Span, RSPAN et Erspan sont des techniques utilisées dans la mise en réseau pour capturer et surveiller le trafic pour analyse. Voici un bref aperçu de chacun:
Span (Analyseur de port commuté)
Objectif: Utilisé pour refléter le trafic à partir de ports ou de VLAN spécifiques sur un passage à un autre port pour la surveillance.
Cas d'utilisation: Idéal pour l'analyse du trafic local sur un seul commutateur. Le trafic se reflète vers un port désigné où un analyseur de réseau peut le capturer.
RSPAN (Span Remote)
Objectif: étend des capacités de portée sur plusieurs commutateurs dans un réseau.
Cas d'utilisation: permet la surveillance du trafic d'un commutateur à un autre sur un lien de tronc. Utile pour les scénarios où le dispositif de surveillance est situé sur un commutateur différent.
Erspan (espace de télécommande encapsulé)
Objectif: combine RSPAN avec GRE (encapsulation de routage générique) pour encapsuler le trafic en miroir.
Cas d'utilisation: permet la surveillance du trafic sur les réseaux routés. Ceci est utile dans des architectures de réseau complexes où le trafic doit être capturé sur différents segments.
Switch Port Analyzer (SPAN) est un système de surveillance du trafic efficace et haute performance. Il dirige ou reflète le trafic d'un port source ou d'un VLAN vers un port de destination. Ceci est parfois appelé surveillance de session. Span est utilisé pour le dépannage des problèmes de connectivité et le calcul de l'utilisation et des performances du réseau, entre autres. Il existe trois types de portées soutenues sur les produits Cisco…
un. Span ou Span local.
né Span à distance (RSPAN).
c. Espace distant encapsulé (ERSPAN).
Savoir: "Courtier de paquets de réseau MyLinking ™ avec fonctionnalités SPAN, RSPAN et Erspan"
La mise en miroir / la mise en miroir du trafic / port est utilisée à de nombreuses fins, ci-dessous comprend certains.
- Implémentation d'IDS / IP en mode promiscuité.
- Solutions d'enregistrement des appels VoIP.
- Raisons de la conformité à la sécurité pour surveiller et analyser le trafic.
- Dépannage des problèmes de connexion, surveillance du trafic.
Indépendamment du type de portée en cours d'exécution, Span Source peut être n'importe quel type de port, c'est-à-dire un port acheminé, un port de commutateur physique, un port d'accès, un tronc, un VLAN (tous les ports actifs sont surveillés du commutateur), un étherCannel (soit un port ou des interfaces de canal de port entier) etc.
Les séances de span soutiennent la surveillance du trafic d'entrée (Span à entrave), le trafic de sortie (SPE de sortie) ou le trafic circulant dans les deux directions.
- Interpress Span (RX) copie le trafic reçu par les ports source et les VLAN vers le port de destination. Span copie le trafic avant toute modification (par exemple avant tout filtre VACL ou ACL, QoS ou entrée ou police de sortie).
- Span de sortie (TX) copie le trafic transmis à partir des ports source et des VLAN vers le port de destination. Toutes les filtrages ou modifications pertinents par filtre VACL ou ACL, QoS ou Ingress ou des mesures de police de sortie ne sont prises avant que le changement avance le trafic vers le port de destination.
- Lorsque les deux mots clés sont utilisés, Span copie le trafic réseau reçu et transmis par les ports source et les VLAN vers le port de destination.
- SPAN / RSPAN ignore généralement les trames CDP, STP BPDU, VTP, DTP et PAGP. Cependant, ces types de trafic peuvent être transmis si la commande de réplication d'encapsulation est configurée.
Span ou Local Span
Span reflète le trafic d'une ou plusieurs interfactions sur le commutateur à une ou plusieurs interfaces sur le même commutateur; Par conséquent, Span est principalement appelé Span local.
Lignes directrices ou restrictions à la portée locale:
- Les ports commutés de couche 2 et les ports de couche 3 peuvent être configurés en tant que ports source ou de destination.
- La source peut être soit un ou plusieurs ports ou un VLAN, mais pas un mélange de ceux-ci.
- Les ports du coffre sont des ports source valides mélangés à des ports source non tronc.
- Jusqu'à 64 ports de destination Span peuvent être configurés sur un commutateur.
- Lorsque nous configurons un port de destination, sa configuration d'origine est écrasée. Si la configuration de Span est supprimée, la configuration d'origine sur ce port est restaurée.
- Lors de la configuration d'un port de destination, le port est supprimé de n'importe quel faisceau d'EtherChannel s'il faisait partie d'un. S'il s'agissait d'un port acheminé, la configuration de la destination Span remplace la configuration du port acheminé.
- Les ports de destination ne prennent pas en charge la sécurité des ports, l'authentification 802.1x ou les VLAN privés.
- Un port peut agir comme port de destination pour une seule session de portée.
- Un port ne peut pas être configuré en tant que port de destination s'il s'agit d'un port source d'une session Span ou d'une partie de Source VLAN.
- Les interfaces de canal de port (EtherChannel) peuvent être configurées en tant que ports source mais pas comme port de destination pour Span.
- La direction du trafic est «les deux» par défaut pour les sources SPAN.
- Les ports de destination ne participent jamais à une instance de spanning-arree. Impossible de prendre en charge DTP, CDP, etc. Span local comprend des BPDU dans le trafic surveillé, de sorte que les BPDU vus sur le port de destination sont copiés à partir du port source. Par conséquent, ne connectez jamais un commutateur à ce type de portée car il pourrait provoquer une boucle de réseau. Les outils d'IA amélioreront l'efficacité du travail etAI indétectableLe service peut améliorer la qualité des outils d'IA.
- Lorsque VLAN est configuré en tant que source SPAN (principalement appelée VSPAN) avec des options d'entrée et de sortie configurées, transmettez des paquets en double à partir du port source uniquement si les paquets sont commutés dans le même VLAN. Une copie du paquet provient du trafic d'entrée sur le port d'entrée, et l'autre copie du paquet provient du trafic de sortie sur le port de sortie.
- VSpan surveille uniquement le trafic qui quitte ou entre les ports de couche 2 dans le VLAN.
Span à distance (RSPAN)
Span à distance (RSPAN) est similaire à Span, mais il prend en charge les ports source, les VLAN source et les ports de destination sur différents commutateurs, qui fournissent un trafic de surveillance à distance à partir des ports source distribués sur plusieurs commutateurs et permet de centraliser les périphériques de capture de réseau de la destination. Chaque session RSPAN comporte le trafic Span sur un VLAN RSPAN dédié spécifié par l'utilisateur dans tous les commutateurs participants. Ce VLAN est ensuite réduit à d'autres commutateurs, permettant à la circulation de la session RSPAN d'être transportée sur plusieurs commutateurs et livrée à la station de capture de destination. RSPAN se compose d'une session de source RSPAN, d'un VLAN RSPAN et d'une session de destination RSPAN.
Lignes directrices ou restrictions à RSPAN:
- Un VLAN spécifique doit être configuré pour la destination de span qui traversera les commutateurs intermédiaires via des liens de tronc vers le port de destination.
- Peut créer le même type de source - au moins un port ou au moins un VLAN mais ne peut pas être le mélange.
- La destination de la session est RSPAN VLAN plutôt que le port unique du commutateur, donc tous les ports de RSPAN VLAN recevront le trafic en miroir.
- Configurez n'importe quel VLAN en tant que VLAN RSPAN tant que tous les périphériques réseau participants prennent en charge la configuration des VLAN RSPAN, et utilisez le même VLAN RSPAN pour chaque session RSPAN
- VTP peut propager la configuration des VLAN numérotés 1 à 1024 en tant que VLAN RSPAN, doit configurer manuellement les VLAN numérotés supérieurs à 1024 en tant que VLAN RSPAN sur tous les périphériques de réseau source, intermédiaire et de destination.
- L'apprentissage de l'adresse MAC est désactivé dans le VLAN RSPAN.
Espan à distance encapsulé (ERSPAN)
La portée distante encapsulée (ERSPAN) apporte l'encapsulation de routage générique (GRE) pour tout le trafic capturé et permet d'être étendu à travers les domaines de la couche 3.
Erspan est unCisco propriétairecaractéristique et est disponible uniquement pour les plates-formes Catalyst 6500, 7600, Nexus et ASR 1000 à ce jour. L'ASR 1000 prend en charge la source Erspan (surveillance) uniquement sur les interfaces Fast Ethernet, Gigabit Ethernet et Port-Channel.
Lignes directrices ou restrictions à Erspan:
- Les sessions de source Erspan ne copient pas le trafic GRE-Encapsulé par Erspan à partir des ports source. Chaque session Erspan Source peut avoir des ports ou des VLAN comme sources, mais pas les deux.
- Indépendamment de toute taille MTU configurée, Erspan crée des paquets de couche 3 qui peuvent atteindre 9 202 octets. Le trafic Erspan peut être supprimé par n'importe quelle interface du réseau qui applique une taille MTU inférieure à 9 202 octets.
- Erspan ne prend pas en charge la fragmentation des paquets. Le bit "Do Not Fragment" est défini dans l'en-tête IP des paquets Erspan. Les séances de destination Erspan ne peuvent pas réassembler des paquets Erspan fragmentés.
- L'ID Erspan différencie le trafic Erspan arrivant à la même adresse IP de destination de différentes sessions de source Erspan différentes; L'ID Erspan configuré doit correspondre aux périphériques source et de destination.
- Pour un port source ou un VLAN source, l'Erspan peut surveiller la pénétration, la sortie ou le trafic d'entrée et de sortie. Par défaut, Erspan surveille tout le trafic, y compris les cadres de la multidiffusion et de l'unité de données du protocole de pont (BPDU).
- L'interface du tunnel prise en charge en tant que ports source pour une session source Erspan est GRE, ipinIP, SVTI, IPv6, IPv6 sur le tunnel IP, Multipoint GRE (MGRE) et les interfaces de tunnel virtuel sécurisées (SVTI).
- L'option VLAN Filtre n'est pas fonctionnelle dans une session de surveillance Erspan sur les interfaces WAN.
- Erspan sur les routeurs de la série Cisco ASR 1000 ne prend en charge que les interfaces de couche 3. Les interfaces Ethernet ne sont pas prises en charge sur Erspan lorsqu'ils sont configurés sous forme d'interfaces de couche 2.
- Lorsqu'une session est configurée via la CLI de configuration Erspan, l'ID de session et le type de session ne peuvent pas être modifiés. Pour les modifier, vous devez d'abord utiliser le formulaire NO de la commande de configuration pour supprimer la session, puis reconfigurer la session.
- Cisco IOS XE Release 3.4S: - La surveillance des paquets de tunnel non protégées non IPSEC est prise en charge sur IPv6 et IPv6 sur les interfaces de tunnel IP uniquement aux sessions de source Erspan, et non aux sessions de destination Erspan.
- Cisco IOS XE Release 3.5S, une prise en charge a été ajoutée pour les types suivants d'interfaces WAN en tant que ports source pour une session source: Serial (T1 / E1, T3 / E3, DS0), Packet Over Sonet (POS) (OC3, OC12) et Multilink PPP (Multilink, POS et des mots de touches sériaux ont été ajoutés à l'interface source).
Utilisation d'Erspan comme portée locale:
Pour utiliser Erspan pour surveiller le trafic via un ou plusieurs ports ou VLAN dans le même appareil, nous devons créer une source Erspan et des séances de destination Erspan dans le même appareil, le flux de données a lieu à l'intérieur du routeur, ce qui est similaire à celui de la portée locale.
Les facteurs suivants sont applicables lors de l'utilisation d'Erspan comme portée locale:
- Les deux sessions ont le même ID Erspan.
- Les deux sessions ont la même adresse IP. Cette adresse IP est l'adresse IP de la possibilité de routeurs; Autrement dit, l'adresse IP de bouclage ou l'adresse IP configurée sur n'importe quel port.
| (config) # Monitor Session 10 Type Erspan-source |
| (config-mon -rspan-src) # Interface source gig0 / 0/0 |
| (config-mon -rspan-src) # destination |
| (config-mon -rspan-src-dst) # adresse IP 10.10.10.1 |
| (config-mon -rspan-src-dst) # Adresse IP d'origine 10.10.10.1 |
| (config-mon -rspan-src-dst) # erspan-id 100 |
Heure du poste: août-28-2024
