English

Pagsabut sa SPAN, RSPAN ug ERSPAN: Mga Pamaagi alang sa Pag-monitor sa Trapiko sa Network

SPAN, RSPAN, ug ERSPANmga teknik nga gigamit sa networking aron makuha ug mamonitor ang trapiko para sa pagtuki. Ania ang usa ka mubo nga overview sa matag usa:

SPAN (Switched Port Analyzer)

Katuyoan: Gigamit sa pagsalamin sa trapiko gikan sa piho nga mga pantalan o VLAN sa usa ka switch ngadto sa laing pantalan alang sa pagmonitor.

Paggamit sa Kaso: Maayo alang sa lokal nga pagtuki sa trapiko sa usa ka switch. Ang trapiko gisalamin sa usa ka gitudlo nga pantalan diin makuha kini sa usa ka tig-analisar sa network.

RSPAN (Remote SPAN)

Katuyoan: Gipalapad ang mga kapabilidad sa SPAN sa daghang mga switch sa usa ka network.

Use Case: Gitugotan ang pagmonitor sa trapiko gikan sa usa ka switch ngadto sa lain sa usa ka trunk link. Mapuslanon alang sa mga sitwasyon diin ang monitoring device nahimutang sa laing switch.

ERSPAN (Encapsulated Remote SPAN)

Katuyoan: Gihiusa ang RSPAN sa GRE (Generic Routing Encapsulation) aron ma-encapsulate ang gisalamin nga trapiko.

Kaso sa Paggamit: Gitugotan ang pag-monitor sa trapiko sa mga ruta nga network. Mapuslanon kini sa komplikado nga mga arkitektura sa network diin ang trapiko kinahanglan nga makuha sa lainlaing mga bahin.

Switch port Analyzer (SPAN)usa ka episyente, taas nga performance nga sistema sa pagmonitor sa trapiko. Kini nagdumala o nagsalamin sa trapiko gikan sa tinubdan nga pantalan o VLAN ngadto sa destinasyon nga pantalan. Kini usahay gitawag nga pagmonitor sa sesyon. Ang SPAN gigamit alang sa pag-troubleshoot sa mga isyu sa koneksyon ug pagkalkula sa paggamit ug performance sa network, ug uban pa. Adunay tulo ka matang sa mga SPAN nga gisuportahan sa mga produkto sa Cisco…

a. SPAN o lokal nga SPAN.

b. Hilit nga SPAN (RSPAN).

c. Gi-encapsulated nga hilit nga SPAN (ERSPAN).

Aron mahibal-an: "Ang Mylinking™ Network Packet Broker nga adunay SPAN, RSPAN ug ERSPAN Features"

SPAN, RSPAN, ERSPAN

Ang SPAN / traffic mirroring / port mirroring gigamit alang sa daghang mga katuyoan, sa ubos naglakip sa pipila.

- Pagpatuman sa IDS/IPS sa promiscuous mode.

- Mga solusyon sa pagrekord sa tawag sa VOIP.

- Mga hinungdan sa pagsunod sa seguridad aron ma-monitor ug analisahon ang trapiko.

- Pag-troubleshoot sa mga isyu sa koneksyon, pag-monitor sa trapiko.

Bisan unsa pa ang matang sa SPAN nga nagdagan, ang tinubdan sa SPAN mahimong bisan unsang matang sa pantalan ie usa ka ruta nga pantalan, pisikal nga switch port, usa ka access port, trunk, VLAN (tanan nga aktibong mga pantalan gimonitor sa switch), usa ka EtherChannel (bisan usa ka port o tibuok port -channel interfaces) ug uban pa. Timan-i nga ang usa ka port nga gi-configure para sa SPAN nga destinasyon DILI mahimong bahin sa usa ka SPAN source VLAN.

Ang mga sesyon sa SPAN nagsuporta sa pagmonitor sa trapiko sa pagsulod (ingress SPAN), sa egress nga trapiko (egress SPAN), o trapiko nga nagdagayday sa duha ka direksyon.

- Ang Ingress SPAN (RX) nagkopya sa trapiko nga nadawat sa tinubdan nga mga pantalan ug mga VLAN ngadto sa destinasyon nga pantalan. Gikopya sa SPAN ang trapiko sa wala pa ang bisan unsang pagbag-o (pananglitan sa wala pa ang bisan unsang filter sa VACL o ACL, QoS o pagsulod o paggawas sa pag-polisa).

- Ang Egress SPAN (TX) nagkopya sa trapiko nga gipasa gikan sa tinubdan nga mga pantalan ug mga VLAN ngadto sa destinasyon nga pantalan. Ang tanan nga may kalabutan nga pagsala o pagbag-o pinaagi sa VACL o ACL filter, QoS o pagsulod o paggawas nga mga aksyon sa polisa gihimo sa wala pa ang pagbalhin sa trapiko sa SPAN destinasyon nga pantalan.

- Kung gigamit ang duha nga keyword, gikopya sa SPAN ang trapiko sa network nga nadawat ug gipasa sa mga gigikanan nga pantalan ug VLAN sa destinasyon nga pantalan.

- Ang SPAN/RSPAN kasagarang wala magtagad sa CDP, STP BPDU, VTP, DTP ug PAgP nga mga frame. Bisan pa, kini nga mga matang sa trapiko mahimong ipasa kung ang encapsulation replicate nga sugo gi-configure.

SPAN o Lokal nga SPAN

Ang SPAN nagsalamin sa trapiko gikan sa usa o daghan pang interface sa switch ngadto sa usa o daghan pang interface sa samang switch; busa ang SPAN kasagarang gitawag nga LOCAL SPAN.

Mga giya o pagdili sa lokal nga SPAN:

- Ang Layer 2 nga gibalhin nga mga pantalan ug ang Layer 3 nga mga pantalan mahimong ma-configure ingon gigikanan o destinasyon nga mga pantalan.

- Ang tinubdan mahimong usa o daghan pa nga mga pantalan o usa ka VLAN, apan dili usa ka pagsagol niini.

- Ang mga pantalan sa punoan mga balido nga gigikanan nga mga pantalan nga gisagol sa mga pantalan nga wala’y punoan nga gigikanan.

- Hangtod sa 64 ka SPAN destinasyon nga mga pantalan mahimong ma-configure sa usa ka switch.

- Kung nag-configure kami sa usa ka destinasyon nga pantalan, ang orihinal nga pag-configure niini ma-overwrite. Kung tangtangon ang configuration sa SPAN, ibalik ang orihinal nga configuration sa maong pantalan.

- Kung mag-configure sa usa ka destinasyon nga pantalan, ang pantalan makuha gikan sa bisan unsang bundle sa EtherChannel kung kini bahin sa usa. Kung kini usa ka gi-ruta nga pantalan, ang SPAN nga configuration sa destinasyon mo-override sa ruta nga port configuration.

- Ang mga destinasyon nga pantalan wala nagsuporta sa seguridad sa pantalan, 802.1x nga pag-authenticate, o pribadong VLAN.

- Ang usa ka pantalan mahimong molihok isip destinasyon nga pantalan alang lamang sa usa ka sesyon sa SPAN.

- Ang usa ka pantalan dili ma-configure ingon usa ka destinasyon nga pantalan kung kini usa ka gigikanan nga pantalan sa usa ka span session o bahin sa gigikanan nga VLAN.

- Ang mga interface sa port channel (EtherChannel) mahimong ma-configure isip source ports apan dili destinasyon nga port para sa SPAN.

- Ang direksyon sa trapiko mao ang "pareho" nga default alang sa mga gigikanan sa SPAN.

- Ang mga destinasyon nga pantalan dili gayud moapil sa usa ka spanning-tree nga pananglitan. Dili makasuporta sa DTP, CDP ug uban pa. Ang Lokal nga SPAN naglakip sa mga BPDU sa gimonitor nga trapiko, busa ang bisan unsang BPDU nga makita sa destinasyon nga pantalan gikopya gikan sa tinubdan nga pantalan. Busa ayaw pagkonektar sa usa ka switch sa kini nga matang sa SPAN tungod kay kini mahimong hinungdan sa usa ka network loop.

- Kung ang VLAN gi-configure isip tinubdan sa SPAN (kadaghanan gitawag nga VSPAN) nga adunay mga opsyon sa ingress ug egress nga na-configure, ipasa ang mga duplicate nga packet gikan sa source port lamang kung ang mga packet mabalhin sa parehas nga VLAN. Ang usa ka kopya sa packet gikan sa ingress traffic sa ingress port, ug ang laing kopya sa packet gikan sa egress traffic sa egress port.

- Ang VSPAN nagmonitor lamang sa trapiko nga mobiya o mosulod sa Layer 2 nga mga pantalan sa VLAN.

SPAN, RSPAN, ERSPAN 1

Ang SPAN, RSPAN, ug ERSPAN maoy mga teknik nga gigamit sa networking aron makuha ug mamonitor ang trapiko para sa pagtuki. Ania ang usa ka mubo nga overview sa matag usa:

SPAN (Switched Port Analyzer)

  • Katuyoan: Gigamit sa pagsalamin sa trapiko gikan sa piho nga mga pantalan o mga VLAN sa usa ka switch ngadto sa laing pantalan alang sa pagmonitor.
  • Paggamit sa Kaso: Maayo alang sa lokal nga pagtuki sa trapiko sa usa ka switch. Ang trapiko gisalamin sa usa ka gitudlo nga pantalan diin makuha kini sa usa ka tig-analisar sa network.

RSPAN (Remote SPAN)

  • Katuyoan: Nagpalapad sa mga kapabilidad sa SPAN sa daghang mga switch sa usa ka network.
  • Paggamit sa Kaso: Gitugotan ang pagmonitor sa trapiko gikan sa usa ka switch ngadto sa lain sa usa ka trunk link. Mapuslanon alang sa mga sitwasyon diin ang monitoring device nahimutang sa laing switch.

ERSPAN (Encapsulated Remote SPAN)

  • Katuyoan: Gikombinar ang RSPAN uban sa GRE (Generic Routing Encapsulation) aron ma-encapsulate ang mirrored traffic.
  • Paggamit sa Kaso: Nagtugot alang sa pag-monitor sa trapiko sa mga ruta nga network. Mapuslanon kini sa komplikado nga mga arkitektura sa network diin ang trapiko kinahanglan nga makuha sa lainlaing mga bahin.

Hilit nga SPAN (RSPAN)

Ang Remote SPAN (RSPAN) susama sa SPAN, apan nagsuporta kini sa mga source ports, source VLANs, ug destination ports sa lain-laing switch, nga naghatag og remote monitoring traffic gikan sa source ports nga gipang-apod-apod sa daghang switch ug nagtugot sa destinasyon nga masentro ang network capture device. Ang matag sesyon sa RSPAN nagdala sa trapiko sa SPAN sa usa ka gipahinungod nga RSPAN VLAN nga gitakda sa gumagamit sa tanan nga nag-apil nga mga switch. Kini nga VLAN dayon gi-trunk sa ubang mga switch, nga gitugotan ang trapiko sa sesyon sa RSPAN nga madala sa daghang mga switch ug ihatud sa istasyon sa pagkuha sa destinasyon. Ang RSPAN naglangkob sa usa ka RSPAN source session, usa ka RSPAN VLAN, ug usa ka RSPAN destination session.

Mga giya o pagdili sa RSPAN:

- Ang usa ka piho nga VLAN kinahanglan nga ma-configure alang sa SPAN nga destinasyon nga motabok sa mga intermediate switch pinaagi sa trunk links padulong sa destinasyon nga pantalan.

- Makahimo sa parehas nga tipo sa gigikanan - labing menos usa ka pantalan o labing menos usa ka VLAN apan dili mahimo ang pagsagol.

- Ang destinasyon alang sa sesyon mao ang RSPAN VLAN kaysa sa usa ka port sa switch, mao nga ang tanan nga mga pantalan sa RSPAN VLAN makadawat sa salamin nga trapiko.

- I-configure ang bisan unsang VLAN ingon usa ka RSPAN VLAN basta ang tanan nga nag-apil nga mga aparato sa network nagsuporta sa pag-configure sa mga RSPAN VLAN, ug gamita ang parehas nga RSPAN VLAN alang sa matag sesyon sa RSPAN

- Ang VTP mahimong magpakaylap sa configuration sa mga VLAN nga may numero nga 1 hangtod sa 1024 isip mga RSPAN VLAN , kinahanglang manu-mano nga i-configure ang mga VLAN nga mas taas kay sa 1024 isip mga RSPAN VLAN sa tanang tinubdan, intermediate, ug destinasyon nga mga device sa network.

- Ang pagkat-on sa MAC address na-disable sa RSPAN VLAN.

SPAN, RSPAN, ERSPAN 2

Gi-encapsulated nga hilit nga SPAN (ERSPAN)

Ang encapsulated remote SPAN (ERSPAN) nagdala ug generic routing encapsulation (GRE) para sa tanang nadakpan nga trapiko ug gitugotan kini nga mapalapad sa Layer 3 nga mga domain.

Ang ERSPAN usa kaproprietary sa Ciscofeature ug anaa lang sa Catalyst 6500, 7600, Nexus, ug ASR 1000 nga mga plataporma hangtod karon. Ang ASR 1000 nagsuporta sa ERSPAN source (monitoring) lamang sa Fast Ethernet, Gigabit Ethernet, ug port-channel interfaces.

Mga giya o pagdili sa ERSPAN:

- Ang mga sesyon sa gigikanan sa ERSPAN wala magkopya sa trapiko nga na-encapsulated sa ERSPAN GRE gikan sa mga gigikanan nga pantalan. Ang matag sesyon sa gigikanan sa ERSPAN mahimong adunay mga pantalan o VLAN ingon mga gigikanan, apan dili pareho.

- Bisan unsa pa ang gi-configure nga gidak-on sa MTU, ang ERSPAN nagmugna og Layer 3 nga mga pakete nga mahimong hangtod sa 9,202 bytes. Ang trapiko sa ERSPAN mahimong ihulog sa bisan unsang interface sa network nga nagpatuman sa gidak-on sa MTU nga mas gamay sa 9,202 bytes.

- Ang ERSPAN wala mosuporta sa packet fragmentation. Ang gamay nga "ayaw pagbahin" gibutang sa IP header sa mga pakete sa ERSPAN. Ang mga sesyon sa destinasyon sa ERSPAN dili makatipon pag-usab sa mga tipik nga mga pakete sa ERSPAN.

- Ang ERSPAN ID nagpalahi sa trapiko sa ERSPAN nga moabot sa samang destinasyon nga IP address gikan sa lain-laing lain-laing sesyon sa tinubdan sa ERSPAN; ang gi-configure nga ERSPAN ID kinahanglan nga magkatugma sa gigikanan ug destinasyon nga mga aparato.

- Para sa source port o source VLAN, ang ERSPAN makamonitor sa pagsulod, egress, o pareho nga pagsulod ug egress nga trapiko. Sa kasagaran, gimonitor sa ERSPAN ang tanang trapiko, lakip ang mga frame sa multicast ug Bridge Protocol Data Unit (BPDU).

- Tunnel interface nga gisuportahan isip source ports alang sa ERSPAN source session mao ang GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) ug Secure Virtual Tunnel Interfaces (SVTI).

- Ang opsyon sa filter nga VLAN dili magamit sa usa ka sesyon sa pagmonitor sa ERSPAN sa mga interface sa WAN.

- Ang ERSPAN sa Cisco ASR 1000 Series Router nagsuporta lamang sa Layer 3 nga mga interface. Ang mga interface sa Ethernet dili suportado sa ERSPAN kung gi-configure isip mga interface sa Layer 2.

- Kung ang usa ka sesyon gi-configure pinaagi sa ERSPAN configuration CLI, ang session ID ug ang tipo sa sesyon dili mausab. Aron mabag-o kini, kinahanglan nimo nga gamiton una ang walay porma sa command sa pag-configure aron makuha ang sesyon ug dayon i-reconfigure ang sesyon.

- Cisco IOS XE Release 3.4S :- Ang pagmonitor sa non-IPsec-protected tunnel packets gisuportahan sa IPv6 ug IPv6 over IP tunnel interfaces lang sa ERSPAN source sessions, dili sa ERSPAN destination sessions.

- Cisco IOS XE Release 3.5S, gidugang ang suporta alang sa mosunod nga mga matang sa WAN interface isip source ports alang sa source session: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) ug Multilink PPP ( multilink, pos, ug serial keywords gidugang sa source interface command).

SPAN, RSPAN, ERSPAN 3

Gamit ang ERSPAN isip Lokal nga SPAN:

Aron magamit ang ERSPAN aron mamonitor ang trapiko pinaagi sa usa o daghang mga pantalan o VLAN sa parehas nga aparato, kinahanglan nga maghimo kita usa ka gigikanan sa ERSPAN ug mga sesyon sa destinasyon sa ERSPAN sa parehas nga aparato, ang pagdagayday sa datos mahitabo sa sulod sa router, nga parehas sa lokal nga SPAN.

Ang mosunod nga mga butang magamit samtang naggamit sa ERSPAN isip lokal nga SPAN:

- Ang duha ka sesyon adunay parehas nga ERSPAN ID.

- Ang duha ka sesyon adunay parehas nga IP address. Kini nga IP address mao ang mga router nga kaugalingong IP address; kana mao, ang loopback IP address o ang IP address nga gi-configure sa bisan unsang pantalan.

(config)# monitor session 10 type erspan-source
(config-mon-erspan-src)# tinubdan interface Gig0/0/0
(config-mon-erspan-src)# destinasyon
(config-mon-erspan-src-dst)# ip address 10.10.10.1
(config-mon-erspan-src-dst)# gigikanan ip address 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Oras sa pag-post: Aug-28-2024
Pindota ang enter aron pangitaon o ESC aron tapuson