SPAN, RSPAN und ERSPAN sind Techniken, die in Netzwerken verwendet werden, um den Datenverkehr für die Analyse zu erfassen und zu überwachen. Hier ist jeweils ein kurzer Überblick:
SPAN (Switched-Port-Analysator)
Zweck: Wird verwendet, um den Datenverkehr von bestimmten Ports oder VLANs auf einem Switch zur Überwachung auf einen anderen Port zu spiegeln.
Anwendungsfall: Ideal für die lokale Verkehrsanalyse auf einem einzelnen Switch. Der Datenverkehr wird an einen bestimmten Port gespiegelt, wo ein Netzwerkanalysator ihn erfassen kann.
RSPAN (Remote SPAN)
Zweck: Erweitert die SPAN-Funktionen auf mehrere Switches in einem Netzwerk.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs von einem Switch zu einem anderen über eine Trunk-Verbindung. Nützlich für Szenarien, in denen sich das Überwachungsgerät an einem anderen Switch befindet.
ERSPAN (Encapsulated Remote SPAN)
Zweck: Kombiniert RSPAN mit GRE (Generic Routing Encapsulation), um den gespiegelten Datenverkehr zu kapseln.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs über geroutete Netzwerke. Dies ist in komplexen Netzwerkarchitekturen nützlich, in denen der Datenverkehr über verschiedene Segmente hinweg erfasst werden muss.
Switch Port Analyzer (SPAN) ist ein effizientes, leistungsstarkes Verkehrsüberwachungssystem. Es leitet oder spiegelt den Datenverkehr von einem Quellport oder VLAN zu einem Zielport. Dies wird manchmal als Sitzungsüberwachung bezeichnet. SPAN wird unter anderem zur Fehlerbehebung bei Verbindungsproblemen und zur Berechnung der Netzwerkauslastung und -leistung verwendet. Es gibt drei Arten von SPANs, die von Cisco-Produkten unterstützt werden …
A. SPAN oder lokaler SPAN.
B. Remote-SPAN (RSPAN).
C. Gekapselter Remote-SPAN (ERSPAN).
Zu wissen: „Mylinking™ Network Packet Broker mit SPAN-, RSPAN- und ERSPAN-Funktionen"
SPAN/Traffic Mirroring/Port Mirroring wird für viele Zwecke verwendet, im Folgenden werden einige aufgeführt.
- Implementierung von IDS/IPS im Promiscuous-Modus.
- VOIP-Anrufaufzeichnungslösungen.
- Gründe für die Einhaltung von Sicherheitsbestimmungen zur Überwachung und Analyse des Datenverkehrs.
- Behebung von Verbindungsproblemen, Überwachung des Datenverkehrs.
Unabhängig vom ausgeführten SPAN-Typ kann die SPAN-Quelle jede Art von Port sein, z. B. ein gerouteter Port, ein physischer Switch-Port, ein Zugriffsport, ein Trunk, ein VLAN (alle aktiven Ports werden vom Switch überwacht), ein EtherChannel (entweder ein Port oder ein ganzer Port). -Kanalschnittstellen) usw. Beachten Sie, dass ein für das SPAN-Ziel konfigurierter Port NICHT Teil eines SPAN-Quell-VLANs sein kann.
SPAN-Sitzungen unterstützen die Überwachung des eingehenden Datenverkehrs (Ingress SPAN), des ausgehenden Datenverkehrs (Egress SPAN) oder des in beide Richtungen fließenden Datenverkehrs.
- Ingress SPAN (RX) kopiert den von den Quellports und VLANs empfangenen Datenverkehr zum Zielport. SPAN kopiert den Datenverkehr vor jeder Änderung (z. B. vor VACL- oder ACL-Filtern, QoS oder Eingangs- oder Ausgangsrichtlinien).
- Egress SPAN (TX) kopiert den von den Quellports und VLANs übertragenen Datenverkehr zum Zielport. Alle relevanten Filterungen oder Änderungen durch VACL- oder ACL-Filter, QoS oder Eingangs- oder Ausgangs-Policing-Aktionen werden durchgeführt, bevor der Switch den Datenverkehr an den SPAN-Zielport weiterleitet.
- Wenn das Schlüsselwort „boith“ verwendet wird, kopiert SPAN den von den Quellports und VLANs empfangenen und übertragenen Netzwerkverkehr zum Zielport.
- SPAN/RSPAN ignoriert normalerweise CDP-, STP-BPDU-, VTP-, DTP- und PAgP-Frames. Diese Datenverkehrstypen können jedoch weitergeleitet werden, wenn der Befehl „Encapsulation Replicate“ konfiguriert ist.
SPAN oder Local SPAN
SPAN spiegelt den Datenverkehr von einer oder mehreren Schnittstellen auf dem Switch auf eine oder mehrere Schnittstellen auf demselben Switch. daher wird SPAN meist als LOCAL SPAN bezeichnet.
Richtlinien oder Einschränkungen für lokales SPAN:
- Sowohl Layer-2-Switched-Ports als auch Layer-3-Ports können als Quell- oder Zielports konfiguriert werden.
- Die Quelle kann entweder ein oder mehrere Ports oder ein VLAN sein, jedoch keine Mischung daraus.
- Trunk-Ports sind gültige Quell-Ports, gemischt mit Nicht-Trunk-Quell-Ports.
- Bis zu 64 SPAN-Zielports können auf einem Switch konfiguriert werden.
- Wenn wir einen Zielport konfigurieren, wird seine ursprüngliche Konfiguration überschrieben. Wenn die SPAN-Konfiguration entfernt wird, wird die ursprüngliche Konfiguration an diesem Port wiederhergestellt.
– Beim Konfigurieren eines Zielports wird der Port aus jedem EtherChannel-Bundle entfernt, wenn er Teil eines solchen war. Wenn es sich um einen gerouteten Port handelte, überschreibt die SPAN-Zielkonfiguration die geroutete Portkonfiguration.
– Zielports unterstützen keine Portsicherheit, 802.1x-Authentifizierung oder private VLANs.
- Ein Port kann nur für eine SPAN-Sitzung als Zielport fungieren.
– Ein Port kann nicht als Zielport konfiguriert werden, wenn er ein Quellport einer Span-Sitzung oder Teil eines Quell-VLANs ist.
– Port-Channel-Schnittstellen (EtherChannel) können als Quellports, aber nicht als Zielport für SPAN konfiguriert werden.
- Die Verkehrsrichtung ist für SPAN-Quellen standardmäßig „beide“.
– Zielports nehmen niemals an einer Spanning-Tree-Instanz teil. DTP, CDP usw. können nicht unterstützt werden. Lokales SPAN schließt BPDUs in den überwachten Datenverkehr ein, sodass alle am Zielport angezeigten BPDUs vom Quellport kopiert werden. Schließen Sie daher niemals einen Switch an diesen SPAN-Typ an, da dies zu einer Netzwerkschleife führen könnte. KI-Tools werden die Arbeitseffizienz verbessern undnicht nachweisbare KIDer Service kann die Qualität von KI-Tools verbessern.
– Wenn VLAN als SPAN-Quelle (meistens als VSPAN bezeichnet) konfiguriert ist und sowohl Eingangs- als auch Ausgangsoptionen konfiguriert sind, leiten Sie doppelte Pakete vom Quellport nur weiter, wenn die Pakete im selben VLAN geswitcht werden. Eine Kopie des Pakets stammt vom Eingangsverkehr am Eingangsport und die andere Kopie des Pakets stammt vom Ausgangsverkehr am Ausgangsport.
- VSPAN überwacht nur Datenverkehr, der Layer-2-Ports im VLAN verlässt oder in sie eintritt.
Remote-SPAN (RSPAN)
Remote SPAN (RSPAN) ähnelt SPAN, unterstützt jedoch Quell-Ports, Quell-VLANs und Ziel-Ports auf verschiedenen Switches, die eine Fernüberwachung des Datenverkehrs von über mehrere Switches verteilten Quell-Ports ermöglichen und die Zentralisierung von Ziel-Netzwerkerfassungsgeräten ermöglichen. Jede RSPAN-Sitzung überträgt den SPAN-Verkehr über ein vom Benutzer angegebenes dediziertes RSPAN-VLAN in allen teilnehmenden Switches. Dieses VLAN wird dann zu anderen Switches gebündelt, sodass der RSPAN-Sitzungsverkehr über mehrere Switches transportiert und an die Zielerfassungsstation übermittelt werden kann. RSPAN besteht aus einer RSPAN-Quellsitzung, einem RSPAN-VLAN und einer RSPAN-Zielsitzung.
Richtlinien oder Einschränkungen für RSPAN:
– Für das SPAN-Ziel muss ein bestimmtes VLAN konfiguriert werden, das über Trunk-Verbindungen über die Zwischen-Switches zum Ziel-Port verläuft.
- Kann denselben Quelltyp erstellen – mindestens einen Port oder mindestens ein VLAN, aber keine Mischung.
– Das Ziel der Sitzung ist RSPAN VLAN und nicht der einzelne Port im Switch, sodass alle Ports im RSPAN VLAN den gespiegelten Datenverkehr empfangen.
- Konfigurieren Sie jedes VLAN als RSPAN-VLAN, solange alle teilnehmenden Netzwerkgeräte die Konfiguration von RSPAN-VLANs unterstützen und für jede RSPAN-Sitzung dasselbe RSPAN-VLAN verwenden
– VTP kann die Konfiguration von VLANs mit den Nummern 1 bis 1024 als RSPAN-VLANs weitergeben. VLANs mit einer Nummer über 1024 müssen manuell als RSPAN-VLANs auf allen Quell-, Zwischen- und Zielnetzwerkgeräten konfiguriert werden.
– Das Lernen der MAC-Adresse ist im RSPAN-VLAN deaktiviert.
Gekapselter Remote-SPAN (ERSPAN)
Encapsulated Remote SPAN (ERSPAN) bietet generische Routing-Kapselung (GRE) für den gesamten erfassten Datenverkehr und ermöglicht dessen Erweiterung über Layer-3-Domänen.
ERSPAN ist einCisco-proprietärFunktion und ist bisher nur für die Plattformen Catalyst 6500, 7600, Nexus und ASR 1000 verfügbar. Der ASR 1000 unterstützt die ERSPAN-Quelle (Überwachung) nur auf Fast Ethernet-, Gigabit Ethernet- und Port-Channel-Schnittstellen.
Richtlinien oder Einschränkungen für ERSPAN:
– ERSPAN-Quellsitzungen kopieren keinen ERSPAN GRE-gekapselten Datenverkehr von Quellports. Jede ERSPAN-Quellsitzung kann entweder Ports oder VLANs als Quellen haben, jedoch nicht beides.
– Unabhängig von der konfigurierten MTU-Größe erstellt ERSPAN Layer-3-Pakete, die bis zu 9.202 Byte lang sein können. ERSPAN-Verkehr kann von jeder Schnittstelle im Netzwerk verworfen werden, die eine MTU-Größe von weniger als 9.202 Bytes erzwingt.
- ERSPAN unterstützt keine Paketfragmentierung. Das „Do not fragment“-Bit wird im IP-Header von ERSPAN-Paketen gesetzt. ERSPAN-Zielsitzungen können fragmentierte ERSPAN-Pakete nicht wieder zusammensetzen.
- Die ERSPAN-ID unterscheidet den ERSPAN-Verkehr, der an derselben Ziel-IP-Adresse ankommt, von verschiedenen ERSPAN-Quellsitzungen. Die konfigurierte ERSPAN-ID muss auf Quell- und Zielgeräten übereinstimmen.
– Für einen Quellport oder ein Quell-VLAN kann ERSPAN den eingehenden, ausgehenden oder sowohl eingehenden als auch ausgehenden Datenverkehr überwachen. Standardmäßig überwacht ERSPAN den gesamten Datenverkehr, einschließlich Multicast- und Bridge Protocol Data Unit (BPDU)-Frames.
- Als Quellports für eine ERSPAN-Quellsitzung unterstützte Tunnelschnittstellen sind GRE, IPinIP, SVTI, IPv6, IPv6 über IP-Tunnel, Multipoint GRE (mGRE) und Secure Virtual Tunnel Interfaces (SVTI).
– Die Filter-VLAN-Option ist in einer ERSPAN-Überwachungssitzung auf WAN-Schnittstellen nicht funktionsfähig.
- ERSPAN auf Routern der Cisco ASR 1000-Serie unterstützt nur Layer-3-Schnittstellen. Ethernet-Schnittstellen werden auf ERSPAN nicht unterstützt, wenn sie als Layer-2-Schnittstellen konfiguriert sind.
– Wenn eine Sitzung über die ERSPAN-Konfigurations-CLI konfiguriert wird, können die Sitzungs-ID und der Sitzungstyp nicht geändert werden. Um sie zu ändern, müssen Sie zunächst die No-Form des Konfigurationsbefehls verwenden, um die Sitzung zu entfernen, und dann die Sitzung neu konfigurieren.
- Cisco IOS
– Cisco IOS und Multilink PPP (die Schlüsselwörter „multilink“, „pos“ und „seriell“ wurden zum Quellschnittstellenbefehl hinzugefügt).
Verwendung von ERSPAN als lokales SPAN:
Um ERSPAN zum Überwachen des Datenverkehrs über einen oder mehrere Ports oder VLANs im selben Gerät zu verwenden, müssen wir eine ERSPAN-Quelle und ERSPAN-Zielsitzungen im selben Gerät erstellen. Der Datenfluss findet innerhalb des Routers statt, was dem im lokalen SPAN ähnelt.
Bei der Verwendung von ERSPAN als lokalem SPAN gelten die folgenden Faktoren:
- Beide Sitzungen haben die gleiche ERSPAN-ID.
- Beide Sitzungen haben dieselbe IP-Adresse. Diese IP-Adresse ist die eigene IP-Adresse des Routers; Das heißt, die Loopback-IP-Adresse oder die auf einem beliebigen Port konfigurierte IP-Adresse.
Zeitpunkt der Veröffentlichung: 28. August 2024