SPAN, RSPAN, ak ERSPAN se teknik yo itilize nan rezo pou kaptire epi kontwole trafik pou analiz. Men yon ti apèsi sou chak:
SPAN (Analizè Pò Chanje)
Objektif: Itilize pou repwodui trafik ki soti nan pò espesifik oswa VLAN sou yon switch pou ale nan yon lòt pò pou siveyans.
Ka Itilizasyon: Ideyal pou analiz trafik lokal sou yon sèl switch. Trafik la reflete sou yon pò deziyen kote yon analizè rezo ka kaptire li.
RSPAN (SPAN a distans)
Objektif: Pwolonje kapasite SPAN yo atravè plizyè switch nan yon rezo.
Ka Itilizasyon: Pèmèt siveyans trafik soti nan yon switch pou ale nan yon lòt sou yon lyen trunk. Itil pou senaryo kote aparèy siveyans lan sitiye sou yon lòt switch.
ERSPAN (SPAN a distans ankapsule)
Objektif: Konbine RSPAN ak GRE (Generic Routing Encapsulation) pou ankapsule trafik an miwa a.
Ka Itilizasyon: Pèmèt siveyans trafik atravè rezo ki gen routage. Sa itil nan achitekti rezo konplèks kote trafik la bezwen kaptire sou diferan segman.
Switch port Analyzer (SPAN) se yon sistèm siveyans trafik efikas ak pèfòmans wo. Li dirije oswa reflete trafik ki soti nan yon pò sous oswa VLAN pou ale nan yon pò destinasyon. Pafwa yo rele sa siveyans sesyon. Yo itilize SPAN pou depanaj pwoblèm koneksyon ak kalkile itilizasyon ak pèfòmans rezo a, pami anpil lòt bagay. Gen twa kalite SPAN ki sipòte sou pwodwi Cisco yo...
a. SPAN oubyen SPAN lokal.
b. SPAN a distans (RSPAN).
c. SPAN a distans ankapsule (ERSPAN).
Pou konnen: "Mylinking™ Network Packet Broker ak karakteristik SPAN, RSPAN ak ERSPAN"
SPAN / mirroring trafik / mirroring pò yo itilize pou plizyè rezon, anba a gen kèk ladan yo.
- Aplikasyon IDS/IPS nan mòd pwomisku.
- Solisyon anrejistreman apèl VOIP.
- Rezon konfòmite sekirite pou siveye epi analize trafik la.
- Depanaj pwoblèm koneksyon, siveyans trafik.
Kèlkeswa kalite SPAN k ap fonksyone a, sous SPAN an kapab nenpòt kalite pò, sa vle di yon pò ki gen routage, yon pò switch fizik, yon pò aksè, yon trunk, yon VLAN (tout pò aktif yo kontwole sou switch la), yon EtherChannel (swa yon pò oswa tout koòdone pò-chanèl) elatriye. Remake byen ke yon pò ki configuré pou yon destinasyon SPAN PA KA fè pati yon VLAN sous SPAN.
Sesyon SPAN yo sipòte siveyans trafik antre (SPAN antre), trafik sòti (SPAN sòti), oswa trafik k ap koule nan toude direksyon yo.
- SPAN antre (RX) kopye trafik ki resevwa pa pò sous yo ak VLAN yo nan pò destinasyon an. SPAN kopye trafik la anvan nenpòt modifikasyon (pa egzanp, anvan nenpòt filtè VACL oswa ACL, QoS oswa kontwòl antre oswa sòti).
- SPAN sòti (TX) kopye trafik ki transmèt soti nan pò sous yo ak VLAN yo nan pò destinasyon an. Tout aksyon filtraj oswa modifikasyon ki enpòtan pa filtè VACL oswa ACL, QoS oswa aksyon polisaj antre oswa sòti yo pran anvan switch la voye trafik la nan pò destinasyon SPAN an.
- Lè yo itilize mo kle both la, SPAN kopye trafik rezo a ki resevwa epi transmèt pa pò sous yo ak VLAN yo nan pò destinasyon an.
- SPAN/RSPAN anjeneral inyore ankadreman CDP, STP BPDU, VTP, DTP ak PAgP yo. Sepandan, kalite trafik sa yo ka transmèt si kòmand replikasyon enkapsulasyon an configuré.
SPAN oubyen SPAN Lokal
SPAN reflete trafik ki soti nan youn oubyen plizyè koòdone sou switch la pou rive nan youn oubyen plizyè koòdone sou menm switch la; kidonk yo rele SPAN sitou SPAN LOKAL.
Gid oswa restriksyon pou SPAN lokal la:
- Tou de pò komitasyon Kouch 2 ak pò Kouch 3 yo ka configuré kòm pò sous oswa pò destinasyon.
- Sous la kapab swa youn oubyen plizyè pò oubyen yon VLAN, men se pa yon melanj de sa yo.
- Pò trunk yo se pò sous valab melanje ak pò sous ki pa trunk.
- Ou ka konfigire jiska 64 pò destinasyon SPAN sou yon switch.
- Lè nou konfigire yon pò destinasyon, konfigirasyon orijinal li a ranplase. Si yo retire konfigirasyon SPAN an, konfigirasyon orijinal la sou pò sa a retabli.
- Lè w ap konfigire yon pò destinasyon, yo retire pò a nan nenpòt pake EtherChannel si li te fè pati youn. Si se te yon pò ki gen routage, konfigirasyon destinasyon SPAN an ranplase konfigirasyon pò ki gen routage a.
- Pò destinasyon yo pa sipòte sekirite pò, otantifikasyon 802.1x, oswa VLAN prive.
Yon pò ka aji kòm pò destinasyon pou yon sèl sesyon SPAN.
- Yo pa ka konfigire yon pò kòm yon pò destinasyon si li se yon pò sous nan yon sesyon span oswa yon pati nan yon VLAN sous.
- Entèfas chanèl pò yo (EtherChannel) ka konfigire kòm pò sous men pa kòm yon pò destinasyon pou SPAN.
- Direksyon trafik la se "toude" pa default pou sous SPAN yo.
- Pò destinasyon yo pa janm patisipe nan yon egzanp spanning-tree. Li pa ka sipòte DTP, CDP elatriye. SPAN lokal la gen ladan BPDU nan trafik ki kontwole a, kidonk nenpòt BPDU ki wè sou pò destinasyon an kopye nan pò sous la. Pakonsekan, pa janm konekte yon switch ak kalite SPAN sa a paske li ka lakòz yon bouk rezo. Zouti IA yo pral amelyore efikasite travay la, epiIA endetektabsèvis la ka amelyore kalite zouti IA yo.
- Lè VLAN configuré kòm sous SPAN (pifò fwa yo rele li VSPAN) avèk tou de opsyon antre ak sòti configuré, voye pakè kopi yo soti nan pò sous la sèlman si pakè yo chanje nan menm VLAN an. Yon kopi pakè a soti nan trafik antre a sou pò antre a, epi lòt kopi pakè a soti nan trafik sòti a sou pò sòti a.
- VSPAN kontwole sèlman trafik ki kite oswa antre nan pò Kouch 2 nan VLAN an.
SPAN a distans (RSPAN)
SPAN a distans (RSPAN) sanble ak SPAN, men li sipòte pò sous, VLAN sous, ak pò destinasyon sou diferan switch, ki bay siveyans trafik a distans soti nan pò sous distribye sou plizyè switch epi ki pèmèt destinasyon santralize aparèy kaptire rezo a. Chak sesyon RSPAN pote trafik SPAN an sou yon VLAN RSPAN dedye espesifye pa itilizatè a nan tout switch patisipan yo. VLAN sa a Lè sa a, konekte ak lòt switch, sa ki pèmèt trafik sesyon RSPAN an transpòte atravè plizyè switch epi delivre nan estasyon kaptire destinasyon an. RSPAN konsiste de yon sesyon sous RSPAN, yon VLAN RSPAN, ak yon sesyon destinasyon RSPAN.
Gid oswa restriksyon pou RSPAN:
- Yo dwe konfigire yon VLAN espesifik pou destinasyon SPAN ki pral travèse switch entèmedyè yo atravè lyen trunk nan direksyon pò destinasyon an.
- Kapab kreye menm kalite sous – omwen yon pò oubyen omwen yon VLAN men li pa ka melanje.
- Destinasyon sesyon an se RSPAN VLAN olye de yon sèl pò nan switch la, kidonk tout pò nan RSPAN VLAN ap resevwa trafik an miwa a.
- Konfigire nenpòt VLAN kòm yon VLAN RSPAN osi lontan ke tout aparèy rezo patisipan yo sipòte konfigirasyon VLAN RSPAN yo, epi sèvi ak menm VLAN RSPAN an pou chak sesyon RSPAN.
- VTP ka pwopaje konfigirasyon VLAN ki nimewote 1 jiska 1024 kòm VLAN RSPAN, li dwe konfigire manyèlman VLAN ki nimewote pi wo pase 1024 kòm VLAN RSPAN sou tout aparèy rezo sous, entèmedyè ak destinasyon.
Aprantisaj adrès MAC la enfim nan VLAN RSPAN an.
SPAN a distans ankapsule (ERSPAN)
SPAN aleka enkapsule (ERSPAN) pote enkapsulasyon routage jenerik (GRE) pou tout trafik kaptire epi pèmèt li dwe pwolonje atravè domèn Kouch 3 yo.
ERSPAN se yonPwopriyetè Ciscofonksyon sa a disponib sèlman pou platfòm Catalyst 6500, 7600, Nexus, ak ASR 1000 yo jiska prezan. ASR 1000 la sipòte sous ERSPAN (siveyans) sèlman sou interfaces Fast Ethernet, Gigabit Ethernet, ak pò-chanèl.
Gid oswa restriksyon pou ERSPAN:
- Sesyon sous ERSPAN yo pa kopye trafik ERSPAN GRE-enkapsule soti nan pò sous yo. Chak sesyon sous ERSPAN ka genyen swa pò oswa VLAN kòm sous, men pa toulede.
- Kèlkeswa gwosè MTU ki configuré a, ERSPAN kreye pake Kouch 3 ki ka rive jiska 9,202 okte. Nenpòt koòdone nan rezo a ki aplike yon gwosè MTU ki pi piti pase 9,202 okte ka retire trafik ERSPAN.
- ERSPAN pa sipòte fragmentasyon pakè. Bit "pa fragmente" a mete nan header IP pakè ERSPAN yo. Sesyon destinasyon ERSPAN yo pa ka reasanble pakè ERSPAN fragmente yo.
ID ERSPAN an diferansye trafik ERSPAN ki rive nan menm adrès IP destinasyon an soti nan plizyè sesyon sous ERSPAN diferan; ID ERSPAN ki konfigire a dwe koresponn sou aparèy sous ak destinasyon yo.
- Pou yon pò sous oswa yon VLAN sous, ERSPAN an ka kontwole trafik antre a, sòti a, oswa tou de trafik antre ak sòti a. Pa default, ERSPAN kontwole tout trafik la, ki gen ladan ankadreman multicast ak Bridge Protocol Data Unit (BPDU).
- Entèfas tinèl ki sipòte kòm pò sous pou yon sesyon sous ERSPAN se GRE, IPinIP, SVTI, IPv6, tinèl IPv6 sou IP, Multipoint GRE (mGRE) ak Entèfas Tinèl Vityèl Sekirize (SVTI).
Opsyon filtre VLAN an pa fonksyone nan yon sesyon siveyans ERSPAN sou koòdone WAN yo.
- ERSPAN sou routeur Cisco ASR seri 1000 yo sipòte sèlman interfaces Kouch 3. Entèfas Ethernet yo pa sipòte sou ERSPAN lè yo configuré kòm interfaces Kouch 2.
- Lè yon sesyon konfigire atravè CLI konfigirasyon ERSPAN an, ID sesyon an ak kalite sesyon an pa ka chanje. Pou chanje yo, ou dwe premye itilize fòm no nan lòd konfigirasyon an pou retire sesyon an epi answit rekonfigure sesyon an.
- Cisco IOS XE vèsyon 3.4S :- Siveyans pake tinèl ki pa pwoteje pa IPsec sipòte sou IPv6 ak IPv6 sou koòdone tinèl IP sèlman pou sesyon sous ERSPAN, pa pou sesyon destinasyon ERSPAN.
- Cisco IOS XE vèsyon 3.5S, yo te ajoute sipò pou kalite interfaces WAN sa yo kòm pò sous pou yon sesyon sous: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) ak Multilink PPP (yo te ajoute mo kle multilink, pos, ak serial nan kòmand interface source la).
Sèvi ak ERSPAN kòm SPAN lokal:
Pou itilize ERSPAN pou kontwole trafik atravè youn oubyen plizyè pò oubyen VLAN nan menm aparèy la, nou dwe kreye yon sesyon sous ERSPAN ak yon sesyon destinasyon ERSPAN nan menm aparèy la, sikilasyon done yo fèt andedan routeur la, menm jan ak sa ki nan SPAN lokal la.
Faktè sa yo aplikab lè w ap itilize ERSPAN kòm yon SPAN lokal:
Toulede sesyon yo gen menm ID ERSPAN an.
- Toulede sesyon yo gen menm adrès IP la. Adrès IP sa a se pwòp adrès IP routeur la; sa vle di, adrès IP loopback la oubyen adrès IP ki configuré sou nenpòt pò.
| (konfigirasyon) # sesyon siveyans 10 tape erspan-source |
| (config-mon-erspan-src)# sous entèfas Gig0/0/0 |
| (config-mon-erspan-src)# destinasyon |
| (config-mon-erspan-src-dst)# adrès IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# adrès IP orijin 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Dat piblikasyon: 28 Out 2024
