ERSPAN כאשר הם מוגדרים כממשקי שכבה 2.

- כאשר הפעלה מוגדרת דרך ה-CLI של תצורת ERSPAN, לא ניתן לשנות את מזהה ההפעלה ואת סוג ההפעלה. כדי לשנות אותם, תחילה עליך להשתמש ב-no form של פקודת התצורה כדי להסיר את ההפעלה ולאחר מכן להגדיר מחדש את ההפעלה.

- Cisco IOS XE Release 3.4S :- ניטור של מנות מנהרה שאינן מוגנות ב-IPsec נתמך בממשקי מנהרת IPv6 ו-IPv6 על פני IP רק להפעלות מקור של ERSPAN, לא להפעלות יעד של ERSPAN.

- Cisco IOS XE Release 3.5S, נוספה תמיכה בסוגים הבאים של ממשקי WAN כיציאות מקור עבור הפעלת מקור: טורי (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) ו-Multilink PPP (מילות מפתח מרובות קישורים, פוז' ומילות מפתח סדרתיות נוספו לפקודת ממשק המקור).

SPAN, RSPAN, ERSPAN 3

שימוש ב-ERSPAN בתור SPAN מקומי:

כדי להשתמש ב-ERSPAN כדי לנטר את התעבורה דרך יציאות או VLAN אחת או יותר באותו מכשיר, עלינו ליצור מקור ERSPAN והפעלות יעד של ERSPAN באותו מכשיר, זרימת נתונים מתרחשת בתוך הנתב, אשר דומה לזו שב-SPAN המקומי.

הגורמים הבאים ישימים בעת שימוש ב-ERSPAN כ-SPAN מקומי:

- לשני הפגישות יש אותו מזהה ERSPAN.

- לשני הפעלות יש אותה כתובת IP. כתובת ה-IP הזו היא כתובת ה-IP של הנתבים; כלומר, כתובת ה-IP הלולאה או כתובת ה-IP המוגדרת בכל יציאה.

(config) # מוניטור הפעלה 10 סוג erspan-source
(config-mon-erspan-src)# ממשק מקור Gig0/0/0
(config-mon-erspan-src) # יעד
(config-mon-erspan-src-dst) # כתובת ip 10.10.10.1
(config-mon-erspan-src-dst)# כתובת ip מקור 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

זמן פרסום: 28 באוגוסט 2024
לחץ על Enter כדי לחפש או על ESC כדי לסגור