SPAN, RSPAN und ERSPAN sind Techniken, die in der Netzwerktechnik eingesetzt werden, um Datenverkehr zu Analysezwecken zu erfassen und zu überwachen. Hier ist ein kurzer Überblick über die einzelnen Techniken:
SPAN (Switched Port Analyzer)
Zweck: Wird verwendet, um Datenverkehr von bestimmten Ports oder VLANs auf einem Switch zur Überwachung auf einen anderen Port zu spiegeln.
Anwendungsfall: Ideal für die lokale Verkehrsanalyse auf einem einzelnen Switch. Der Datenverkehr wird auf einen bestimmten Port gespiegelt, wo ihn ein Netzwerkanalysator erfassen kann.
RSPAN (Remote SPAN)
Zweck: Erweitert SPAN-Funktionen über mehrere Switches in einem Netzwerk.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs von einem Switch zum anderen über eine Trunk-Verbindung. Nützlich für Szenarien, in denen sich das Überwachungsgerät an einem anderen Switch befindet.
ERSPAN (Encapsulated Remote SPAN)
Zweck: Kombiniert RSPAN mit GRE (Generic Routing Encapsulation), um den gespiegelten Datenverkehr zu kapseln.
Anwendungsfall: Ermöglicht die Überwachung des Datenverkehrs über geroutete Netzwerke. Dies ist nützlich in komplexen Netzwerkarchitekturen, in denen der Datenverkehr über verschiedene Segmente hinweg erfasst werden muss.
Switch Port Analyzer (SPAN) ist ein effizientes, leistungsstarkes System zur Verkehrsüberwachung. Es leitet oder spiegelt den Verkehr von einem Quellport oder VLAN zu einem Zielport. Dies wird auch als Sitzungsüberwachung bezeichnet. SPAN dient unter anderem zur Behebung von Verbindungsproblemen und zur Berechnung der Netzwerkauslastung und -leistung. Cisco-Produkte unterstützen drei SPAN-Typen …
a. SPAN oder lokaler SPAN.
b. Remote SPAN (RSPAN).
c. Gekapseltes Remote-SPAN (ERSPAN).
Zu wissen: "Mylinking™ Network Packet Broker mit SPAN-, RSPAN- und ERSPAN-Funktionen"
SPAN/Verkehrsspiegelung/Portspiegelung wird für viele Zwecke verwendet, unten sind einige aufgeführt.
- Implementierung von IDS/IPS im Promiscuous-Modus.
- Lösungen zur Aufzeichnung von VoIP-Anrufen.
- Aus Sicherheitsgründen müssen der Datenverkehr überwacht und analysiert werden.
- Behebung von Verbindungsproblemen, Überwachung des Datenverkehrs.
Unabhängig vom ausgeführten SPAN-Typ kann die SPAN-Quelle jeder beliebige Porttyp sein, d. h. ein gerouteter Port, ein physischer Switch-Port, ein Zugriffsport, ein Trunk, ein VLAN (alle aktiven Ports des Switches werden überwacht), ein EtherChannel (entweder ein Port oder ganze Port-Channel-Schnittstellen) usw. Beachten Sie, dass ein für das SPAN-Ziel konfigurierter Port NICHT Teil eines SPAN-Quell-VLAN sein KANN.
SPAN-Sitzungen unterstützen die Überwachung des eingehenden Datenverkehrs (Ingress SPAN), des ausgehenden Datenverkehrs (Egress SPAN) oder des in beide Richtungen fließenden Datenverkehrs.
- Ingress SPAN (RX) kopiert den von den Quellports und VLANs empfangenen Datenverkehr zum Zielport. SPAN kopiert den Datenverkehr vor jeder Änderung (z. B. vor jedem VACL- oder ACL-Filter, QoS oder Ingress- oder Egress-Policing).
- Egress SPAN (TX) kopiert den von den Quellports und VLANs übertragenen Datenverkehr zum Zielport. Alle relevanten Filterungen oder Änderungen durch VACL- oder ACL-Filter, QoS- oder Ingress- oder Egress-Policing-Maßnahmen werden durchgeführt, bevor der Switch den Datenverkehr an den SPAN-Zielport weiterleitet.
– Wenn das Schlüsselwort „beide“ verwendet wird, kopiert SPAN den von den Quellports und VLANs empfangenen und gesendeten Netzwerkverkehr an den Zielport.
SPAN/RSPAN ignoriert normalerweise CDP-, STP-BPDU-, VTP-, DTP- und PAgP-Frames. Diese Datenverkehrstypen können jedoch weitergeleitet werden, wenn der Befehl „Encapsulation Replicate“ konfiguriert ist.
SPAN oder Local SPAN
SPAN spiegelt den Datenverkehr von einer oder mehreren Schnittstellen auf dem Switch zu einer oder mehreren Schnittstellen auf demselben Switch. Daher wird SPAN meist als LOCAL SPAN bezeichnet.
Richtlinien oder Einschränkungen für lokales SPAN:
- Sowohl Layer-2-Switch-Ports als auch Layer-3-Ports können als Quell- oder Ziel-Ports konfiguriert werden.
- Die Quelle kann entweder ein oder mehrere Ports oder ein VLAN sein, jedoch keine Mischung davon.
- Trunk-Ports sind gültige Quell-Ports, gemischt mit Nicht-Trunk-Quell-Ports.
- Auf einem Switch können bis zu 64 SPAN-Zielports konfiguriert werden.
- Wenn wir einen Zielport konfigurieren, wird seine ursprüngliche Konfiguration überschrieben. Wenn die SPAN-Konfiguration entfernt wird, wird die ursprüngliche Konfiguration auf diesem Port wiederhergestellt.
- Beim Konfigurieren eines Zielports wird dieser aus jedem EtherChannel-Bündel entfernt, sofern er Teil eines solchen war. Handelte es sich um einen gerouteten Port, überschreibt die SPAN-Zielkonfiguration die Konfiguration des gerouteten Ports.
– Zielports unterstützen keine Portsicherheit, 802.1x-Authentifizierung oder private VLANs.
– Ein Port kann nur für eine SPAN-Sitzung als Zielport fungieren.
– Ein Port kann nicht als Zielport konfiguriert werden, wenn es sich um einen Quellport einer Span-Sitzung oder einen Teil eines Quell-VLAN handelt.
- Port-Channel-Schnittstellen (EtherChannel) können als Quellports, aber nicht als Zielports für SPAN konfiguriert werden.
- Die Verkehrsrichtung ist für SPAN-Quellen standardmäßig „beide“.
Zielports nehmen niemals an einer Spanning-Tree-Instanz teil. DTP, CDP usw. werden nicht unterstützt. Lokales SPAN schließt BPDUs in den überwachten Verkehr ein, sodass alle am Zielport erkannten BPDUs vom Quellport kopiert werden. Schließen Sie daher niemals einen Switch an diesen SPAN-Typ an, da dies zu einer Netzwerkschleife führen könnte. KI-Tools verbessern die Arbeitseffizienz undnicht nachweisbare KIService kann die Qualität von KI-Tools verbessern.
Wenn das VLAN als SPAN-Quelle (meist VSPAN genannt) mit konfigurierten Eingangs- und Ausgangsoptionen konfiguriert ist, werden doppelte Pakete vom Quellport nur dann weitergeleitet, wenn die Pakete im selben VLAN geswitcht werden. Eine Kopie des Pakets stammt vom Eingangsverkehr am Eingangsport, die andere vom Ausgangsverkehr am Ausgangsport.
- VSPAN überwacht nur den Datenverkehr, der Layer-2-Ports im VLAN verlässt oder betritt.
Remote SPAN (RSPAN)
Remote SPAN (RSPAN) ähnelt SPAN, unterstützt jedoch Quellports, Quell-VLANs und Zielports auf verschiedenen Switches. Dies ermöglicht die Fernüberwachung des Datenverkehrs von Quellports, die über mehrere Switches verteilt sind, und ermöglicht die zentrale Zielerfassung von Netzwerkgeräten. Jede RSPAN-Sitzung überträgt den SPAN-Verkehr über ein benutzerdefiniertes dediziertes RSPAN-VLAN in allen beteiligten Switches. Dieses VLAN wird dann an andere Switches weitergeleitet, sodass der RSPAN-Sitzungsverkehr über mehrere Switches transportiert und an die Zielerfassungsstation übermittelt werden kann. RSPAN besteht aus einer RSPAN-Quellsitzung, einem RSPAN-VLAN und einer RSPAN-Zielsitzung.
Richtlinien oder Einschränkungen für RSPAN:
– Für das SPAN-Ziel muss ein bestimmtes VLAN konfiguriert werden, das über Trunk-Links über die Zwischen-Switches zum Zielport verläuft.
- Kann denselben Quelltyp erstellen – mindestens einen Port oder mindestens ein VLAN, aber keine Mischung.
– Das Ziel der Sitzung ist RSPAN VLAN und nicht der einzelne Port im Switch, sodass alle Ports im RSPAN VLAN den gespiegelten Datenverkehr empfangen.
- Konfigurieren Sie jedes VLAN als RSPAN-VLAN, solange alle teilnehmenden Netzwerkgeräte die Konfiguration von RSPAN-VLANs unterstützen, und verwenden Sie für jede RSPAN-Sitzung dasselbe RSPAN-VLAN
- VTP kann die Konfiguration von VLANs mit den Nummern 1 bis 1024 als RSPAN-VLANs verbreiten, VLANs mit Nummern über 1024 müssen auf allen Quell-, Zwischen- und Zielnetzwerkgeräten manuell als RSPAN-VLANs konfiguriert werden.
- Das Lernen von MAC-Adressen ist im RSPAN-VLAN deaktiviert.
Gekapseltes Remote-SPAN (ERSPAN)
Encapsulated Remote SPAN (ERSPAN) bietet eine generische Routing-Kapselung (GRE) für den gesamten erfassten Datenverkehr und ermöglicht dessen Ausweitung auf Layer-3-Domänen.
ERSPAN ist einCisco-proprietärFunktion und ist bisher nur für Catalyst 6500-, 7600-, Nexus- und ASR 1000-Plattformen verfügbar. Der ASR 1000 unterstützt ERSPAN-Quelle (Überwachung) nur auf Fast Ethernet-, Gigabit Ethernet- und Port-Channel-Schnittstellen.
Richtlinien oder Einschränkungen für ERSPAN:
ERSPAN-Quellsitzungen kopieren keinen ERSPAN GRE-gekapselten Datenverkehr von Quellports. Jede ERSPAN-Quellsitzung kann entweder Ports oder VLANs als Quelle haben, aber nicht beides.
Unabhängig von der konfigurierten MTU-Größe erstellt ERSPAN Layer-3-Pakete mit einer Länge von bis zu 9.202 Byte. ERSPAN-Verkehr kann von jeder Schnittstelle im Netzwerk, die eine MTU-Größe kleiner als 9.202 Byte erzwingt, verworfen werden.
ERSPAN unterstützt keine Paketfragmentierung. Das Bit „Nicht fragmentieren“ ist im IP-Header von ERSPAN-Paketen gesetzt. ERSPAN-Zielsitzungen können fragmentierte ERSPAN-Pakete nicht wieder zusammensetzen.
- Die ERSPAN-ID unterscheidet den ERSPAN-Verkehr, der an derselben Ziel-IP-Adresse ankommt, aus verschiedenen ERSPAN-Quellsitzungen. Die konfigurierte ERSPAN-ID muss auf Quell- und Zielgeräten übereinstimmen.
Für einen Quellport oder ein Quell-VLAN kann ERSPAN den eingehenden, ausgehenden oder sowohl eingehenden als auch ausgehenden Datenverkehr überwachen. Standardmäßig überwacht ERSPAN den gesamten Datenverkehr, einschließlich Multicast- und BPDU-Frames (Bridge Protocol Data Unit).
- Als Quellports für eine ERSPAN-Quellsitzung unterstützte Tunnelschnittstellen sind GRE, IPinIP, SVTI, IPv6, IPv6 über IP-Tunnel, Multipoint GRE (mGRE) und Secure Virtual Tunnel Interfaces (SVTI).
– Die Filter-VLAN-Option funktioniert in einer ERSPAN-Überwachungssitzung auf WAN-Schnittstellen nicht.
- ERSPAN auf Routern der Cisco ASR 1000-Serie unterstützt nur Layer-3-Schnittstellen. Ethernet-Schnittstellen werden auf ERSPAN nicht unterstützt, wenn sie als Layer-2-Schnittstellen konfiguriert sind.
Wenn eine Sitzung über die ERSPAN-Konfigurations-CLI konfiguriert wird, können die Sitzungs-ID und der Sitzungstyp nicht geändert werden. Um sie zu ändern, müssen Sie zunächst die Sitzung mit der No-Form des Konfigurationsbefehls entfernen und anschließend neu konfigurieren.
- Cisco IOS XE Release 3.4S: - Die Überwachung nicht durch IPsec geschützter Tunnelpakete wird auf IPv6- und IPv6-über-IP-Tunnelschnittstellen nur für ERSPAN-Quellsitzungen unterstützt, nicht für ERSPAN-Zielsitzungen.
– Cisco IOS XE Release 3.5S, Unterstützung für die folgenden Arten von WAN-Schnittstellen als Quellports für eine Quellsitzung wurde hinzugefügt: Seriell (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) und Multilink PPP (die Schlüsselwörter „Multilink“, „pos“ und „serial“ wurden dem Quellschnittstellenbefehl hinzugefügt).
Verwenden von ERSPAN als lokales SPAN:
Um ERSPAN zur Überwachung des Datenverkehrs über einen oder mehrere Ports oder VLANs im selben Gerät zu verwenden, müssen wir eine ERSPAN-Quell- und eine ERSPAN-Zielsitzung im selben Gerät erstellen. Der Datenfluss findet innerhalb des Routers statt, ähnlich wie beim lokalen SPAN.
Bei der Verwendung von ERSPAN als lokales SPAN sind die folgenden Faktoren relevant:
- Beide Sitzungen haben dieselbe ERSPAN-ID.
- Beide Sitzungen haben dieselbe IP-Adresse. Diese IP-Adresse ist die eigene IP-Adresse des Routers, d. h. die Loopback-IP-Adresse oder die an einem beliebigen Port konfigurierte IP-Adresse.
| (config)# Sitzung überwachen 10 Typ erspan-source |
| (config-mon-erspan-src)# Quellschnittstelle Gig0/0/0 |
| (config-mon-erspan-src)# Ziel |
| (config-mon-erspan-src-dst)# IP-Adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# Ursprungs-IP-Adresse 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Veröffentlichungszeit: 28. August 2024
