English

Komprenante SPAN, RSPAN kaj ERSPAN: Teknikoj por Reta Trafika Monitorado

SPAN, RSPAN kaj ERSPANestas teknikoj uzitaj en retigado por kapti kaj monitori trafikon por analizo. Jen mallonga superrigardo de ĉiu:

SPAN (Ŝanĝita Havena Analizilo)

Celo: Uzita por speguli trafikon de specifaj havenoj aŭ VLANoj sur ŝaltilo al alia haveno por monitorado.

Uzkazo: Ideala por loka trafika analizo sur ununura ŝaltilo. Trafiko estas spegulita al elektita haveno kie retanalizilo povas kapti ĝin.

RSPAN (Fora SPAN)

Celo: Etendas SPAN-kapablojn tra pluraj ŝaltiloj en reto.

Uzkazo: Permesas la monitoradon de trafiko de unu ŝaltilo al alia per trunka ligo. Utila por scenaroj kie la monitora aparato situas sur malsama ŝaltilo.

ERSPAN (Enkapsuligita Fora SPAN)

Celo: Kombinas RSPAN kun GRE (Generic Routing Encapsulation) por enkapsuligi la spegulitan trafikon.

Uzkazo: Ebligas monitoradon de trafiko tra envojigitaj retoj. Ĉi tio estas utila en kompleksaj retaj arkitekturoj kie trafiko devas esti kaptita super malsamaj segmentoj.

Ŝaltila analizilo (SPAN)estas efika, alt-efikeca trafika monitoradsistemo. Ĝi direktas aŭ spegulas trafikon de fonta haveno aŭ VLAN al celhaveno. Ĉi tio foje estas referita kiel sesiomonitorado. SPAN estas uzata por solvi problemojn pri konektebleco kaj kalkuli retan utiligon kaj rendimenton, inter multaj aliaj. Estas tri specoj de SPAN subtenataj sur Cisco-produktoj ...

a. SPAN aŭ loka SPAN.

b. Fora SPAN (RSPAN).

c. Enkapsuligita fora SPAN (ERSPAN).

Por scii: "Mylinking™ Network Packet Broker kun SPAN, RSPAN kaj ERSPAN Trajtoj"

SPAN, RSPAN, ERSPAN

SPAN / trafiko spegulado / haveno spegulado estas uzata por multaj celoj, sube inkluzivas iujn.

- Efektivigo de IDS/IPS en malparta reĝimo.

- Solvoj pri registrado de vokoj de VOIP.

- Sekurecaj plenumaj kialoj por kontroli kaj analizi trafikon.

- Solvado de problemoj pri konekto, monitorado de trafiko.

Sendepende de la SPAN-tipo funkcianta, SPAN-fonto povas esti ajna speco de haveno, t.e. direktita haveno, fizika ŝaltila haveno, alirhaveno, trunko, VLAN (ĉiuj aktivaj havenoj estas monitoritaj de la ŝaltilo), EtherChannel (aŭ haveno aŭ tuta haveno). -channel interfacoj) ktp. Notu ke haveno agordita por SPAN-celloko NE POVAS esti parto de SPAN-fonta VLAN.

SPAN-sesioj subtenas la monitoradon de enirtrafiko (ingress SPAN), elirtrafiko (egress SPAN), aŭ trafiko fluanta en ambaŭ direktoj.

- Ingress SPAN (RX) kopias trafikon ricevitan de la fontaj havenoj kaj VLANoj al la celhaveno. SPAN kopias la trafikon antaŭ iu ajn modifo (ekzemple antaŭ iu ajn VACL aŭ ACL-filtrilo, QoS aŭ eniro aŭ elirpolico).

- Eliro SPAN (TX) kopias trafikon transdonitan de la fontohavenoj kaj VLANoj al la celhaveno. Ĉiuj signifaj filtrado aŭ modifo per VACL aŭ ACL-filtrilo, QoS aŭ enir- aŭ elirpolicaj agoj estas prenitaj antaŭ ol la ŝaltilo plusendas trafikon al SPAN-celloka haveno.

- Kiam la ambaŭ ŝlosilvortoj estas uzataj, SPAN kopias la retan trafikon ricevitan kaj transdonitan de la fontaj havenoj kaj VLANoj al la celhaveno.

- SPAN/RSPAN kutime ignoras CDP, STP BPDU, VTP, DTP kaj PAgP kadrojn. Tamen ĉi tiuj trafikspecoj povas esti plusenditaj se la enkapsuliga kopia komando estas agordita.

SPAN aŭ Loka SPAN

SPAN spegulas trafikon de unu aŭ pluraj interfaco sur la ŝaltilo al unu aŭ pluraj interfacoj sur la sama ŝaltilo; tial SPAN estas plejparte referita kiel LOKA SPAN.

Gvidlinioj aŭ limigoj al loka SPAN:

- Ambaŭ Tavolo 2 interŝanĝitaj havenoj kaj Tavolo 3-havenoj povas esti agorditaj kiel fontaj aŭ celhavenoj.

- La fonto povas esti aŭ unu aŭ pluraj havenoj aŭ VLAN, sed ne miksaĵo de ĉi tiuj.

- Trunk-havenoj estas validaj fonthavenoj miksitaj kun ne-trunk-fontaj pordoj.

- Ĝis 64 SPAN-cellokaj havenoj povas esti agorditaj per ŝaltilo.

- Kiam ni agordas celhavenon, ĝia originala agordo estas anstataŭita. Se la SPAN-agordo estas forigita, la origina agordo sur tiu haveno estas restarigita.

- Kiam agordas celhavenon, la haveno estas forigita de iu ajn EtherChannel-fasko se ĝi estus parto de unu. Se ĝi estus sendita haveno, la SPAN-celloka agordo superregas la senditan havenon.

- Celhavenoj ne subtenas havensekurecon, 802.1x-aŭtentikigon aŭ privatajn VLANojn.

- Haveno povas funkcii kiel la celhaveno por nur unu SPAN-sesio.

- Haveno ne povas esti agordita kiel celhaveno se ĝi estas fonta haveno de span sesio aŭ parto de fonta VLAN.

- Portkanalaj interfacoj (EtherChannel) povas esti agorditaj kiel fonthavenoj sed ne celhaveno por SPAN.

- Trafikdirekto estas "ambaŭ" defaŭlte por SPAN-fontoj.

- Celhavenoj neniam partoprenas en spanning-tree kazo. Ne povas subteni DTP, CDP ktp. Loka SPAN inkluzivas BPDU-ojn en la monitorita trafiko, do ĉiuj BPDU-oj viditaj sur la celhaveno estas kopiitaj de la fonta haveno. Tial neniam konektu ŝaltilon al ĉi tiu tipo de SPAN ĉar ĝi povus kaŭzi retan buklon.

- Kiam VLAN estas agordita kiel SPAN-fonto (plejparte nomata VSPAN) kun kaj enir- kaj eliropcioj agordita, plusendu duplikatajn pakaĵetojn de la fonta haveno nur se la pakaĵetoj estas ŝanĝitaj en la sama VLAN. Unu kopio de la pakaĵeto estas de la enirtrafiko sur la enirhaveno, kaj la alia kopio de la pako estas de la elirtrafiko sur la elirhaveno.

- VSPAN monitoras nur trafikon kiu forlasas aŭ eniras Tavolon 2-havenojn en la VLAN.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN kaj ERSPAN estas teknikoj uzataj en interkonektado por kapti kaj monitori trafikon por analizo. Jen mallonga superrigardo de ĉiu:

SPAN (Ŝanĝita Havena Analizilo)

  • Celo: Uzita por speguli trafikon de specifaj havenoj aŭ VLANoj sur ŝaltilo al alia haveno por monitorado.
  • Uzokazo: Ideala por loka trafika analizo sur ununura ŝaltilo. Trafiko estas spegulita al elektita haveno kie retanalizilo povas kapti ĝin.

RSPAN (Fora SPAN)

  • Celo: Etendas SPAN-kapablojn tra pluraj ŝaltiloj en reto.
  • Uzokazo: Permesas la monitoradon de trafiko de unu ŝaltilo al alia per trunka ligo. Utila por scenaroj kie la monitora aparato situas sur malsama ŝaltilo.

ERSPAN (Enkapsuligita Fora SPAN)

  • Celo: Kombinas RSPAN kun GRE (Generic Routing Encapsulation) por enkapsuligi la spegulitan trafikon.
  • Uzokazo: Ebligas la monitoradon de trafiko tra eniritaj retoj. Ĉi tio estas utila en kompleksaj retaj arkitekturoj kie trafiko devas esti kaptita super malsamaj segmentoj.

Fora SPAN (RSPAN)

Remote SPAN (RSPAN) similas al SPAN, sed ĝi subtenas fontohavenojn, fonto-VLANojn, kaj celhavenojn sur malsamaj ŝaltiloj, kiuj disponigas malproksiman monitoradtrafikon de fonthavenoj distribuitaj tra multoblaj ŝaltiloj kaj permesas cellokon centraligi retajn kaptaparatojn. Ĉiu RSPAN-sesio portas la SPAN-trafikon super uzant-specifita dediĉita RSPAN VLAN en ĉiuj partoprenantaj ŝaltiloj. Ĉi tiu VLAN tiam estas aligita al aliaj ŝaltiloj, permesante al la RSPAN-sesiotrafiko esti transportita trans multoblaj ŝaltiloj kaj liverita al celloka kapta stacio. RSPAN konsistas el RSPAN fontsesio, RSPAN VLAN, kaj RSPAN-celsesio.

Gvidlinioj aŭ restriktoj al RSPAN:

- Specifa VLAN devas esti agordita por SPAN-celloko, kiu trairos la mezajn ŝaltilojn per trunkligiloj al celhaveno.

- Povas krei saman fontan tipon - almenaŭ unu havenon aŭ almenaŭ unu VLAN sed ne povas esti la miksaĵo.

- La celo por la sesio estas RSPAN VLAN prefere ol la ununura haveno en ŝaltilo, do ĉiuj havenoj en RSPAN VLAN ricevos la spegulitan trafikon.

- Agordu ajnan VLAN kiel RSPAN-VLAN kondiĉe ke ĉiuj partoprenantaj retaj aparatoj subtenas agordon de RSPAN-VLAN-oj, kaj uzu la saman RSPAN-VLAN por ĉiu RSPAN-sesio.

- VTP povas disvastigi agordon de VLAN-oj numeritaj 1 ĝis 1024 kiel RSPAN-VLAN-oj, devas mane agordi VLAN-ojn numeritajn pli alte ol 1024 kiel RSPAN-VLAN-ojn sur ĉiuj fontaj, mezaj kaj cel-retaj aparatoj.

- MAC-adreslernado estas malŝaltita en la RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Enkapsuligita fora SPAN (ERSPAN)

Enkapsuligita fora SPAN (ERSPAN) alportas senmarkan enkapsuligon (GRE) por ĉiu kaptita trafiko kaj permesas ĝin esti etendita trans Tavolo 3-domajnoj.

ERSPAN estas aCisco proprietafunkcio kaj disponeblas nur por la platformoj Catalyst 6500, 7600, Nexus kaj ASR 1000 ĝis nun. La ASR 1000 subtenas ERSPAN-fonton (monitoradon) nur sur Fast Ethernet, Gigabit Ethernet, kaj havenkanalaj interfacoj.

Gvidlinioj aŭ limigoj al ERSPAN:

- ERSPAN fontsesioj ne kopias ERSPAN-GRE-enkapsuligitan trafikon de fonthavenoj. Ĉiu fontsesio de ERSPAN povas havi aŭ havenojn aŭ VLANojn kiel fontoj, sed ne ambaŭ.

- Sendepende de iu ajn agordita MTU-grandeco, ERSPAN kreas Tavolon 3-pakaĵojn, kiuj povas esti tiel longaj kiel 9,202 bajtoj. ERSPAN-trafiko povus esti forigita de iu ajn interfaco en la reto, kiu devigas MTU-grandecon pli malgrandan ol 9,202 bajtoj.

- ERSPAN ne subtenas pakaĵetfragmentadon. La bito "ne fragmenti" estas metita en la IP-kapo de ERSPAN-pakoj. ERSPAN-celsesioj ne povas rekunmeti fragmentajn ERSPAN-pakaĵojn.

- La ERSPAN ID diferencigas la ERSPAN-trafikon alvenantan al la sama celo IP-adreso de diversaj malsamaj fontsesioj de ERSPAN; agordita ERSPAN ID devas kongrui sur fonta kaj cel-aparatoj.

- Por fonta haveno aŭ fonto VLAN, la ERSPAN povas monitori la eniron, eliron aŭ ambaŭ enir- kaj elirtrafikon. Defaŭlte, ERSPAN monitoras la tutan trafikon, inkluzive de kadroj multirolantaro kaj Bridge Protocol Data Unit (BPDU).

- Tunela interfaco subtenata kiel fonthavenoj por ERSPAN fontsesio estas GRE, IPinIP, SVTI, IPv6, IPv6 super IP-tunelo, Multipoint GRE (mGRE) kaj Secure Virtual Tunnel Interfaces (SVTI).

- La filtrila VLAN-opcio ne funkcias en ERSPAN-monitora sesio sur WAN-interfacoj.

- ERSPAN sur Cisco ASR 1000 Series Routers subtenas nur Tavolo 3-interfacoj. Eterretaj interfacoj ne estas subtenataj sur ERSPAN kiam agordite kiel Tavolo 2-interfacoj.

- Kiam sesio estas agordita per la ERSPAN-agorda CLI, la seanca ID kaj la seanca tipo ne povas esti ŝanĝitaj. Por ŝanĝi ilin, vi unue devas uzi la neniun formon de la agorda komando por forigi la sesion kaj poste reagordi la seancon.

- Cisco IOS XE Release 3.4S : - Monitorado de ne-IPsec-protektitaj tunelpakaĵoj estas subtenata sur IPv6 kaj IPv6 super IP-tuninterfacoj nur al ERSPAN-fonsesioj, ne al ERSPAN-cellokaj sesioj.

- Cisco IOS XE Release 3.5S, subteno estis aldonita por la sekvaj specoj de WAN-interfacoj kiel fonthavenoj por fontsesio: Seria (T1/E1, T3/E3, DS0), Pako super SONET (POS) (OC3, OC12) kaj Multilink PPP (multilink, pos, kaj seriaj ŝlosilvortoj estis aldonitaj al la fontinterfaco-komando).

SPAN, RSPAN, ERSPAN 3

Uzante ERSPAN kiel Lokan SPAN:

Por uzi ERSPAN por monitori trafikon tra unu aŭ pluraj havenoj aŭ VLAN-oj en sama aparato, ni devas krei ERSPAN-fonton kaj ERSPAN-celsesiojn en sama aparato, datumfluo okazas ene de la enkursigilo, kiu estas simila al tiu en loka SPAN.

La sekvaj faktoroj estas aplikeblaj dum uzado de ERSPAN kiel loka SPAN:

- Ambaŭ sesioj havas la saman ERSPAN ID.

- Ambaŭ sesioj havas la saman IP-adreson. Ĉi tiu IP-adreso estas la propra IP-adreso de la enkursigilo; tio estas, la loopback IP-adreso aŭ la IP-adreso agordita sur iu ajn haveno.

(config)# monitor session 10 type erspan-source
(config-mon-erspan-src)# fonta interfaco Gig0/0/0
(config-mon-erspan-src)# celloko
(config-mon-erspan-src-dst)# ip-adreso 10.10.10.1
(config-mon-erspan-src-dst)# origin ip-adreso 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Afiŝtempo: Aŭg-28-2024
Premu enigi por serĉi aŭ ESC por fermi