English

הבנת SPAN, RSPAN ו-ERSPAN: טכניקות לניטור תעבורת רשת

SPAN, RSPAN ו-ERSPAN הן טכניקות המשמשות ברשתות ללכידה ומעקב אחר תעבורה לצורך ניתוח. הנה סקירה קצרה של כל אחת מהן:

SPAN (מנתח יציאות ממותגות)

מטרה: משמש לשיקוף תעבורה מפורטות או VLAN ספציפיים במתג לפורט אחר לצורך ניטור.

מקרה שימוש: אידיאלי לניתוח תעבורה מקומית על מתג יחיד. התעבורה משוקפת לפורט ייעודי שבו מנתח רשת יכול ללכוד אותה.

RSPAN (SPAN מרוחק)

מטרה: הרחבת יכולות SPAN על פני מספר מתגים ברשת.

מקרה שימוש: מאפשר ניטור של תעבורה ממתג אחד לאחר דרך קישור רשת (trunk link). שימושי בתרחישים שבהם התקן הניטור ממוקם על מתג אחר.

ERSPAN (SPAN מרוחק מקופסל)

מטרה: שילוב RSPAN עם GRE (Generic Routing Encapsulation) כדי ללכוד את התעבורה המשוקפת.

מקרה שימוש: מאפשר ניטור של תעבורה ברשתות מנותבות. זה שימושי בארכיטקטורות רשת מורכבות שבהן יש ללכוד תעבורה על פני מקטעים שונים.

מנתח יציאות Switch (SPAN) היא מערכת ניטור תעבורה יעילה ובעלת ביצועים גבוהים. היא מנתבת או משקפת תעבורה מיציאת מקור או VLAN ליציאת יעד. לעיתים זה מכונה ניטור סשנים. SPAN משמש לפתרון בעיות קישוריות ולחישוב ניצול וביצועי רשת, בין היתר. ישנם שלושה סוגים של SPAN הנתמכים במוצרי סיסקו ...

א. SPAN או SPAN מקומי.

ב. SPAN מרוחק (RSPAN).

ג. SPAN מרוחק מקופסל (ERSPAN).

לדעת: "מתווך חבילות רשת Mylinking™ עם תכונות SPAN, RSPAN ו-ERSPAN"

ספאן, רספאן, ארספאן

SPAN / שיקוף תעבורה / שיקוף פורטים משמש למטרות רבות, להלן כמה.

- יישום IDS/IPS במצב פרומיסקוי.

- פתרונות להקלטת שיחות VOIP.

- סיבות לתאימות אבטחה לניטור וניתוח תעבורה

- פתרון בעיות חיבור, ניטור תעבורה.

ללא קשר לסוג ה-SPAN הפועל, מקור SPAN יכול להיות כל סוג של פורט, כלומר פורט מנותב, פורט מתג פיזי, יציאת גישה, trunk, VLAN (כל הפורטים הפעילים מנוטרים על ידי המתג), EtherChannel (פורט או ממשקי פורט-ערוץ שלמים) וכו'. שים לב שפורט שתצורתו נקבעה עבור יעד SPAN לא יכול להיות חלק מ-VLAN מקור SPAN.

סשנים של SPAN תומכים בניטור של תנועה נכנסת (ingress SPAN), תנועה יוצאת (egress SPAN), או תנועה הזורמת בשני הכיוונים.

- Ingress SPAN (RX) מעתיק תעבורה המתקבלת על ידי פורטי המקור ו-VLAN לפורט היעד. SPAN מעתיק את התעבורה לפני כל שינוי (לדוגמה, לפני כל מסנן VACL או ACL, QoS או פיקוח כניסה או יציאה).

- Egress SPAN (TX) מעתיק תעבורה המשודרת מיציאות המקור ו-VLAN ליציאת היעד. כל הסינון או השינוי הרלוונטיים על ידי מסנן VACL או ACL, QoS או פעולות פיקוח על כניסה או יציאה ננקטות לפני שהמתג מעביר תעבורה ליציאת היעד SPAN.

- כאשר משתמשים במילת המפתח both, SPAN מעתיק את תעבורת הרשת המתקבלת והמועברת על ידי יציאות המקור ו-VLAN ליציאת היעד.

SPAN/RSPAN בדרך כלל מתעלם ממסגרות CDP, STP BPDU, VTP, DTP ו-PAgP. עם זאת, ניתן להעביר סוגי תעבורה אלה אם פקודת השכפול של encapsulation מוגדרת.

SPAN או SPAN מקומי

SPAN משקף תעבורה מממשק אחד או יותר בממשק ה-switch לממשק אחד או יותר באותו מתג; לכן SPAN מכונה לרוב LOCAL SPAN.

הנחיות או הגבלות ל-SPAN המקומי:

ניתן להגדיר גם יציאות ממותגות בשכבה 2 וגם יציאות בשכבה 3 כיציאות מקור או יעד.

- המקור יכול להיות יציאה אחת או יותר או VLAN, אך לא שילוב של אלה.

- יציאות Trunk הן יציאות מקור תקפות מעורבבות עם יציאות מקור שאינן Trunk.

ניתן להגדיר עד 64 יציאות יעד SPAN במתג.

- כאשר אנו מגדירים יציאת יעד, התצורה המקורית שלה מוחקת. אם תצורת SPAN מוסרת, התצורה המקורית של אותה יציאה משוחזרת.

- בעת הגדרת יציאת יעד, היציאה מוסרת מכל חבילת EtherChannel אם היא הייתה חלק מאחד כזה. אם הייתה זו יציאה מנותבת, תצורת היעד SPAN גוברת על תצורת היציאה המנותבת.

יציאות יעד אינן תומכות באבטחת יציאות, אימות 802.1x או רשתות VLAN פרטיות.

- פורט יכול לשמש כפורט יעד עבור סשן SPAN אחד בלבד.

- לא ניתן להגדיר פורט כפורט יעד אם הוא פורט מקור של סשן span או חלק מ-VLAN מקור.

- ניתן להגדיר ממשקי ערוץ פורטים (EtherChannel) כפורטי מקור אך לא כפורט יעד עבור SPAN.

- כיוון התנועה הוא "שניהם" כברירת מחדל עבור מקורות SPAN.

- פורטי יעד לעולם אינם משתתפים במופע של עץ-מתפתל. לא ניתן לתמוך ב-DTP, CDP וכו'. SPAN מקומי כולל BPDUs בתעבורה המנוטרת, כך שכל BPDUs הנראים בפורט היעד מועתקים מפורט המקור. לכן לעולם אל תחברו מתג לסוג זה של SPAN מכיוון שהדבר עלול לגרום ללולאת רשת. כלי בינה מלאכותית ישפרו את יעילות העבודה, ובינה מלאכותית בלתי ניתנת לגילויהשירות יכול לשפר את איכות כלי הבינה המלאכותית.

- כאשר VLAN מוגדר כמקור SPAN (לרוב VSPAN) עם אפשרויות כניסה ויציאה מוגדרות, יש להעביר מנות כפולות מיציאת המקור רק אם החבילות מוחלפות באותו VLAN. עותק אחד של החבילה הוא מתעבורת הכניסה ביציאת הכניסה, והעותק השני של החבילה הוא מתעבורת היציאה ביציאת היציאה.

- VSPAN מנטר רק תעבורה שיוצאת או נכנסת מפורטות שכבה 2 ב-VLAN.

ספאן, רספאן, ארספאן 1

SPAN מרוחק (RSPAN)

SPAN מרוחק (RSPAN) דומה ל-SPAN, אך הוא תומך ביציאות מקור, ברשתות VLAN מקור וביציאות יעד במתגים שונים, המספקים תעבורת ניטור מרחוק מיציאות מקור המפוזרות על פני מספר מתגים ומאפשרים למרכז את התקני הלכידה של הרשת ביעד. כל סשן RSPAN נושא את תעבורת ה-SPAN דרך RSPAN VLAN ייעודי שצוין על ידי המשתמש בכל המתגים המשתתפים. לאחר מכן, VLAN זה מועבר למתגים אחרים, מה שמאפשר להעביר את תעבורת סשן RSPAN על פני מספר מתגים ולהעביר אותה לתחנת הלכידה של היעד. RSPAN מורכב מסשן מקור של RSPAN, VLAN של RSPAN והפעלת יעד של RSPAN.

הנחיות או הגבלות ל-RSPAN:

- יש להגדיר VLAN ספציפי עבור יעד SPAN אשר יעבור על פני המתגים הביניים דרך קישורי trunk לכיוון יציאת היעד.

- ניתן ליצור את אותו סוג מקור - לפחות פורט אחד או לפחות VLAN אחד אך לא ניתן לשלב אותו.

- היעד עבור הסשן הוא RSPAN VLAN ולא הפורט היחיד במתג, כך שכל הפורטים ב-RSPAN VLAN יקבלו את התעבורה המשוקפת.

- הגדרת כל VLAN כ-RSPAN VLAN כל עוד כל התקני הרשת המשתתפים תומכים בתצורה של RSPAN VLANs, ושימוש באותו RSPAN VLAN עבור כל סשן RSPAN

- VTP יכול להפיץ תצורה של רשתות VLAN ממספר 1 עד 1024 כרשתות VLAN של RSPAN, אך יש להגדיר ידנית רשתות VLAN ממספר 1024 כרשתות VLAN של RSPAN בכל התקני רשת המקור, הביניים והיעד.

- למידת כתובת MAC מושבתת ב-VLAN של RSPAN.

ספאן, רספאן, ארספאן 2

SPAN מרוחק מקופסל (ERSPAN)

SPAN מרוחק מקופסל (ERSPAN) מביא אנקפסולציה של ניתוב גנרי (GRE) לכל התעבורה שנלכדה ומאפשר להרחיב אותה על פני דומיינים של שכבה 3.

ERSPAN הואקניינית של סיסקותכונה זו זמינה עד כה רק לפלטפורמות Catalyst 6500, 7600, Nexus ו-ASR 1000. ה-ASR 1000 תומך במקור ERSPAN (ניטור) רק בממשקי Fast Ethernet, Gigabit Ethernet ו-port-channel.

הנחיות או הגבלות ל-ERSPAN:

- מפגשי מקור של ERSPAN אינם מעתיקים תעבורה ממקורות מקור (GRE) של ERSPAN. לכל מפגש מקור של ERSPAN יכולים להיות יציאות או VLAN כמקורות, אך לא את שניהם.

- ללא קשר לגודל ה-MTU שתצורתו נקבעה, ERSPAN יוצר חבילות Layer 3 שאורכן יכול להגיע ל-9,202 בתים. תעבורת ERSPAN עשויה להישמט על ידי כל ממשק ברשת שאוכף גודל MTU קטן מ-9,202 בתים.

- ERSPAN אינו תומך בפיצול חבילות. הסיבית "אל תפצל" מוגדרת בכותרת ה-IP של חבילות ERSPAN. הפעלות יעד של ERSPAN אינן יכולות להרכיב מחדש חבילות ERSPAN מקוטעות.

- מזהה ה-ERSPAN מבדיל בין תעבורת ה-ERSPAN המגיעה לאותה כתובת IP יעד ממגוון סשנים שונים של מקור ERSPAN; מזהה ה-ERSPAN המוגדר חייב להתאים בהתקני המקור והיעד.

- עבור יציאת מקור או VLAN מקור, ה-ERSPAN יכול לנטר את תעבורת הכניסה, היציאה, או גם הכניסה וגם היציאה. כברירת מחדל, ERSPAN מנטר את כל התעבורה, כולל מסגרות שידור מרובה ומסגרות BPDU (Bridge Protocol Data Unit).

- ממשקי מנהרה הנתמכים כיציאות מקור עבור סשן מקור ERSPAN הם GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) וממשקי מנהרה וירטואליים מאובטחים (SVTI).

אפשרות הסינון VLAN אינה פועלת בהפעלת ניטור ERSPAN בממשקי WAN.

- ERSPAN בנתבים מסדרת Cisco ASR 1000 תומך רק בממשקי שכבה 3. ממשקי Ethernet אינם נתמכים ב-ERSPAN כאשר הם מוגדרים כממשקי שכבה 2.

- כאשר הפעלה מוגדרת דרך ממשק שורת הפקודה (CLI) של ERSPAN, לא ניתן לשנות את מזהה ההפעלה ואת סוג ההפעלה. כדי לשנות אותם, עליך תחילה להשתמש בצורה "no" של פקודת התצורה כדי להסיר את ההפעלה ולאחר מכן להגדיר מחדש את ההפעלה.

- Cisco IOS XE גרסה 3.4S: - ניטור של חבילות מנהרה שאינן מוגנות על ידי IPsec נתמך בממשקי מנהרה IPv6 ו-IPv6 over IP רק להפעלות מקור ERSPAN, ולא להפעלות יעד ERSPAN.

- Cisco IOS XE גרסה 3.5S, נוספה תמיכה עבור הסוגים הבאים של ממשקי WAN כיציאות מקור עבור סשן מקור: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) ו-Multilink PPP (מילות מפתח של multilink, pos ו-serial נוספו לפקודת ממשק המקור).

ספאן, רספאן, ארספאן 3

שימוש ב-ERSPAN כ-SPAN מקומי:

כדי להשתמש ב-ERSPAN כדי לנטר תעבורה דרך פורט או VLAN אחד או יותר באותו מכשיר, עלינו ליצור מקור ERSPAN והפעלות יעד ERSPAN באותו מכשיר, זרימת נתונים מתרחשת בתוך הנתב, בדומה לזו ב-SPAN מקומי.

הגורמים הבאים רלוונטיים בעת שימוש ב-ERSPAN כ-SPAN מקומי:

- לשני המפגשים יש את אותו מזהה ERSPAN.

- לשני הסשנים יש את אותה כתובת IP. כתובת IP זו היא כתובת ה-IP של הנתב עצמו; כלומר, כתובת ה-IP של הלולאה החוזרת או כתובת ה-IP שתצורתה נקבעה בכל פורט.

(config)# מעקב אחר סשן 10 סוג erspan-source
(config-mon-erspan-src)# ממשק מקור Gig0/0/0
יעד (config-mon-erspan-src)#
(config-mon-erspan-src-dst)# כתובת IP 10.10.10.1
(config-mon-erspan-src-dst)# כתובת IP מקורית 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

ספאן, רספאן, ארספאן 4

זמן פרסום: 28 באוגוסט 2024
לחץ על Enter לחיפוש או על ESC לסגירה