Span, RSPAN und ERSPAN sind Techniken, die im Networking zum Erfassen und Überwachung des Datenverkehrs zur Analyse verwendet werden. Hier ist ein kurzer Überblick über jeweils:
Spannweite (Switched Port Analyzer)
Zweck: Wird verwendet, um den Verkehr von bestimmten Ports oder VLANs auf einem Schalter zu einem anderen Port zur Überwachung zu spiegeln.
Anwendungsfall: Ideal für die lokale Verkehrsanalyse auf einem einzelnen Schalter. Der Datenverkehr spiegelt sich auf einen ausgewiesenen Port wider, in dem ein Netzwerkanalysator ihn erfassen kann.
Rspan (Fernspanne)
Zweck: Erweitert Span -Funktionen über mehrere Switches in einem Netzwerk.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs von einem Switch zu einem anderen über eine Trunk -Verbindung. Nützlich für Szenarien, in denen sich das Überwachungsgerät auf einem anderen Schalter befindet.
ERSPAN (eingekapselte Fernspanne)
Zweck: Kombiniert RSPAN mit GRE (Generic Routing Enkapselung), um den gespiegelten Verkehr zu verkapulieren.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs über Routed -Netzwerke hinweg. Dies ist nützlich in komplexen Netzwerkarchitekturen, bei denen der Verkehr über verschiedene Segmente erfasst werden muss.
Switch Port Analyzer (Span) ist ein effizientes Hochleistungsverkehrsüberwachungssystem. Es leitet oder spiegelt den Verkehr von einem Quellport oder VLAN an einen Zielport an. Dies wird manchmal als Sitzungsüberwachung bezeichnet. Span wird unter anderem zur Fehlerbehebung von Konnektivitätsproblemen und zur Berechnung der Netzwerknutzung und -leistung verwendet. Es gibt drei Arten von Spannweiten, die für Cisco -Produkte unterstützt werden…
A. Spannweite oder lokale Spannweite.
B. Fernspanne (RSPAN).
C. Eingekapselte Fernspanne (ERSPAN).
Zu wissen: "MyLinking ™ Network Packet Broker mit Span, RSPAN und ERSPAN -Funktionen"
Spann- / Verkehrsspiegelung / Portspiegelung wird für viele Zwecke verwendet, darunter einige.
- Implementieren von IDs/IPs im promiskuitiven Modus.
- VoIP Call Recording Solutions.
- Gründe für die Einhaltung von Sicherheitsvorschriften zur Überwachung und Analyse des Verkehrs.
- Fehlerbehebung mit Verbindungsproblemen, Überwachung des Verkehrs.
Unabhängig davon, wie der Span-Typ ausgeführt wird, kann Span Source eine beliebige Art von Port, dh ein Routed-Port, einen physischen Switch-Port, einen Zugriffsanschluss, ein Kofferraum, VLAN (alle aktiven Ports werden vom Switch überwacht), ein Etherchannel (entweder ein Port oder eine ganze Port-Kanal-Schnittstelle) usw.
Span -Sessions unterstützen die Überwachung des Eindringenverkehrs (Eindringspannweite), den Ausstiegsverkehr (Ausstiegsspanne) oder Verkehr, der in beide Richtungen fließt.
- Ingress Span (RX) kopiert den Verkehr, den die Quellports und VLANs an den Zielport erhalten. Span kopiert den Verkehr vor einer Änderung (z. B. vor einem VACL- oder ACL -Filter, QoS oder Ein- oder Ausstiegspolizei).
- Die Ausgangsspanne (TX) kopiert den Verkehr, der von den Quellanschlüssen und VLANs an den Zielport übertragen wird. Alle relevanten Filter- oder Modifikationen durch VACL- oder ACL -Filter, QoS oder Ein- oder Ausstiegspolizeimaßnahmen werden ergriffen, bevor der Schalter den Verkehr auf den Zielport vorlegt.
- Wenn das Keyword verwendet wird, kopiert Span den empfangenen Netzwerkverkehr und übertragen von den Quellports und VLANs an den Zielport.
- Span/rspan ignoriert normalerweise CDP-, STP -BPDU-, VTP-, DTP- und PAGP -Rahmen. Diese Verkehrstypen können jedoch weitergeleitet werden, wenn der Befehl zur Kapselung von Replikat konfiguriert ist.
Spannweite oder lokale Spannweite
Span spiegelt den Verkehr von einer oder mehreren Schnittstelle auf dem Schalter zu einer oder mehreren Schnittstellen auf demselben Schalter aus. Daher wird die Spanne meistens als lokale Spannweite bezeichnet.
Richtlinien oder Einschränkungen für die lokale Span:
- Sowohl Schicht 2 Switched Ports als auch Layer 3 -Ports können als Quell- oder Zielports konfiguriert werden.
- Die Quelle kann entweder ein oder mehrere Ports oder ein VLAN sein, aber keine Mischung aus diesen.
- Kofferraumports sind gültige Quellports, die mit nicht-kuscheligen Quellports gemischt sind.
- Bis zu 64 Zeitspannungs -Zielports können auf einem Switch konfiguriert werden.
- Wenn wir einen Zielport konfigurieren, wird seine ursprüngliche Konfiguration überschrieben. Wenn die Span -Konfiguration entfernt wird, wird die ursprüngliche Konfiguration auf diesem Port wiederhergestellt.
- Beim Konfigurieren eines Zielports wird der Port von einem EtherChannel -Bundle entfernt, wenn er Teil von einem war. Wenn es sich um einen Routed -Port handelte, überschreibt die Konfiguration der Span -Ziel die Routed -Port -Konfiguration.
- Zielports unterstützen keine Port -Sicherheit, 802.1x Authentifizierung oder private VLANs.
- Ein Port kann als Zielport für nur eine Spannweite fungieren.
- Ein Port kann nicht als Zielport konfiguriert werden, wenn es sich um einen Quellport einer Span -Sitzung oder eines Teils von Source VLAN handelt.
- Portal -Schnittstellen (EtherChannel) können als Quellports konfiguriert werden, jedoch nicht als Zielport für Span.
- Die Verkehrsrichtung ist standardmäßig für Span -Quellen „beides“.
- Zielports nehmen nie an einer Spanning-Tree-Instanz teil. DTP, CDP usw. kann nicht unterstützt werden. Lokale Span enthält BPDUs im überwachten Verkehr, sodass alle am Zielport zu sehen sind aus dem Quellport kopiert. Schließen Sie daher niemals einen Schalter an diese Art von Spannweite an, da dies zu einer Netzwerkschleife führen kann. KI -Tools verbessern die Arbeitseffizienz, undNicht nachweisbare AIDer Service kann die Qualität von KI -Tools verbessern.
- Wenn VLAN als Span -Quelle (meist als VSPAN bezeichnet) konfiguriert ist, wobei sowohl die Eindring- als auch die Ausgangsoptionen konfiguriert sind, leiten Sie doppelte Pakete nur aus dem Quellport vor, wenn die Pakete im selben VLAN umgeschaltet werden. Eine Kopie des Pakets erfolgt aus dem Eindringungsverkehr am Eindringling -Anschluss, und die andere Kopie des Pakets stammt aus dem Ausstiegsverkehr am Ausgangsanschluss.
- VSPAN überwacht nur den Verkehr, der in Schicht 2 Ports im VLAN verlässt oder eingibt.
Fernspanne (RSPAN)
Remote Span (RSPAN) ähnelt der Span, unterstützt jedoch Quellanschlüsse, Quell -VLANs und Zielports auf verschiedenen Switches, die den über mehrere Switches verteilten Quellanschlüsse den Fernüberwachungsverkehr liefern und die Ziele für die Zentrum von Netzwerk -Erfassungsgeräten ermöglichen. Jede RSPAN-Sitzung trägt den Span-Datenverkehr über einen benutzerdefinierten dedizierten RSPAN-VLAN in allen teilnehmenden Switches. Dieser VLAN wird dann zu anderen Switches eingestellt, sodass der RSPAN -Sitzungsverkehr über mehrere Switches transportiert und an die Station zum Ziel erfasst wird. RSPAN besteht aus einer RSPAN -Quellsitzung, einer RSPAN -VLAN und einer RSPAN -Zielsitzung.
Richtlinien oder Beschränkungen für RSPAN:
- Ein spezifischer VLAN muss für das Ziel des Span -Ziels konfiguriert werden, das über die Zwischenschalter über Trunk -Links zum Zielport über die Zwischenschalter führt.
- Kann denselben Quelltyp erzeugen - mindestens ein Port oder mindestens ein VLAN, kann aber nicht der Mix sein.
- Das Ziel für die Sitzung ist eher RSPAN VLAN als der einzelne Port im Switch, sodass alle Ports in RSPAN VLAN den gespiegelten Verkehr erhalten.
- Konfigurieren Sie jeden VLAN als RSPAN -VLAN, solange alle teilnehmenden Netzwerkgeräte die Konfiguration von RSPAN -VLAN unterstützen, und verwenden Sie denselben RSPAN -VLAN für jede RSPAN -Sitzung
- VTP kann die Konfiguration von VLANs nummerieren, die 1 bis 1024 als RSPAN -VLAN nummerieren, muss manuell als RSPAN -VLANs auf allen Quellen-, Zwischen- und Zielnetzwerkgeräten manuell konfigurieren.
- Das Lernen von MAC -Adressen ist im RSPAN -VLAN deaktiviert.
Eingekapselte Fernspanne (ERSPAN)
Die eingekapselte Fernbedienung (ERSPAN) bringt eine generische Routing -Kapselung (GRE) für alle erfassten Verkehrsmittel mit und ermöglicht es, über die Domänen der Schicht 3 zu erweitern.
Erspan ist aCisco ProprietaryFunktionieren Sie und ist nur für Catalyst 6500, 7600, Nexus und ASR 1000 -Plattformen erhältlich. Der ASR 1000 unterstützt ERSPAN-Quelle (Überwachung) nur auf Schnittstellen von Fast Ethernet, Gigabit Ethernet und Port-Kanal.
Richtlinien oder Einschränkungen für ERSPAN:
- ERSPAN-Quellsitzungen kopieren nicht erspan-gre-kapselten Datenverkehr aus Quellports. Jede ERSPAN -Quellsitzung kann entweder Ports oder VLANs als Quellen, aber nicht beides haben.
- Unabhängig von einer konfigurierten MTU -Größe erstellt ERSPAN Layer -3 -Pakete, die bis zu 9.202 Bytes betragen können. Der ERSPAN -Verkehr kann durch jede Schnittstelle im Netzwerk fallen gelassen werden, die eine MTU -Größe von kleiner als 9.202 Bytes erzwingt.
- Erspan unterstützt die Paketfragmentierung nicht. Das Bit "Nicht fragmentieren" befindet sich im IP -Header von ERSPAN -Paketen. ERSPAN -Zielsitzungen können fragmentierte ERSPAN -Pakete nicht wieder zusammenbauen.
- Die ERSPAN -ID unterscheidet den ERSPAN -Verkehr, der an derselben Ziel -IP -Adresse aus verschiedenen ERSPAN -Quellensitzungen ankommt. Die konfigurierte ERSPAN -ID muss auf Quell- und Zielgeräten übereinstimmen.
- Für einen Quellanschluss oder ein Quell -VLAN kann der ERSPAN den Ein-, Ausgangs- oder sowohl Ein- als auch Ausstiegsverkehr überwachen. Standardmäßig überwacht ERSPAN den gesamten Datenverkehr, einschließlich Multicast- und Bridge Protocol Data Unit (BPDU) -Rahmen.
- Die Tunnel -Schnittstelle, die als Quellports für eine ERSPAN -Quellsitzung unterstützt wird, sind GRE, IPINIP, SVTI, IPv6, IPv6 über IP -Tunnel, Multipoint GRE (MGRE) und Secure Virtual Tunnel Interfaces (SVTI).
- Die Option Filter VLAN ist in einer ERSPAN -Überwachungssitzung auf WAN -Schnittstellen nicht funktionsfähig.
- Die Router der Cisco ASR 1000 -Serie unterstützt nur Schicht 3 -Schnittstellen. Ethernet -Schnittstellen werden bei ERSPAN nicht unterstützt, wenn sie als Layer -2 -Schnittstellen konfiguriert werden.
- Wenn eine Sitzung über die ERSPAN -Konfigurations -CLI konfiguriert wird, kann die Sitzungs -ID und der Sitzungstyp nicht geändert werden. Um sie zu ändern, müssen Sie zunächst die NO -Form des Konfigurationsbefehls verwenden, um die Sitzung zu entfernen und dann die Sitzung neu zu konfigurieren.
- Cisco IOS XE Release 3.4S:- Überwachung von nicht-re-re-maßgeblich geschützten Tunnelpaketen wird auf IPv6 und IPv6 über IP-Tunnel-Schnittstellen nur zu ERSPAN-Quellsitzungen unterstützt, nicht zu ERSPAN-Zielsitzungen.
- Cisco iOS XE Release 3.5s, Unterstützung für die folgenden Arten von WAN -Schnittstellen als Quellports für eine Quellsitzung hinzugefügt: seriell (T1/E1, T3/E3, DS0), Paket über Sonet (POS) (OC3, OC12) und Multilink PPP (Multilink, POS und Serialwörter wurden zum Befehl der Quell -Interfaken hinzugefügt).
Verwenden von ERSPAN als lokale Spannweite:
Um ERSPAN zu verwenden, um den Verkehr über eine oder mehrere Ports oder VLANs im gleichen Gerät zu überwachen, müssen wir eine ERSPAN -Quelle und ERSPAN -Zielsitzungen im selben Gerät erstellen. Der Datenfluss findet im Router statt, der dem in lokaler Spanne ähnlich ist.
Die folgenden Faktoren sind bei der Verwendung von ERSPAN als lokale Spanne anwendbar:
- Beide Sitzungen haben die gleiche Erspan -ID.
- Beide Sitzungen haben die gleiche IP -Adresse. Diese IP -Adresse ist die eigene IP -Adresse der Router. Das heißt, die Loopback -IP -Adresse oder die IP -Adresse, die auf einem beliebigen Port konfiguriert ist.
| (Konfiguration)# Session 10 Typ ERSPAN-Source vom Typ Monitor |
| (config-mon-erspan-src)# Quellschnittstelle GIG0/0/0 0 |
| (Konfigurationsmonspan-Src)# Ziel |
| (config-mon-erspan-src-dst)# IP-Adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# Origin IP-Adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Postzeit: Aug-28-2024
