Ang SPAN, RSPAN, ug ERSPAN mga teknik nga gigamit sa networking aron makuha ug mabantayan ang trapiko para sa pag-analisar. Ania ang mubo nga kinatibuk-ang pagtan-aw sa matag usa:
SPAN (Switched Port Analyzer)
Katuyoan: Gigamit aron i-mirror ang trapiko gikan sa piho nga mga port o VLAN sa usa ka switch ngadto sa laing port para sa pagmonitor.
Gamit: Maayo alang sa lokal nga pag-analisar sa trapiko sa usa lang ka switch. Ang trapiko gi-mirror ngadto sa usa ka gitudlo nga port diin ang usa ka network analyzer makadakop niini.
RSPAN (Hilit nga SPAN)
Katuyoan: Nagpalapad sa mga kapabilidad sa SPAN sa daghang mga switch sa usa ka network.
Gamit: Nagtugot sa pagmonitor sa trapiko gikan sa usa ka switch ngadto sa lain pinaagi sa usa ka trunk link. Mapuslanon alang sa mga senaryo diin ang monitoring device nahimutang sa laing switch.
ERSPAN (Gisulod nga Hilit nga SPAN)
Katuyoan: Gihiusa ang RSPAN ug GRE (Generic Routing Encapsulation) aron ma-encapsulate ang mirrored traffic.
Gamit: Nagtugot sa pagmonitor sa trapiko sa mga routed network. Kini mapuslanon sa komplikado nga mga arkitektura sa network diin ang trapiko kinahanglan nga makuha sa lainlaing mga segment.
Ang Switch port Analyzer (SPAN) usa ka episyente ug taas og performance nga sistema sa pagmonitor sa trapiko. Kini nagdirekta o nag-mirror sa trapiko gikan sa source port o VLAN ngadto sa destination port. Kini usahay gitawag nga session monitoring. Ang SPAN gigamit alang sa pag-troubleshoot sa mga isyu sa koneksyon ug pagkalkulo sa paggamit ug performance sa network, ug uban pa. Adunay tulo ka klase sa SPAN nga gisuportahan sa mga produkto sa Cisco …
a. SPAN o lokal nga SPAN.
b. Hilit nga SPAN (RSPAN).
c. Gisulod nga hilit nga SPAN (ERSPAN).
Aron mahibal-an: "Mylinking™ Network Packet Broker nga adunay mga Feature sa SPAN, RSPAN ug ERSPAN"
Ang SPAN / traffic mirroring / port mirroring gigamit alang sa daghang katuyoan, sa ubos gilakip ang pipila niini.
- Pagpatuman sa IDS/IPS sa promiscuous mode.
- Mga solusyon sa pagrekord sa tawag sa VOIP.
- Mga hinungdan sa pagsunod sa seguridad aron mabantayan ug masusi ang trapiko.
- Pagsulbad sa mga problema sa koneksyon, pagmonitor sa trapiko.
Bisan unsa pa ang klase sa SPAN nga nagdagan, ang SPAN source mahimong bisan unsang klase sa port sama sa routed port, physical switch port, access port, trunk, VLAN (tanang aktibong port gimonitor sa switch), usa ka EtherChannel (usa ka port o tibuok port-channel interfaces) ug uban pa. Timan-i nga ang port nga gi-configure para sa SPAN destination DILI MAHIMONG kabahin sa SPAN source VLAN.
Ang mga sesyon sa SPAN nagsuporta sa pagmonitor sa trapiko sa pagsulod (ingress SPAN), trapiko sa paggawas (egress SPAN), o trapiko nga nagaagos sa duha ka direksyon.
- Ang Ingress SPAN (RX) mokopya sa trapiko nga nadawat sa mga source port ug mga VLAN ngadto sa destination port. Ang SPAN mokopya sa trapiko sa dili pa ang bisan unsang pagbag-o (pananglitan sa dili pa ang bisan unsang VACL o ACL filter, QoS o ingress o egress policing).
- Ang Egress SPAN (TX) mokopya sa trapiko nga gipadala gikan sa mga source port ug VLAN ngadto sa destination port. Ang tanang may kalabutan nga pagsala o pag-usab pinaagi sa VACL o ACL filter, QoS o ingress o egress policing nga mga aksyon gihimo sa dili pa ipasa sa switch ang trapiko ngadto sa SPAN destination port.
- Kung gamiton ang both keyword, ang SPAN mokopya sa network traffic nga nadawat ug gipadala sa source ports ug VLANs ngadto sa destination port.
- Kasagaran dili tagdon sa SPAN/RSPAN ang mga frame sa CDP, STP BPDU, VTP, DTP ug PAgP. Apan, kini nga mga tipo sa trapiko mahimong ipasa kon ang sugo sa encapsulation replicate na-configure.
SPAN o Lokal nga SPAN
Ang SPAN nagsalamin sa trapiko gikan sa usa o daghan pang interface sa switch ngadto sa usa o daghan pang interface sa parehas nga switch; busa ang SPAN kasagarang gitawag nga LOCAL SPAN.
Mga giya o mga restriksyon sa lokal nga SPAN:
- Ang Layer 2 switched ports ug Layer 3 ports parehong mahimong i-configure isip source o destination ports.
- Ang tinubdan mahimong usa o daghan pang mga port o usa ka VLAN, apan dili ang kombinasyon niini.
- Ang mga trunk port kay balido nga source port nga gisagol sa mga non-trunk source port.
- Hangtod sa 64 ka SPAN destination ports ang mahimong ma-configure sa usa ka switch.
- Kung atong i-configure ang usa ka destination port, ang orihinal nga configuration niini ma-overwrite. Kung ang SPAN configuration matangtang, ang orihinal nga configuration sa maong port mabalik.
- Kon mag-configure og destination port, ang port tangtangon gikan sa bisan unsang EtherChannel bundle kon kini kabahin sa usa. Kon kini usa ka routed port, ang SPAN destination configuration mo-override sa routed port configuration.
- Ang mga destination port dili mosuporta sa seguridad sa port, 802.1x authentication, o pribadong mga VLAN.
- Ang usa ka port mahimong magsilbing destination port para sa usa lang ka SPAN session.
- Dili ma-configure ang usa ka port isip destination port kon kini usa ka source port sa usa ka span session o kabahin sa source VLAN.
- Ang mga port channel interface (EtherChannel) mahimong i-configure isip source ports apan dili isip destination port para sa SPAN.
- Ang direksyon sa trapiko kay "pareho" isip default para sa mga tinubdan sa SPAN.
- Ang mga destination port dili gyud moapil sa usa ka spanning-tree instance. Dili makasuporta sa DTP, CDP, ug uban pa. Ang lokal nga SPAN naglakip sa mga BPDU sa gimonitor nga trapiko, busa ang bisan unsang mga BPDU nga makita sa destination port gikopya gikan sa source port. Busa ayaw gyud pagkonektar og switch niining klase sa SPAN kay kini mahimong hinungdan sa network loop. Ang mga AI tool makapauswag sa kaepektibo sa trabaho, ugdili mamatikdan nga AIserbisyo makapauswag sa kalidad sa mga himan sa AI.
- Kung ang VLAN gi-configure isip SPAN source (kasagaran gitawag nga VSPAN) nga adunay parehong ingress ug egress options nga gi-configure, ang mga duplicate nga packet ipadala gikan sa source port lamang kung ang mga packet gibalhin sa parehas nga VLAN. Ang usa ka kopya sa packet gikan sa ingress traffic sa ingress port, ug ang pikas kopya sa packet gikan sa egress traffic sa egress port.
- Ang VSPAN nagmonitor lang sa trapiko nga mogawas o mosulod sa Layer 2 ports sa VLAN.
Hilit nga SPAN (RSPAN)
Ang Remote SPAN (RSPAN) susama sa SPAN, apan gisuportahan niini ang mga source port, source VLAN, ug destination port sa lain-laing mga switch, nga naghatag og remote monitoring traffic gikan sa mga source port nga giapod-apod sa daghang mga switch ug nagtugot sa destination centralize network capture devices. Ang matag RSPAN session nagdala sa SPAN traffic pinaagi sa usa ka user-specified dedicated RSPAN VLAN sa tanang partisipanteng switch. Kini nga VLAN gi-trunked dayon sa ubang mga switch, nga nagtugot sa RSPAN session traffic nga madala sa daghang mga switch ug mahatud sa destination capturing station. Ang RSPAN gilangkoban sa usa ka RSPAN source session, usa ka RSPAN VLAN, ug usa ka RSPAN destination session.
Mga giya o mga restriksyon sa RSPAN:
- Kinahanglan nga i-configure ang usa ka piho nga VLAN para sa SPAN destination nga motabok sa mga intermediate switch pinaagi sa trunk links padulong sa destination port.
- Makahimo og parehas nga source type – labing menos usa ka port o labing menos usa ka VLAN apan dili mahimo nga parehas ra.
- Ang destinasyon para sa sesyon kay RSPAN VLAN imbes nga ang usa ra ka port sa switch, busa ang tanang port sa RSPAN VLAN makadawat sa mirrored traffic.
- I-configure ang bisan unsang VLAN isip RSPAN VLAN basta ang tanang partisipanteng network device mosuporta sa configuration sa RSPAN VLANs, ug mogamit sa samang RSPAN VLAN para sa matag RSPAN session
- Ang VTP maka-propagate sa configuration sa mga VLAN nga numero 1 hangtod 1024 isip RSPAN VLANs, kinahanglan nga mano-mano nga i-configure ang mga VLAN nga numero mas taas kay sa 1024 isip RSPAN VLANs sa tanang source, intermediate, ug destination network devices.
- Ang pagkat-on sa MAC address gi-disable sa RSPAN VLAN.
Gisulod nga hilit nga SPAN (ERSPAN)
Ang Encapsulated remote SPAN (ERSPAN) nagdala og generic routing encapsulation (GRE) para sa tanang nakuha nga trapiko ug nagtugot niini nga mapalapdan sa tibuok Layer 3 domains.
Ang ERSPAN usa kaGipanag-iya sa Cisconga bahin ug magamit lamang sa mga plataporma sa Catalyst 6500, 7600, Nexus, ug ASR 1000 hangtod karon. Ang ASR 1000 nagsuporta lamang sa ERSPAN source (monitoring) sa Fast Ethernet, Gigabit Ethernet, ug mga port-channel interface.
Mga giya o mga pagdili sa ERSPAN:
- Ang mga source session sa ERSPAN dili mokopya sa ERSPAN GRE-encapsulated nga trapiko gikan sa mga source port. Ang matag ERSPAN source session mahimong adunay mga port o VLAN isip mga source, apan dili pareho.
- Bisan unsa pa ang gi-configure nga gidak-on sa MTU, ang ERSPAN nagmugna og Layer 3 packets nga mahimong moabot sa 9,202 bytes. Ang trapiko sa ERSPAN mahimong mahunong sa bisan unsang interface sa network nga nagpatuman sa gidak-on sa MTU nga mas gamay sa 9,202 bytes.
- Ang ERSPAN dili mosuporta sa packet fragmentation. Ang "do not fragment" bit gibutang sa IP header sa mga ERSPAN packet. Ang mga destination session sa ERSPAN dili maka-assemble pag-usab sa mga fragmented nga ERSPAN packet.
- Ang ERSPAN ID nagpalahi sa trapiko sa ERSPAN nga moabot sa parehas nga IP address sa destinasyon gikan sa lainlaing mga sesyon sa gigikanan sa ERSPAN; ang na-configure nga ERSPAN ID kinahanglan nga motakdo sa mga aparato sa gigikanan ug destinasyon.
- Para sa usa ka source port o usa ka source VLAN, ang ERSPAN makamonitor sa ingress, egress, o sa parehong ingress ug egress traffic. Sa default, ang ERSPAN makamonitor sa tanang traffic, lakip ang multicast ug Bridge Protocol Data Unit (BPDU) frames.
- Ang mga tunnel interface nga gisuportahan isip source ports para sa usa ka ERSPAN source session mao ang GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunnel, Multipoint GRE (mGRE) ug Secure Virtual Tunnel Interfaces (SVTI).
- Ang opsyon sa filter VLAN dili mogana sa usa ka ERSPAN monitoring session sa mga WAN interface.
- Ang ERSPAN sa Cisco ASR 1000 Series Routers mosuporta lang sa Layer 3 interfaces. Ang Ethernet interfaces dili mosuporta sa ERSPAN kon kini gi-configure isip Layer 2 interfaces.
- Kung ang usa ka sesyon gi-configure pinaagi sa ERSPAN configuration CLI, ang session ID ug ang session type dili mausab. Aron mausab kini, kinahanglan una nimo gamiton ang no form sa configuration command aron tangtangon ang sesyon ug dayon i-reconfigure ang sesyon.
- Cisco IOS XE Release 3.4S :- Ang pagmonitor sa mga non-IPsec-protected tunnel packet gisuportahan sa IPv6 ug IPv6 over IP tunnel interfaces ngadto lamang sa ERSPAN source sessions, dili sa ERSPAN destination sessions.
- Cisco IOS XE Release 3.5S, gidugang ang suporta para sa mosunod nga mga klase sa WAN interface isip source ports para sa usa ka source session: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) ug Multilink PPP (gidugang ang multilink, pos, ug serial keywords sa source interface command).
Paggamit sa ERSPAN isip Lokal nga SPAN:
Para magamit ang ERSPAN sa pagmonitor sa trapiko pinaagi sa usa o daghan pang mga port o VLAN sa parehas nga device, kinahanglan nga maghimo kita og ERSPAN source ug ERSPAN destination sessions sa parehas nga device, ang data flow mahitabo sulod sa router, nga susama sa naa sa local SPAN.
Ang mosunod nga mga butang magamit sa paggamit sa ERSPAN isip lokal nga SPAN:
- Parehas ra ang ERSPAN ID sa duha ka sesyon.
- Parehong IP address ang duha ka sesyon. Kini nga IP address mao ang kaugalingong IP address sa router; kana mao, ang loopback IP address o ang IP address nga gi-configure sa bisan unsang port.
| (config)# monitor session 10 tipo erspan-source |
| (config-mon-erspan-src)# source interface Gig0/0/0 |
| (config-mon-erspan-src)# destinasyon |
| (config-mon-erspan-src-dst)# ip address 10.10.10.1 |
| (config-mon-erspan-src-dst)# gigikanan nga ip address 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Oras sa pag-post: Agosto-28-2024
