SPAN, RSPAN, kaj ERSPAN estas teknikoj uzataj en retigado por kapti kaj monitori trafikon por analizo. Jen mallonga superrigardo de ĉiu:
SPAN (Ŝaltita Havena Analizilo)
Celo: Uzata por speguli trafikon de specifaj havenoj aŭ VLAN-oj sur ŝaltilo al alia haveno por monitorado.
Uzkazo: Ideala por loka trafikanalizo sur ununura ŝaltilo. Trafiko estas spegulita al difinita haveno, kie retanalizilo povas kapti ĝin.
RSPAN (Malproksima SPAN)
Celo: Etendas SPAN-kapablojn trans plurajn ŝaltilojn en reto.
Uzkazo: Permesas la monitoradon de trafiko de unu ŝaltilo al alia per trunka ligo. Utila por scenaroj kie la monitora aparato situas sur malsama ŝaltilo.
ERSPAN (Enkapsuligita Malproksima SPAN)
Celo: Kombinas RSPAN kun GRE (Ĝenerala Vojiga Enkapsuligo) por enkapsuligi la spegulitan trafikon.
Uzkazo: Ebligas la monitoradon de trafiko tra direktitaj retoj. Ĉi tio utilas en kompleksaj retarkitekturoj, kie trafiko devas esti kaptita tra malsamaj segmentoj.
Ŝaltila Port-Analizilo (SPAN) estas efika, alt-efikeca trafik-monitorada sistemo. Ĝi direktas aŭ spegulas trafikon de fonta haveno aŭ VLAN al cela haveno. Ĉi tio foje nomiĝas seanca monitorado. SPAN estas uzata por solvi problemojn pri konektebleco kaj kalkuli ret-utiligon kaj rendimenton, inter multaj aliaj. Ekzistas tri tipoj de SPAN-oj subtenataj de Cisco-produktoj ...
a. SPAN aŭ loka SPAN.
b. Malproksima SPAN (RSPAN).
c. Enkapsuligita malproksima SPAN (ERSPAN).
Scii: "Mylinking™ Reta Pakaĵa Peranto kun SPAN, RSPAN kaj ERSPAN Trajtoj"
SPAN / trafikspegulado / havenspegulado estas uzata por multaj celoj, sube estas kelkaj.
- Efektivigante IDS/IPS en multpartnera reĝimo.
- VOIP-alvokaj registrado-solvoj.
- Sekureckonformecaj kialoj por monitori kaj analizi trafikon.
- Solvado de konektaj problemoj, monitorado de trafiko.
Sendepende de la SPAN-tipo funkcianta, la SPAN-fonto povas esti ajna tipo de pordo, ekzemple sendita pordo, fizika ŝaltila pordo, alira pordo, trunko, VLAN (ĉiuj aktivaj pordoj estas monitorataj de la ŝaltilo), EtherChannel (aŭ pordo aŭ tutaj pordo-kanalaj interfacoj) ktp. Notu, ke pordo agordita por SPAN-celloko NE POVAS esti parto de SPAN-fonta VLAN.
SPAN-sesioj subtenas la monitoradon de enira trafiko (enira SPAN), elira trafiko (elira SPAN), aŭ trafiko fluanta en ambaŭ direktoj.
- Ingress SPAN (RX) kopias trafikon ricevitan de la fontaj pordoj kaj VLAN-oj al la cela pordo. SPAN kopias la trafikon antaŭ iu ajn modifo (ekzemple antaŭ iu ajn VACL- aŭ ACL-filtrilo, QoS aŭ enira aŭ elira patrolado).
- Elira SPAN (TX) kopias trafikon transdonitan de la fontaj pordoj kaj VLAN-oj al la cela pordo. Ĉiuj koncernaj filtradoj aŭ modifoj per VACL aŭ ACL-filtrilo, QoS aŭ eniraj aŭ eliraj patrolaj agoj estas faritaj antaŭ ol la ŝaltilo plusendas trafikon al la SPAN-cela pordo.
- Kiam la ŝlosilvorto "both" estas uzata, SPAN kopias la retan trafikon ricevitan kaj senditan de la fontaj pordoj kaj VLAN-oj al la cela pordo.
- SPAN/RSPAN kutime ignoras kadrojn CDP, STP BPDU, VTP, DTP kaj PAgP. Tamen ĉi tiuj trafiktipoj povas esti plusenditaj se la komando enkapsuligo replikado estas agordita.
SPAN aŭ Loka SPAN
SPAN spegulas trafikon de unu aŭ pluraj interfacoj sur la ŝaltilo al unu aŭ pluraj interfacoj sur la sama ŝaltilo; tial SPAN estas plejparte nomata LOKA SPAN.
Gvidlinioj aŭ limigoj al loka SPAN:
- Kaj Tavolo-2 ŝaltitaj pordoj kaj Tavolo-3 pordoj povas esti agorditaj kiel fontaj aŭ celaj pordoj.
- La fonto povas esti aŭ unu aŭ pluraj pordoj aŭ VLAN, sed ne miksaĵo de ĉi tiuj.
- Trunkaj pordoj estas validaj fontaj pordoj miksitaj kun ne-trunkaj fontaj pordoj.
- Ĝis 64 SPAN-cellokaj pordoj povas esti agorditaj sur ŝaltilo.
- Kiam ni agordas celan pordon, ĝia originala agordo estas anstataŭigita. Se la SPAN-agordo estas forigita, la originala agordo sur tiu pordo estas restarigita.
- Kiam oni agordas celan pordon, la pordo estas forigita de iu ajn EtherChannel-pakaĵo se ĝi estus parto de unu. Se ĝi estus sendita pordo, la SPAN-cela agordo superregas la senditan pordan agordon.
- Celpordoj ne subtenas pordan sekurecon, 802.1x aŭtentigon, aŭ privatajn VLAN-ojn.
- Haveno povas funkcii kiel la cela haveno por nur unu SPAN-sesio.
- Pordo ne povas esti agordita kiel cela pordo se ĝi estas fonta pordo de intersesio aŭ parto de fonta VLAN.
- Portkanalaj interfacoj (EtherChannel) povas esti agorditaj kiel fontaj pordoj sed ne kiel cela pordo por SPAN.
- Trafika direkto estas "ambaŭ" defaŭlte por SPAN-fontoj.
- Celhavenoj neniam partoprenas en spanning-tree-instanco. Ne povas subteni DTP, CDP ktp. Loka SPAN inkluzivas BPDU-ojn en la monitorita trafiko, do ĉiuj BPDU-oj viditaj sur la celhaveno estas kopiitaj de la fonthaveno. Tial neniam konektu ŝaltilon al ĉi tiu tipo de SPAN, ĉar ĝi povus kaŭzi retbuklon. AI-iloj plibonigos laborefikecon, kajnerimarkebla AIservo povas plibonigi la kvaliton de AI-iloj.
- Kiam VLAN estas agordita kiel SPAN-fonto (plejparte nomata VSPAN) kun ambaŭ eniraj kaj eliraj opcioj agorditaj, plusendu duplikatajn pakaĵetojn de la fonta pordo nur se la pakaĵetoj estas ŝaltitaj en la sama VLAN. Unu kopio de la pakaĵeto estas de la enira trafiko sur la enira pordo, kaj la alia kopio de la pakaĵeto estas de la elira trafiko sur la elira pordo.
- VSPAN monitoras nur trafikon, kiu eliras aŭ eniras Tavolo-2-havenojn en la VLAN.
Malproksima SPAN (RSPAN)
Remote SPAN (RSPAN) similas al SPAN, sed ĝi subtenas fontajn pordojn, fontajn VLAN-ojn, kaj celajn pordojn sur malsamaj ŝaltiloj, kiuj provizas malproksiman monitoradan trafikon de fontaj pordoj distribuitaj tra pluraj ŝaltiloj kaj permesas al celloko centralizi retajn kaptajn aparatojn. Ĉiu RSPAN-sesio portas la SPAN-trafikon tra uzanto-specifa dediĉita RSPAN VLAN en ĉiuj partoprenantaj ŝaltiloj. Ĉi tiu VLAN estas poste trunkita al aliaj ŝaltiloj, permesante ke la RSPAN-sesia trafiko estu transportita tra pluraj ŝaltiloj kaj liverita al cela kapta stacio. RSPAN konsistas el RSPAN-fonta sesio, RSPAN VLAN, kaj RSPAN-cela sesio.
Gvidlinioj aŭ limigoj al RSPAN:
- Specifa VLAN devas esti agordita por SPAN-celloko, kiu transiros la interajn ŝaltilojn per trunkaj ligiloj al la cela haveno.
- Povas krei saman fonttipon - almenaŭ unu havenon aŭ almenaŭ unu VLAN-on, sed ne povas esti miksaĵo.
- La celloko por la seanco estas RSPAN VLAN anstataŭ la ununura haveno en la ŝaltilo, do ĉiuj havenoj en RSPAN VLAN ricevos la spegulitan trafikon.
- Agordu ajnan VLAN kiel RSPAN VLAN kondiĉe ke ĉiuj partoprenantaj retaj aparatoj subtenas agordon de RSPAN VLAN-oj, kaj uzu la saman RSPAN VLAN por ĉiu RSPAN-sesio
- VTP povas disvastigi agordon de VLAN-oj numeritaj de 1 ĝis 1024 kiel RSPAN-VLAN-ojn, devas permane agordi VLAN-ojn numeritajn pli alte ol 1024 kiel RSPAN-VLAN-ojn sur ĉiuj fontaj, mezaj kaj celaj retaj aparatoj.
- Lernado de MAC-adreso estas malŝaltita en la RSPAN VLAN.
Enkapsuligita malproksima SPAN (ERSPAN)
Enkapsuligita malproksima SPAN (ERSPAN) alportas ĝeneralan vojigan enkapsuligon (GRE) por ĉiu kaptita trafiko kaj permesas ĝian etenditan trans Tavolo 3 domajnojn.
ERSPAN estasCisco-proprietafunkcio kaj estas havebla nur por platformoj Catalyst 6500, 7600, Nexus, kaj ASR 1000 ĝis nun. La ASR 1000 subtenas ERSPAN-fonton (monitoradon) nur sur Fast Ethernet, Gigabit Ethernet, kaj haven-kanalaj interfacoj.
Gvidlinioj aŭ limigoj al ERSPAN:
- ERSPAN-fontaj sesioj ne kopias ERSPAN GRE-enkapsuligitan trafikon de fontaj pordoj. Ĉiu ERSPAN-fonta sesio povas havi aŭ pordojn aŭ VLAN-ojn kiel fontojn, sed ne ambaŭ.
- Sendepende de iu ajn agordita MTU-grandeco, ERSPAN kreas Tavolo-3-pakaĵetojn, kiuj povas esti ĝis 9 202 bajtoj longaj. ERSPAN-trafiko povus esti forĵetita de iu ajn interfaco en la reto, kiu devigas MTU-grandecon pli malgrandan ol 9 202 bajtoj.
- ERSPAN ne subtenas pakaĵfragmentiĝon. La bito "ne fragmentiĝu" estas agordita en la IP-kaplinio de ERSPAN-pakaĵoj. ERSPAN-cellokaj sesioj ne povas rekunmeti fragmentitajn ERSPAN-pakaĵojn.
- La ERSPAN-identigilo diferencigas la ERSPAN-trafikon alvenantan al la sama cela IP-adreso de diversaj malsamaj ERSPAN-fontaj sesioj; la agordita ERSPAN-identigilo devas kongrui ĉe la fonta kaj cela aparatoj.
- Por fonta haveno aŭ fonta VLAN, ERSPAN povas monitori la eniron, eliron, aŭ ambaŭ eniran kaj eliran trafikon. Defaŭlte, ERSPAN monitoras la tutan trafikon, inkluzive de plurdissendaj kaj kadroj de Bridge Protocol Data Unit (BPDU).
- Tunelaj interfacoj subtenataj kiel fontaj pordoj por ERSPAN-fonta sesio estas GRE, IPinIP, SVTI, IPv6, IPv6 super IP-tunelo, Multipoint GRE (mGRE) kaj Secure Virtual Tunnel Interfaces (SVTI).
- La opcio filtri VLAN ne funkcias en ERSPAN-monitorada sesio sur WAN-interfacoj.
- ERSPAN ĉe Cisco ASR 1000 Serio-Enkursigiloj subtenas nur Tavolo-3-interfacojn. Eterretaj interfacoj ne estas subtenataj ĉe ERSPAN kiam agorditaj kiel Tavolo-2-interfacoj.
- Kiam seanco estas agordita per la ERSPAN-agorda CLI, la seanca ID kaj la seanca tipo ne povas esti ŝanĝitaj. Por ŝanĝi ilin, vi devas unue uzi la no-formon de la agorda komando por forigi la seancon kaj poste reagordi la seancon.
- Cisco IOS XE Versio 3.4S :- Monitorado de ne-IPsec-protektitaj tunelaj pakaĵetoj estas subtenata sur IPv6 kaj IPv6 super IP-tunelaj interfacoj nur al ERSPAN-fontaj sesioj, ne al ERSPAN-celaj sesioj.
- Cisco IOS XE Versio 3.5S, subteno estis aldonita por la jenaj tipoj de WAN-interfacoj kiel fontaj pordoj por fonta sesio: Seria (T1/E1, T3/E3, DS0), Paketo super SONET (POS) (OC3, OC12) kaj Multilink PPP (la ŝlosilvortoj multilink, pos, kaj serial estis aldonitaj al la komando source interface).
Uzante ERSPAN kiel Lokan SPAN:
Por uzi ERSPAN por monitori trafikon tra unu aŭ pluraj pordoj aŭ VLAN-oj en la sama aparato, ni devas krei ERSPAN-fonton kaj ERSPAN-celloksesiojn en la sama aparato, datumfluo okazas ene de la enkursigilo, kio similas al tio en loka SPAN.
La jenaj faktoroj aplikeblas dum uzado de ERSPAN kiel loka SPAN:
- Ambaŭ sesioj havas la saman ERSPAN-ID-on.
- Ambaŭ sesioj havas la saman IP-adreson. Ĉi tiu IP-adreso estas la propra IP-adreso de la rutero; tio estas, la bukla IP-adreso aŭ la IP-adreso agordita sur iu ajn haveno.
| (agordo)# monitora sesio 10 tipo erspan-fonto |
| (config-mon-erspan-src)# fonta interfaco Gig0/0/0 |
| (config-mon-erspan-src)# celloko |
| (config-mon-erspan-src-dst)# IP-adreso 10.10.10.1 |
| (config-mon-erspan-src-dst)# origina IP-adreso 10.10.10.1 |
| (agordo-mon-erspan-fonto-dst)# erspan-id 100 |
Afiŝtempo: 28-a de aŭgusto 2024
