SPAN, RSPAN et ERSPAN sont des techniques utilisées en réseau pour capturer et surveiller le trafic à des fins d'analyse. Voici un bref aperçu de chacune d'elles :
SPAN (Analyseur de ports commutés)
Objectif : utilisé pour mettre en miroir le trafic provenant de ports ou de VLAN spécifiques sur un commutateur vers un autre port à des fins de surveillance.
Cas d'utilisation : Idéal pour l'analyse du trafic local sur un seul commutateur. Le trafic est mis en miroir sur un port désigné où un analyseur de réseau peut le capturer.
RSPAN (SPAN à distance)
Objectif : étend les capacités SPAN sur plusieurs commutateurs d’un réseau.
Cas d'utilisation : Permet de surveiller le trafic d'un commutateur à un autre via une liaison principale. Utile lorsque le dispositif de surveillance est situé sur un autre commutateur.
ERSPAN (SPAN distant encapsulé)
Objectif : combine RSPAN avec GRE (Generic Routing Encapsulation) pour encapsuler le trafic en miroir.
Cas d'utilisation : Permet de surveiller le trafic sur les réseaux routés. Ceci est utile dans les architectures réseau complexes où le trafic doit être capturé sur différents segments.
Switch Port Analyzer (SPAN) est un système de surveillance du trafic efficace et performant. Il dirige ou met en miroir le trafic d'un port source ou d'un VLAN vers un port de destination. On parle parfois de surveillance de session. SPAN permet notamment de résoudre les problèmes de connectivité et de calculer l'utilisation et les performances du réseau. Trois types de SPAN sont pris en charge par les produits Cisco…
a. SPAN ou SPAN local.
b. SPAN à distance (RSPAN).
c. SPAN distant encapsulé (ERSPAN).
Savoir: "Mylinking™ Network Packet Broker avec fonctionnalités SPAN, RSPAN et ERSPAN"
SPAN / la mise en miroir du trafic / la mise en miroir des ports est utilisée à de nombreuses fins, dont certaines sont présentées ci-dessous.
- Mise en œuvre d'IDS/IPS en mode promiscuité.
- Solutions d'enregistrement d'appels VOIP.
- Raisons de conformité de sécurité pour surveiller et analyser le trafic.
- Dépannage des problèmes de connexion, surveillance du trafic.
Quel que soit le type de SPAN en cours d'exécution, la source SPAN peut être n'importe quel type de port, c'est-à-dire un port routé, un port de commutateur physique, un port d'accès, une jonction, un VLAN (tous les ports actifs du commutateur sont surveillés), un EtherChannel (soit un port, soit des interfaces port-canal entières), etc. Notez qu'un port configuré pour la destination SPAN NE PEUT PAS faire partie d'un VLAN source SPAN.
Les sessions SPAN prennent en charge la surveillance du trafic entrant (SPAN entrant), du trafic sortant (SPAN sortant) ou du trafic circulant dans les deux sens.
- Le SPAN d'entrée (RX) copie le trafic reçu par les ports et VLAN sources vers le port de destination. Il copie le trafic avant toute modification (par exemple, avant tout filtre VACL ou ACL, contrôle de la qualité de service (QoS) ou contrôle d'entrée ou de sortie).
- Le SPAN de sortie (TX) copie le trafic transmis depuis les ports et VLAN sources vers le port de destination. Tous les filtrages ou modifications pertinents (par exemple, filtre VACL ou ACL, contrôle de la qualité de service ou contrôle d'entrée ou de sortie) sont effectués avant que le commutateur ne transfère le trafic vers le port de destination du SPAN.
- Lorsque le mot clé both est utilisé, SPAN copie le trafic réseau reçu et transmis par les ports source et les VLAN vers le port de destination.
- SPAN/RSPAN ignore généralement les trames CDP, STP BPDU, VTP, DTP et PAgP. Cependant, ces types de trafic peuvent être transférés si la commande de réplication d'encapsulation est configurée.
SPAN ou SPAN local
SPAN reflète le trafic d'une ou plusieurs interfaces du commutateur vers une ou plusieurs interfaces du même commutateur ; c'est pourquoi SPAN est généralement appelé LOCAL SPAN.
Directives ou restrictions concernant le SPAN local :
- Les ports commutés de couche 2 et les ports de couche 3 peuvent être configurés comme ports source ou de destination.
- La source peut être un ou plusieurs ports ou un VLAN, mais pas un mélange de ceux-ci.
- Les ports trunk sont des ports sources valides mélangés à des ports sources non trunk.
- Jusqu'à 64 ports de destination SPAN peuvent être configurés sur un commutateur.
- Lors de la configuration d'un port de destination, sa configuration d'origine est écrasée. Si la configuration SPAN est supprimée, la configuration d'origine de ce port est restaurée.
Lors de la configuration d'un port de destination, celui-ci est supprimé de tout bundle EtherChannel s'il en faisait partie. S'il s'agissait d'un port routé, la configuration de destination SPAN remplace celle du port routé.
- Les ports de destination ne prennent pas en charge la sécurité des ports, l'authentification 802.1x ou les VLAN privés.
- Un port ne peut servir de port de destination que pour une seule session SPAN.
- Un port ne peut pas être configuré comme port de destination s'il s'agit d'un port source d'une session SPAN ou d'une partie d'un VLAN source.
- Les interfaces de canal de port (EtherChannel) peuvent être configurées comme ports source mais pas comme port de destination pour SPAN.
- Le sens du trafic est « les deux » par défaut pour les sources SPAN.
Les ports de destination ne participent jamais à une instance Spanning Tree. Ils ne prennent pas en charge DTP, CDP, etc. Le SPAN local inclut des BPDU dans le trafic surveillé ; ainsi, tous les BPDU détectés sur le port de destination sont copiés depuis le port source. Par conséquent, ne connectez jamais un commutateur à ce type de SPAN, car cela pourrait provoquer une boucle réseau. Les outils d'IA amélioreront l'efficacité du travail.IA indétectablele service peut améliorer la qualité des outils d’IA.
- Lorsqu'un VLAN est configuré comme source SPAN (généralement appelé VSPAN) avec les options d'entrée et de sortie configurées, transférez les paquets dupliqués depuis le port source uniquement s'ils sont commutés dans le même VLAN. Une copie du paquet provient du trafic entrant sur le port d'entrée, et l'autre du trafic sortant sur le port de sortie.
- VSPAN surveille uniquement le trafic qui sort ou entre dans les ports de couche 2 du VLAN.
SPAN à distance (RSPAN)
Le protocole RSPAN (Remote SPAN) est similaire au protocole SPAN, mais il prend en charge les ports source, les VLAN source et les ports de destination sur différents commutateurs, ce qui permet de surveiller à distance le trafic provenant des ports source répartis sur plusieurs commutateurs et de centraliser les périphériques de capture réseau de destination. Chaque session RSPAN achemine le trafic SPAN via un VLAN RSPAN dédié spécifié par l'utilisateur sur tous les commutateurs participants. Ce VLAN est ensuite acheminé vers d'autres commutateurs, ce qui permet au trafic de la session RSPAN d'être transporté sur plusieurs commutateurs et acheminé vers la station de capture de destination. RSPAN se compose d'une session source RSPAN, d'un VLAN RSPAN et d'une session de destination RSPAN.
Directives ou restrictions concernant RSPAN :
- Un VLAN spécifique doit être configuré pour la destination SPAN qui traversera les commutateurs intermédiaires via des liaisons principales vers le port de destination.
- Peut créer le même type de source – au moins un port ou au moins un VLAN, mais ne peut pas être le mélange.
- La destination de la session est RSPAN VLAN plutôt que le port unique du commutateur, donc tous les ports du RSPAN VLAN recevront le trafic en miroir.
- Configurez n'importe quel VLAN en tant que VLAN RSPAN tant que tous les périphériques réseau participants prennent en charge la configuration des VLAN RSPAN et utilisez le même VLAN RSPAN pour chaque session RSPAN
- VTP peut propager la configuration des VLAN numérotés de 1 à 1024 en tant que VLAN RSPAN. Il doit configurer manuellement les VLAN numérotés supérieurs à 1024 en tant que VLAN RSPAN sur tous les périphériques réseau source, intermédiaire et de destination.
- L'apprentissage de l'adresse MAC est désactivé dans le VLAN RSPAN.
SPAN distant encapsulé (ERSPAN)
Le SPAN distant encapsulé (ERSPAN) apporte une encapsulation de routage générique (GRE) pour tout le trafic capturé et permet son extension sur les domaines de couche 3.
ERSPAN est unPropriété de CiscoCette fonctionnalité est actuellement disponible uniquement sur les plateformes Catalyst 6500, 7600, Nexus et ASR 1000. L'ASR 1000 prend en charge la source ERSPAN (surveillance) uniquement sur les interfaces Fast Ethernet, Gigabit Ethernet et Port Channel.
Directives ou restrictions concernant ERSPAN :
Les sessions sources ERSPAN ne copient pas le trafic encapsulé GRE ERSPAN depuis les ports sources. Chaque session source ERSPAN peut avoir des ports ou des VLAN comme sources, mais pas les deux.
- Quelle que soit la taille MTU configurée, ERSPAN crée des paquets de couche 3 pouvant atteindre 9 202 octets. Le trafic ERSPAN peut être abandonné par toute interface du réseau appliquant une taille MTU inférieure à 9 202 octets.
- ERSPAN ne prend pas en charge la fragmentation des paquets. Le bit « Ne pas fragmenter » est défini dans l'en-tête IP des paquets ERSPAN. Les sessions de destination ERSPAN ne peuvent pas réassembler les paquets ERSPAN fragmentés.
- L'ID ERSPAN différencie le trafic ERSPAN arrivant à la même adresse IP de destination à partir de différentes sessions sources ERSPAN ; l'ID ERSPAN configuré doit correspondre sur les périphériques source et de destination.
Pour un port ou un VLAN source, ERSPAN peut surveiller le trafic entrant, sortant ou les deux. Par défaut, ERSPAN surveille tout le trafic, y compris les trames multicast et BPDU (Bridge Protocol Data Unit).
- Les interfaces de tunnel prises en charge comme ports source pour une session source ERSPAN sont GRE, IPinIP, SVTI, IPv6, IPv6 sur tunnel IP, Multipoint GRE (mGRE) et Secure Virtual Tunnel Interfaces (SVTI).
- L'option de filtrage VLAN n'est pas fonctionnelle dans une session de surveillance ERSPAN sur les interfaces WAN.
- ERSPAN sur les routeurs Cisco ASR 1000 Series prend en charge uniquement les interfaces de couche 3. Les interfaces Ethernet ne sont pas prises en charge sur ERSPAN lorsqu'elles sont configurées comme interfaces de couche 2.
Lorsqu'une session est configurée via l'interface de ligne de commande ERSPAN, l'ID et le type de session ne peuvent pas être modifiés. Pour les modifier, vous devez d'abord utiliser la forme no de la commande de configuration pour supprimer la session, puis la reconfigurer.
- Cisco IOS XE Release 3.4S : la surveillance des paquets de tunnel non protégés par IPsec est prise en charge sur les interfaces de tunnel IPv6 et IPv6 sur IP uniquement vers les sessions source ERSPAN, et non vers les sessions de destination ERSPAN.
- Cisco IOS XE Release 3.5S, la prise en charge a été ajoutée pour les types d'interfaces WAN suivants en tant que ports source pour une session source : série (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) et Multilink PPP (les mots-clés multilink, pos et serial ont été ajoutés à la commande d'interface source).
Utilisation d'ERSPAN comme SPAN local :
Pour utiliser ERSPAN pour surveiller le trafic via un ou plusieurs ports ou VLAN dans le même appareil, nous devons créer une source ERSPAN et des sessions de destination ERSPAN dans le même appareil, le flux de données a lieu à l'intérieur du routeur, ce qui est similaire à celui du SPAN local.
Les facteurs suivants s'appliquent lors de l'utilisation d'ERSPAN comme SPAN local :
- Les deux sessions ont le même identifiant ERSPAN.
Les deux sessions ont la même adresse IP. Cette adresse IP est celle du routeur, c'est-à-dire l'adresse IP de bouclage ou l'adresse IP configurée sur un port.
| (config)# surveiller la session 10 type erspan-source |
| (config-mon-erspan-src)# interface source Gig0/0/0 |
| (config-mon-erspan-src)# destination |
| (config-mon-erspan-src-dst)# adresse IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adresse IP d'origine 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Date de publication : 28 août 2024
