SPAN, RSPAN eta ERSPAN ulertzea: sareko trafikoaren jarraipena egiteko teknikak

SPAN, RSPAN eta ERSPAN sarean erabiltzen diren teknikak dira trafikoa harrapatzeko eta aztertzeko. Hona hemen bakoitzaren ikuspegi labur bat:

SPAN (Switched Port Analyzer)

Helburua: etengailu batean ataka edo VLAN jakin batzuetako trafikoa ispilu egiteko erabiltzen da monitorizaziorako.

Erabilera kasua: tokiko trafikoa etengailu bakarrean aztertzeko aproposa. Trafikoa izendatutako ataka batean islatzen da, non sare-analisiatzaileak harrapatzeko.

RSPAN (urruneko SPAN)

Helburua: SPAN gaitasunak zabaltzen ditu sare bateko hainbat etengailutan.

Erabilera-kasua: etengailu batetik bestera trafikoaren jarraipena ahalbidetzen du esteka baten bidez. Baliagarria monitorizazio-gailua beste etengailu batean dagoen agertokietarako.

ERSPAN (Urrutiko SPAN kapsulatua)

Helburua: RSPAN eta GRE (Generic Routing Encapsulation) konbinatzen ditu ispilutako trafikoa kapsulatzeko.

Erabilera kasua: bideratutako sareetan zehar trafikoaren jarraipena egiteko aukera ematen du. Hau erabilgarria da sareko arkitektura konplexuetan, non trafikoa segmentu desberdinetan harrapatu behar den.

Switch port Analyzer (SPAN) trafikoa kontrolatzeko sistema eraginkor eta eraginkorra da. Iturburuko ataka edo VLAN batetik helmugako ataka batera trafikoa bideratzen edo islatzen du. Batzuetan, saioaren jarraipena deitzen zaio. SPAN konexio-arazoak konpontzeko eta sarearen erabilera eta errendimendua kalkulatzeko erabiltzen da, beste askoren artean. Cisco produktuetan hiru SPAN mota daude onartzen...

a. SPAN edo tokiko SPAN.

b. Urruneko SPAN (RSPAN).

c. Urruneko SPAN kapsulatua (ERSPAN).

Jakin: "Mylinking™ Network Packet Broker SPAN, RSPAN eta ERSPAN ezaugarriekin"

SPAN, RSPAN, ERSPAN

SPAN / trafikoaren ispilua / ataka islatzea helburu askotarako erabiltzen da, behean batzuk sartzen dira.

- IDS/IPS modu promiskuoan ezartzea.

- VOIP deiak grabatzeko irtenbideak.

- Segurtasuna betetzeko arrazoiak trafikoa kontrolatzeko eta aztertzeko.

- Konexio-arazoak konpontzea, trafikoa kontrolatzea.

SPAN mota exekutatzen ari den edozein izanda ere, SPAN iturburua edozein motatako ataka izan daiteke, hau da, bideratutako ataka bat, etengailu fisikoko ataka, sarbide ataka bat, enbor, VLAN (portu aktibo guztiak etengailuaren jarraipena egiten dira), EtherChannel (ataka edo ataka osoa). -channel interfaces) etab. Kontuan izan SPAN helmugarako konfiguratutako ataka EZIN dela izan SPAN iturburuko VLAN baten parte.

SPAN saioek sarrerako trafikoa (sarrera SPAN), irteerako trafikoa (irteera SPAN) edo bi noranzkoetan dabilen trafikoa kontrolatzen dute.

- Ingress SPAN (RX) iturburuko portuek eta VLANek jasotako trafikoa helmugako atakara kopiatzen du. SPAN-k trafikoa kopiatzen du edozein aldaketaren aurretik (adibidez, edozein VACL edo ACL iragazki, QoS edo sarrera edo irteera poliziaren aurretik).

- Irteera SPAN (TX) iturburuko ataketatik eta VLANetatik helmugako atakara transmititutako trafikoa kopiatzen du. VACL edo ACL iragazkien, QoS edo sarrera edo irteeren polizia-ekintza garrantzitsuenen iragazketa edo aldaketa guztiak egiten dira etengailuak trafikoa SPAN helmuga atakara birbidaltzen duen aurretik.

- Bi gako-hitzak erabiltzen direnean, SPAN-ek iturburuko portuek eta VLANek jasotako eta igorritako sareko trafikoa kopiatzen du helburuko atakara.

- SPAN/RSPAN normalean CDP, STP BPDU, VTP, DTP eta PAgP fotogramak alde batera uzten ditu. Hala ere, trafiko mota hauek birbidali daitezke enkapsulazio erreplikatu komandoa konfiguratuta badago.

SPAN edo SPAN lokala

SPAN-ek etengailuko interfaze batetik edo gehiagotik etengailu bereko interfaze batera edo gehiagorako trafikoa islatzen du; beraz, SPAN gehienetan LOCAL SPAN deitzen zaio.

Tokiko SPANrako jarraibideak edo murrizketak:

- 2. geruza aldatutako atakak eta geruza 3. portuak sorburu edo helmugako ataka gisa konfigura daitezke.

- Iturria portu bat edo gehiago edo VLAN bat izan daiteke, baina ez hauen nahasketa bat.

- Enbor-atalak baliozko iturburu-atalak dira, trunk ez diren iturburu-portuekin nahastuta.

- Switch batean gehienez 64 SPAN helmuga ataka konfigura daitezke.

- Helmugako ataka bat konfiguratzen dugunean, bere jatorrizko konfigurazioa gainidazten da. SPAN konfigurazioa kentzen bada, ataka horretako jatorrizko konfigurazioa berrezartzen da.

- Helmugako ataka konfiguratzean, ataka edozein EtherChannel sortatik kentzen da, baldin eta baten parte izan balitz. Bideratutako ataka balitz, SPAN helmuga konfigurazioak bideratutako atakaren konfigurazioa gainidazten du.

- Helmugako portuek ez dute onartzen ataka-segurtasuna, 802.1x autentifikazioa edo VLAN pribatuak.

- Portu batek SPAN saio bakarrerako helmugako ataka gisa jardun dezake.

- Ataka bat ezin da helmugako ataka gisa konfiguratu span saio baten iturburuko ataka edo sorburuko VLANaren zatia bada.

- Portu-kanalaren interfazeak (EtherChannel) iturburuko ataka gisa konfigura daitezke, baina ez SPAN helmugako ataka gisa.

- Trafikoaren norabidea "biak" da lehenespenez SPAN iturrietarako.

- Helmuga portuek ez dute inoiz parte hartzen spanning-tree instantzia batean. Ezin dira DTP, CDP eta abar onartzen. Local SPAN-ek BPDU-ak barne hartzen ditu kontrolatutako trafikoan, beraz, helmugako atakan ikusten diren BPDUak iturburuko atakatik kopiatzen dira. Beraz, inoiz ez konektatu etengailu bat SPAN mota honetara, sareko begizta bat sor baitezake. AI tresnek lanaren eraginkortasuna hobetuko dute, etaAI detektaezinazerbitzuak AI tresnen kalitatea hobe dezake.

- VLAN SPAN iturburu gisa konfiguratuta dagoenean (gehienetan VSPAN gisa aipatzen da) sarrera eta irteera aukerak konfiguratuta, birbidali pakete bikoiztuak iturburuko atakatik paketeak VLAN berean aldatzen badira bakarrik. Paketearen kopia bat sarrerako atakako sarrerako trafikokoa da, eta paketearen beste kopia irteerako atakako irteerako trafikokoa.

- VSPAN-ek VLANeko 2. geruzako ataketatik irteten edo sartzen den trafikoa soilik kontrolatzen du.

SPAN, RSPAN, ERSPAN 1

Urruneko SPAN (RSPAN)

Remote SPAN (RSPAN) SPAN-en antzekoa da, baina etengailu ezberdinetan iturburuko portuak, iturburuko VLANak eta helmugako portuak onartzen ditu, hainbat etengailutan banatutako iturburuko portuetatik urruneko jarraipena ematen duten trafikoa eta helmuga sare harrapatzeko gailuak zentralizatzeko aukera ematen baitute. RSPAN saio bakoitzak SPAN trafikoa erabiltzaileak zehaztutako RSPAN VLAN dedikatu baten bidez eramaten du parte hartzen duten switch guztietan. Ondoren, VLAN hau beste etengailu batzuetara konektatzen da, RSPAN saio-trafikoa hainbat etengailutan zehar garraiatu eta helmuga harrapatzeko estaziora helarazteko aukera emanez. RSPAN RSPAN iturburu-saio batek, RSPAN VLAN batek eta RSPAN helmuga-saio batek osatzen dute.

RSPANrako jarraibideak edo murrizketak:

- VLAN espezifiko bat konfiguratu behar da SPAN helmugarako, tarteko etengailuetatik zeharkatuko dena helmugako atakarako esteken bidez.

- Iturburu mota bera sor dezake - gutxienez ataka bat edo gutxienez VLAN bat baina ezin da nahasketa izan.

- Saioaren helmuga RSPAN VLAN da etengailuko ataka bakarra baino, beraz, RSPAN VLANeko ataka guztiek ispilutako trafikoa jasoko dute.

- Konfiguratu edozein VLAN RSPAN VLAN gisa, betiere parte hartzen duten sareko gailu guztiek RSPAN VLANen konfigurazioa onartzen badute, eta RSPAN VLAN bera erabili RSPAN saio bakoitzeko.

- VTP-k 1etik 1024ra bitarteko VLANen konfigurazioa heda dezake RSPAN VLAN gisa, eskuz konfiguratu behar ditu 1024 baino goragoko VLANak RSPAN VLAN gisa iturburu, tarteko eta helmugako sareko gailu guztietan.

- MAC helbidearen ikaskuntza desgaituta dago RSPAN VLANean.

SPAN, RSPAN, ERSPAN 2

Urruneko SPAN kapsulatua (ERSPAN)

Encapsulated remote SPAN (ERSPAN) kapsulatutako urruneko SPAN (ERSPAN) bideratze-enkapsulazio generikoa (GRE) ekartzen du harrapatutako trafiko guztiarentzat eta 3. geruzako domeinuetara zabaltzeko aukera ematen du.

ERSPAN bat daCisco jabedunaeginbidea eta Catalyst 6500, 7600, Nexus eta ASR 1000 plataformetarako soilik dago eskuragarri orain arte. ASR 1000-k ERSPAN iturria (monitorizazioa) onartzen du Fast Ethernet, Gigabit Ethernet eta portu-kanal interfazeetan soilik.

ERSPANrako jarraibideak edo murrizketak:

- ERSPAN iturburuko saioek ez dute ERSPAN GRE-n kapsulatutako trafikoa iturburuko ataketatik kopiatzen. ERSPAN iturburu-saio bakoitzak portuak edo VLANak izan ditzake iturri gisa, baina ez biak.

- Konfiguratutako MTU tamaina edozein dela ere, ERSPAN-ek 9.202 byte-ko luzera izan dezaketen Layer 3 paketeak sortzen ditu. ERSPAN trafikoa 9.202 byte baino txikiagoa den MTU tamaina behartzen duen sareko edozein interfazeek ezaba dezakete.

- ERSPAN-ek ez du onartzen paketeen zatiketa. "Ez zatitu" bit ERSPAN paketeen IP goiburuan ezartzen da. ERSPAN helmuga-saioek ezin dituzte ERSPAN pakete zatikatuak berriro muntatu.

- ERSPAN IDak helmugako IP helbide berera iristen den ERSPAN trafikoa ERSPAN iturriko saio ezberdinetatik bereizten du; konfiguratutako ERSPAN IDa bat etorri behar da iturburuko eta helmugako gailuetan.

- Sorburuko ataka edo iturburuko VLAN baterako, ERSPAN-ek sarrera, irteera edo sarrera eta irteera trafikoa kontrolatu ditzake. Lehenespenez, ERSPAN-ek trafiko guztia kontrolatzen du, multicast eta Bridge Protocol Data Unit (BPDU) markoak barne.

- ERSPAN iturburu-saio baterako iturburu-portu gisa onartzen den tunel-interfazea GRE, IPinIP, SVTI, IPv6, IPv6 IP tunelaren bidez, Multipoint GRE (mGRE) eta Secure Virtual Tunnel Interfaces (SVTI) dira.

- Iragazkia VLAN aukera ez da funtzionala WAN interfazeetako ERSPAN monitorizazio saio batean.

- ERSPAN-ek Cisco ASR 1000 serieko bideratzaileetan 3. geruzako interfazeak soilik onartzen ditu. Ethernet interfazeak ez dira onartzen ERSPAN-en 2. geruzako interfaze gisa konfiguratuta.

- Saio bat ERSPAN konfigurazio CLI bidez konfiguratzen denean, saio IDa eta saio mota ezin dira aldatu. Horiek aldatzeko, lehenik konfigurazio komandoaren no forma erabili behar duzu saioa kentzeko eta, ondoren, saioa berriro konfiguratu.

- Cisco IOS XE Release 3.4S: - IPsec babestuta ez dauden tunel-paketeen jarraipena IPv6 eta IPv6 IP tuneleko interfazeetan onartzen da ERSPAN iturburuko saioetarako soilik, ez ERSPAN helmugako saioetarako.

- Cisco IOS XE Release 3.5S, WAN interfaze mota hauetarako laguntza gehitu zen iturburuko saio baterako iturburuko ataka gisa: Serial (T1/E1, T3/E3, DS0) , Packet over SONET (POS) (OC3, OC12) eta Multilink PPP (multilink, pos, eta serieko gako-hitzak iturburu-interfazearen komandoan gehitu ziren).

SPAN, RSPAN, ERSPAN 3

ERSPAN tokiko SPAN gisa erabiltzen:

ERSPAN erabiltzeko gailu berean portu edo VLAN baten edo gehiagoren bidezko trafikoa kontrolatzeko, ERSPAN iturburu bat eta ERSPAN helmugako saioak sortu behar ditugu gailu berean, datu-fluxua bideratzailearen barruan gertatzen da, SPAN lokalaren antzekoa dena.

Faktore hauek aplikagarriak dira ERSPAN tokiko SPAN gisa erabiltzen duzun bitartean:

- Bi saioek ERSPAN ID bera dute.

- Bi saioek IP helbide bera dute. IP helbide hau bideratzaileen IP helbidea da; hau da, loopback IP helbidea edo edozein atakan konfiguratutako IP helbidea.

(config)# monitor session 10 idatzi erspan-source
(config-mon-erspan-src)# iturburu-interfazea Gig0/0/0
(config-mon-erspan-src)# helmuga
(config-mon-erspan-src-dst)# ip helbidea 10.10.10.1
(config-mon-erspan-src-dst)# jatorriko ip helbidea 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4


Argitalpenaren ordua: 2024-ko abuztuaren 28a