Comprendre SPAN, RSPAN et ERSPAN : techniques de surveillance du trafic réseau

SPAN, RSPAN et ERSPAN sont des techniques utilisées dans les réseaux pour capturer et surveiller le trafic à des fins d'analyse. Voici un bref aperçu de chacun :

SPAN (analyseur de port commuté)

Objectif : utilisé pour mettre en miroir le trafic de ports ou de VLAN spécifiques sur un commutateur vers un autre port à des fins de surveillance.

Cas d'utilisation : idéal pour l'analyse du trafic local sur un seul commutateur. Le trafic est mis en miroir sur un port désigné où un analyseur de réseau peut le capturer.

RSPAN (PORTÉE À DISTANCE)

Objectif : étend les capacités SPAN à plusieurs commutateurs d’un réseau.

Cas d'utilisation : permet la surveillance du trafic d'un commutateur à un autre via une liaison réseau. Utile pour les scénarios dans lesquels le dispositif de surveillance est situé sur un autre commutateur.

ERSPAN (SPAN distant encapsulé)

Objectif : combine RSPAN avec GRE (Generic Routing Encapsulation) pour encapsuler le trafic en miroir.

Cas d'utilisation : permet de surveiller le trafic sur les réseaux routés. Ceci est utile dans les architectures de réseau complexes où le trafic doit être capturé sur différents segments.

Switch Port Analyzer (SPAN) est un système de surveillance du trafic efficace et hautes performances. Il dirige ou met en miroir le trafic d'un port source ou d'un VLAN vers un port de destination. Ceci est parfois appelé surveillance de session. SPAN est utilisé pour résoudre les problèmes de connectivité et calculer l'utilisation et les performances du réseau, entre autres. Il existe trois types de SPAN pris en charge sur les produits Cisco…

un. SPAN ou SPAN local.

b. SPAN distant (RSPAN).

c. SPAN distant encapsulé (ERSPAN).

Savoir: "Courtier de paquets réseau Mylinking™ avec fonctionnalités SPAN, RSPAN et ERSPAN"

SPAN, RSPAN, ERSPAN

SPAN / mise en miroir du trafic / mise en miroir des ports est utilisé à de nombreuses fins, dont quelques-unes ci-dessous.

- Implémentation d'IDS/IPS en mode promiscuité.

- Solutions d'enregistrement d'appels VOIP.

- Raisons de conformité de sécurité pour surveiller et analyser le trafic.

- Dépannage des problèmes de connexion, surveillance du trafic.

Quel que soit le type de SPAN en cours d'exécution, la source SPAN peut être n'importe quel type de port, c'est-à-dire un port routé, un port de commutateur physique, un port d'accès, une jonction, un VLAN (tous les ports actifs sont surveillés du commutateur), un EtherChannel (soit un port, soit un port entier). -interfaces de canal), etc. Notez qu'un port configuré pour la destination SPAN NE PEUT PAS faire partie d'un VLAN source SPAN.

Les sessions SPAN prennent en charge la surveillance du trafic entrant (ingress SPAN), du trafic sortant (egress SPAN) ou du trafic circulant dans les deux sens.

- Ingress SPAN (RX) copie le trafic reçu par les ports sources et les VLAN vers le port de destination. SPAN copie le trafic avant toute modification (par exemple avant tout filtre VACL ou ACL, QoS ou police d'entrée ou de sortie).

- Egress SPAN (TX) copie le trafic transmis depuis les ports sources et les VLAN vers le port de destination. Tous les filtrages ou modifications pertinents par filtre VACL ou ACL, QoS ou actions de régulation d'entrée ou de sortie sont effectués avant que le commutateur ne transmette le trafic au port de destination SPAN.

- Lorsque le mot-clé Both est utilisé, SPAN copie le trafic réseau reçu et transmis par les ports sources et les VLAN vers le port de destination.

- SPAN/RSPAN ignore généralement les trames CDP, STP BPDU, VTP, DTP et PAgP. Cependant, ces types de trafic peuvent être transférés si la commande encapsulation replicate est configurée.

SPAN ou SPAN local

SPAN reflète le trafic d'une ou plusieurs interfaces sur le commutateur vers une ou plusieurs interfaces sur le même commutateur ; par conséquent, SPAN est principalement appelé LOCAL SPAN.

Lignes directrices ou restrictions concernant le SPAN local :

- Les ports commutés de couche 2 et les ports de couche 3 peuvent être configurés comme ports source ou de destination.

- La source peut être soit un ou plusieurs ports, soit un VLAN, mais pas une combinaison de ceux-ci.

- Les ports réseau sont des ports sources valides mélangés à des ports sources non réseau.

- Jusqu'à 64 ports de destination SPAN peuvent être configurés sur un commutateur.

- Lorsque nous configurons un port de destination, sa configuration d'origine est écrasée. Si la configuration SPAN est supprimée, la configuration d'origine sur ce port est restaurée.

- Lors de la configuration d'un port de destination, le port est supprimé de tout bundle EtherChannel s'il en faisait partie. S'il s'agissait d'un port routé, la configuration de la destination SPAN remplace la configuration du port routé.

- Les ports de destination ne prennent pas en charge la sécurité des ports, l'authentification 802.1x ou les VLAN privés.

- Un port peut servir de port de destination pour une seule session SPAN.

- Un port ne peut pas être configuré comme port de destination s'il s'agit d'un port source d'une session étendue ou d'une partie du VLAN source.

- Les interfaces Port Channel (EtherChannel) peuvent être configurées comme ports sources mais pas comme port de destination pour SPAN.

- Le sens du trafic est « les deux » par défaut pour les sources SPAN.

- Les ports de destination ne participent jamais à une instance Spanning Tree. Ne peut pas prendre en charge DTP, CDP, etc. Le SPAN local inclut les BPDU dans le trafic surveillé, de sorte que tous les BPDU vus sur le port de destination sont copiés à partir du port source. Ne connectez donc jamais de switch à ce type de SPAN car cela pourrait provoquer une boucle réseau. Les outils d'IA amélioreront l'efficacité du travail etIA indétectablele service peut améliorer la qualité des outils d’IA.

- Lorsque le VLAN est configuré comme source SPAN (généralement appelé VSPAN) avec les options d'entrée et de sortie configurées, transférez les paquets en double depuis le port source uniquement si les paquets sont commutés dans le même VLAN. Une copie du paquet provient du trafic entrant sur le port d'entrée et l'autre copie du paquet provient du trafic de sortie sur le port de sortie.

- VSPAN surveille uniquement le trafic qui quitte ou entre dans les ports de couche 2 du VLAN.

PORTÉE, RSPAN, ERSPAN 1

SPAN distant (RSPAN)

Remote SPAN (RSPAN) est similaire à SPAN, mais il prend en charge les ports sources, les VLAN sources et les ports de destination sur différents commutateurs, qui assurent la surveillance à distance du trafic à partir des ports sources répartis sur plusieurs commutateurs et permettent de centraliser les périphériques de capture réseau de destination. Chaque session RSPAN achemine le trafic SPAN sur un VLAN RSPAN dédié spécifié par l'utilisateur dans tous les commutateurs participants. Ce VLAN est ensuite partagé vers d'autres commutateurs, permettant au trafic de session RSPAN d'être transporté sur plusieurs commutateurs et livré à la station de capture de destination. RSPAN se compose d'une session source RSPAN, d'un VLAN RSPAN et d'une session de destination RSPAN.

Lignes directrices ou restrictions concernant le RSPAN :

- Un VLAN spécifique doit être configuré pour la destination SPAN qui traversera les commutateurs intermédiaires via des liaisons principales vers le port de destination.

- Peut créer le même type de source – au moins un port ou au moins un VLAN mais ne peut pas être le mélange.

- La destination de la session est le VLAN RSPAN plutôt que le port unique du commutateur, de sorte que tous les ports du VLAN RSPAN recevront le trafic en miroir.

- Configurez n'importe quel VLAN en tant que VLAN RSPAN à condition que tous les périphériques réseau participants prennent en charge la configuration des VLAN RSPAN et utilisent le même VLAN RSPAN pour chaque session RSPAN.

- VTP peut propager la configuration des VLAN numérotés de 1 à 1024 en tant que VLAN RSPAN. Il doit configurer manuellement les VLAN numérotés supérieurs à 1024 en tant que VLAN RSPAN sur tous les périphériques réseau source, intermédiaires et de destination.

- L'apprentissage de l'adresse MAC est désactivé dans le VLAN RSPAN.

PORTÉE, RSPAN, ERSPAN 2

SPAN distant encapsulé (ERSPAN)

Le SPAN distant encapsulé (ERSPAN) apporte une encapsulation de routage générique (GRE) pour tout le trafic capturé et permet de l'étendre sur les domaines de couche 3.

ERSPAN est unPropriétaire Ciscoet est disponible uniquement sur les plates-formes Catalyst 6500, 7600, Nexus et ASR 1000 à ce jour. L'ASR 1000 prend en charge la source ERSPAN (surveillance) uniquement sur les interfaces Fast Ethernet, Gigabit Ethernet et Port-Channel.

Lignes directrices ou restrictions à l’ERSPAN :

- Les sessions source ERSPAN ne copient pas le trafic encapsulé ERSPAN GRE à partir des ports sources. Chaque session source ERSPAN peut avoir des ports ou des VLAN comme sources, mais pas les deux.

- Quelle que soit la taille MTU configurée, ERSPAN crée des paquets de couche 3 pouvant atteindre 9 202 octets. Le trafic ERSPAN peut être abandonné par toute interface du réseau qui impose une taille MTU inférieure à 9 202 octets.

- ERSPAN ne prend pas en charge la fragmentation des paquets. Le bit "ne pas fragmenter" est défini dans l'en-tête IP des paquets ERSPAN. Les sessions de destination ERSPAN ne peuvent pas réassembler les paquets ERSPAN fragmentés.

- L'ID ERSPAN différencie le trafic ERSPAN arrivant à la même adresse IP de destination à partir de différentes sessions source ERSPAN ; L’ID ERSPAN configuré doit correspondre sur les appareils source et de destination.

- Pour un port source ou un VLAN source, l'ERSPAN peut surveiller le trafic d'entrée, de sortie ou les deux. Par défaut, ERSPAN surveille tout le trafic, y compris les trames de multidiffusion et de Bridge Protocol Data Unit (BPDU).

- Les interfaces de tunnel prises en charge comme ports sources pour une session source ERSPAN sont GRE, IPinIP, SVTI, IPv6, IPv6 sur tunnel IP, Multipoint GRE (mGRE) et Secure Virtual Tunnel Interfaces (SVTI).

- L'option filtre VLAN n'est pas fonctionnelle dans une session de surveillance ERSPAN sur les interfaces WAN.

- ERSPAN sur les routeurs Cisco ASR 1000 prend en charge uniquement les interfaces de couche 3. Les interfaces Ethernet ne sont pas prises en charge sur ERSPAN lorsqu'elles sont configurées en tant qu'interfaces de couche 2.

- Lorsqu'une session est configurée via la CLI de configuration ERSPAN, l'ID de session et le type de session ne peuvent pas être modifiés. Pour les modifier, vous devez d'abord utiliser la forme no de la commande de configuration pour supprimer la session puis reconfigurer la session.

- Cisco IOS XE version 3.4S : - La surveillance des paquets de tunnel non protégés par IPsec est prise en charge sur les interfaces de tunnel IPv6 et IPv6 sur IP uniquement vers les sessions source ERSPAN, et non vers les sessions de destination ERSPAN.

- Cisco IOS XE version 3.5S, prise en charge des types d'interfaces WAN suivants en tant que ports source pour une session source : série (T1/E1, T3/E3, DS0), paquet sur SONET (POS) (OC3, OC12) et Multilink PPP (les mots-clés multilink, pos et série ont été ajoutés à la commande d'interface source).

PORTÉE, RSPAN, ERSPAN 3

Utilisation d'ERSPAN comme SPAN local :

Pour utiliser ERSPAN pour surveiller le trafic via un ou plusieurs ports ou VLAN dans le même appareil, nous devons créer une session source ERSPAN et une session de destination ERSPAN dans le même appareil, le flux de données a lieu à l'intérieur du routeur, qui est similaire à celui du SPAN local.

Les facteurs suivants sont applicables lors de l'utilisation d'ERSPAN comme SPAN local :

- Les deux sessions ont le même identifiant ERSPAN.

- Les deux sessions ont la même adresse IP. Cette adresse IP est la propre adresse IP du routeur ; c'est-à-dire l'adresse IP de bouclage ou l'adresse IP configurée sur n'importe quel port.

(config)# surveiller la session 10 tapez erspan-source
(config-mon-erspan-src)#interface source Gig0/0/0
(config-mon-erspan-src)# destination
(config-mon-erspan-src-dst)# adresse IP 10.10.10.1
(config-mon-erspan-src-dst)# adresse IP d'origine 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

PORTÉE, RSPAN, ERSPAN 4


Heure de publication : 28 août 2024