SPAN, RSPAN eta ERSPAN sarean erabiltzen diren teknikak dira, trafikoa atzeman eta monitorizatzeko, analisiak egiteko. Hona hemen bakoitzaren laburpen labur bat:
SPAN (Ataka Kommutatuen Analizatzailea)
Helburua: Switch bateko portu edo VLAN espezifikoetatik beste portu batera trafikoa islatzeko erabiltzen da, monitorizaziorako.
Erabilera kasua: Egokia etengailu bakarreko trafiko lokalaren analisietarako. Trafikoa izendatutako portu batera islatzen da, non sare-analizatzaile batek atzeman dezakeen.
RSPAN (Urruneko SPAN)
Helburua: SPAN gaitasunak sare bateko hainbat etengailuren artean zabaltzea.
Erabilera kasua: Konmutadore batetik besterako trafikoa enbor-lotura baten bidez monitorizatzea ahalbidetzen du. Monitorizazio-gailua beste konmutadore batean dagoen egoeretarako erabilgarria.
ERSPAN (Urruneko SPAN Kapsulatua)
Helburua: RSPAN eta GRE (Generic Routing Encapsulation) konbinatzen ditu ispilu bidezko trafikoa kapsulatzeko.
Erabilera kasua: Bideratutako sareen arteko trafikoa monitorizatzea ahalbidetzen du. Hau erabilgarria da segmentu desberdinetan trafikoa jaso behar den sare-arkitektura konplexuetan.
Switch port Analyzer (SPAN) trafikoa monitorizatzeko sistema eraginkor eta errendimendu handikoa da. Trafikoa iturburu-portu edo VLAN batetik helmuga-portu batera zuzentzen edo islatzen du. Batzuetan saioen monitorizazioa deitzen zaio horri. SPAN konexio-arazoak konpontzeko eta sarearen erabilera eta errendimendua kalkulatzeko erabiltzen da, besteak beste. Hiru SPAN mota onartzen dira Cisco produktuetan…
a. SPAN edo tokiko SPAN.
b. Urruneko SPAN (RSPAN).
c. Urruneko SPAN kapsulatua (ERSPAN).
Jakitea: "Mylinking™ Sareko Paketeen Brokerra SPAN, RSPAN eta ERSPAN funtzioekin"
SPAN / trafikoaren islatzea / portuen islatzea helburu askotarako erabiltzen da, behean batzuk sartzen dira.
- IDS/IPS modu promiskuoan ezartzea.
- VOIP deiak grabatzeko irtenbideak.
- Trafikoa monitorizatu eta aztertzeko segurtasun-betetze arrazoiak.
- Konexio arazoak konpontzea, trafikoa monitorizatzea.
Exekutatzen ari den SPAN mota edozein dela ere, SPAN iturria edozein portu mota izan daiteke, hau da, bideratutako portu bat, switch portu fisiko bat, sarbide portu bat, trunk bat, VLAN bat (switch-aren portu aktibo guztiak monitorizatzen dira), EtherChannel bat (portu bat edo portu-kanal interfaze osoak), etab. Kontuan izan SPAN helmugarako konfiguratutako portu bat EZIN DELA SPAN iturri VLAN baten parte izan.
SPAN saioek sarrerako trafikoaren (sarrerako SPAN), irteerako trafikoaren (irteerako SPAN) edo bi noranzkoetan doan trafikoaren monitorizazioa onartzen dute.
- Sarrerako SPANak (RX) iturburu-portuek eta VLANek jasotako trafikoa helmuga-portuan kopiatzen du. SPANak trafikoa kopiatzen du edozein aldaketa egin aurretik (adibidez, edozein VACL edo ACL iragazki, QoS edo sarrerako edo irteerako polizia egin aurretik).
- Irteerako SPANak (TX) iturburu-portuetatik eta VLANetatik helmuga-porturaino igorritako trafikoa kopiatzen du. VACL edo ACL iragazkiaren, QoS-aren edo sarrerako edo irteerako poliziaren bidezko iragazketa edo aldaketa garrantzitsu guztiak egiten dira etengailuak SPAN helmuga-porturaino trafikoa birbidali aurretik.
- "both" gako-hitza erabiltzen denean, SPANek iturburu-portuek eta VLANek jaso eta transmititutako sare-trafikoa helmuga-portuan kopiatzen du.
- SPAN/RSPANek normalean CDP, STP BPDU, VTP, DTP eta PAgP markoak alde batera uzten ditu. Hala ere, trafiko mota hauek birbidal daitezke encapsulation replicate komandoa konfiguratuta badago.
SPAN edo Tokiko SPAN
SPANek switch-eko interfaze bat edo gehiagotik switch bereko interfaze bat edo gehiagorako trafikoa islatzen du; horregatik, SPANi gehienetan LOCAL SPAN deitzen zaio.
Tokiko SPANerako jarraibideak edo murrizketak:
- Bai 2. geruzako kommutazio-portuak, bai 3. geruzako portuek iturri- edo helburu-portu gisa konfigura daitezke.
- Iturria portu bat edo gehiago edo VLAN bat izan daiteke, baina ez horien nahasketa bat.
- Enbor-portuak enbor-portuetatik kanpoko iturburu-portuekin nahastutako iturburu-portu baliodunak dira.
Gehienez 64 SPAN helmuga portu konfigura daitezke switch batean.
- Helmugako ataka bat konfiguratzen dugunean, jatorrizko konfigurazioa gainidatzi egiten da. SPAN konfigurazioa kentzen bada, ataka horretako jatorrizko konfigurazioa berreskuratzen da.
- Helmuga-portu bat konfiguratzerakoan, portua edozein EtherChannel sortatik kentzen da, baldin eta sorta baten parte bazen. Bideratutako portua balitz, SPAN helmuga-konfigurazioak bideratutako portu-konfigurazioa gainidazten du.
- Helmugako portuek ez dute portuen segurtasuna, 802.1x autentifikazioa edo VLAN pribatuak onartzen.
- Portu bat SPAN saio bakarrerako bakarrik izan daiteke helmuga portu gisa.
- Ezin da ataka bat helmuga-ataka gisa konfiguratu hedapen-saio baten iturburu-ataka edo iturburu-VLAN baten parte bada.
- Portu-kanal interfazeak (EtherChannel) iturburu-portu gisa konfigura daitezke, baina ez SPANerako helmuga-portu gisa.
- Trafikoaren norabidea "biak" da lehenespenez SPAN iturrietarako.
- Helmuga-portuek ez dute inoiz parte hartzen spanning-tree instantzia batean. Ezin ditu DTP, CDP eta abar onartu. SPAN lokalak BPDUak barne hartzen ditu monitorizatutako trafikoan, beraz, helmuga-portuan ikusten diren BPDU guztiak iturburu-portutik kopiatzen dira. Beraz, ez konektatu inoiz etengailu bat SPAN mota honetara, sare-begizta bat sor baitezake. Adimen artifizialaren tresnek lanaren eraginkortasuna hobetuko dute, etaIA detektaezinzerbitzuak IA tresnen kalitatea hobetu dezake.
- VLAN SPAN iturri gisa konfiguratuta dagoenean (gehienetan VSPAN deitzen zaio) sarrera eta irteera aukerekin, birbidali pakete bikoiztuak iturburu-atakatik, baldin eta paketeak VLAN berean aldatzen badira soilik. Paketearen kopia bat sarrera-atakako sarrera-trafikoa da, eta beste kopia irteera-atakako irteera-trafikoa.
- VSPANek VLANeko 2. geruzako portuetatik sartzen edo irteten den trafikoa bakarrik kontrolatzen du.
Urruneko SPAN (RSPAN)
Remote SPAN (RSPAN) SPANen antzekoa da, baina iturburu-atak, iturburu-VLANak eta helmuga-atak onartzen ditu etengailu desberdinetan, eta horrek urruneko monitorizazio-trafikoa eskaintzen du etengailu anitzetan banatutako iturburu-ataken bidez, eta helmugak sareko harrapaketa-gailuak zentralizatzea ahalbidetzen du. RSPAN saio bakoitzak SPAN trafikoa erabiltzaileak zehaztutako RSPAN VLAN dedikatu baten bidez eramaten du parte hartzen duten etengailu guztietan. VLAN hau beste etengailu batzuetara konektatzen da, RSPAN saioko trafikoa etengailu anitzetan zehar garraiatzea eta helmugako harrapaketa-estaziora bidaltzea ahalbidetuz. RSPAN iturburu-saio batez, RSPAN VLAN batez eta RSPAN helmuga-saio batez osatuta dago.
RSPANen jarraibideak edo murrizketak:
- VLAN espezifiko bat konfiguratu behar da SPAN helmugara, eta honek tarteko etengailuak zeharkatuko ditu trunk loturen bidez helmugako atakarantz.
- Iturri mota bera sor dezake – gutxienez portu bat edo gutxienez VLAN bat, baina ezin da nahasketa izan.
- Saioaren helmuga RSPAN VLAN da, eta ez switch-eko portu bakarra, beraz, RSPAN VLANeko portu guztiek jasoko dute ispilu bidezko trafikoa.
- Konfiguratu edozein VLAN RSPAN VLAN gisa, baldin eta parte hartzen duten sareko gailu guztiek RSPAN VLANen konfigurazioa onartzen badute, eta erabili RSPAN VLAN bera RSPAN saio bakoitzerako.
- VTP-k 1etik 1024ra zenbakitutako VLANen konfigurazioa RSPAN VLAN gisa heda dezake, baina 1024 baino zenbaki handiagoa duten VLANak eskuz konfiguratu behar ditu iturburu, tarteko eta helmugako sareko gailu guztietan.
- MAC helbidearen ikaskuntza desgaituta dago RSPAN VLANean.
Urruneko SPAN kapsulatua (ERSPAN)
Enkapsulatutako urruneko SPANak (ERSPAN) harrapatutako trafiko guztientzako bideratze generikoen enkapsulazioa (GRE) ekartzen du eta 3. geruzako domeinuetan zehar hedatzea ahalbidetzen du.
ERSPAN bat da.Ciscoren jabetzakoafuntzioa eta orain arte Catalyst 6500, 7600, Nexus eta ASR 1000 plataformetarako bakarrik dago eskuragarri. ASR 1000ak ERSPAN iturria (monitorizazioa) Fast Ethernet, Gigabit Ethernet eta portu-kanal interfazeetan bakarrik onartzen du.
ERSPANen jarraibideak edo murrizketak:
- ERSPAN iturburu-saioek ez dute ERSPAN GRE-enkapsulatutako trafikoa iturburu-portuetatik kopiatzen. ERSPAN iturburu-saio bakoitzak portuak edo VLANak izan ditzake iturburu gisa, baina ez biak.
- Konfiguratutako MTU tamaina edozein dela ere, ERSPANek 9.202 byte arteko luzera izan dezaketen 3. geruzako paketeak sortzen ditu. ERSPAN trafikoa 9.202 byte baino txikiagoa den MTU tamaina bat behartzen duen sareko edozein interfazek baztertu dezake.
- ERSPANek ez du paketeen zatikatzea onartzen. "Ez zatikatu" bita ERSPAN paketeen IP goiburuan ezarrita dago. ERSPAN helmuga saioek ezin dituzte zatikatutako ERSPAN paketeak berriro muntatu.
- ERSPAN IDak bereizten ditu helmuga IP helbide berera iristen den ERSPAN trafikoa hainbat ERSPAN iturburu saiotatik; konfiguratutako ERSPAN IDak iturburu eta helmuga gailuetan bat etorri behar du.
- Iturburu-portu edo iturburu-VLAN batentzat, ERSPANek sarrerako, irteerako edo sarrerako eta irteerako trafikoa monitoriza dezake. Berez, ERSPANek trafiko guztia monitorizatzen du, multicast eta Bridge Protocol Data Unit (BPDU) markoak barne.
- ERSPAN iturburu-saio baterako iturburu-portu gisa onartzen diren tunel-interfazeak hauek dira: GRE, IPinIP, SVTI, IPv6, IPv6 over IP tunela, Multipoint GRE (mGRE) eta Secure Virtual Tunnel Interfaces (SVTI).
- VLAN iragazkiaren aukera ez da funtzionatzen WAN interfazeetako ERSPAN monitorizazio saio batean.
- Cisco ASR 1000 serieko bideratzaileetako ERSPANek 3. geruzako interfazeak soilik onartzen ditu. Ethernet interfazeak ez dira onartzen ERSPANen 2. geruzako interfaze gisa konfiguratuta daudenean.
- Saio bat ERSPAN konfigurazio CLI bidez konfiguratzen denean, saioaren IDa eta saio mota ezin dira aldatu. Aldatzeko, lehenik konfigurazio komandoaren no forma erabili behar duzu saioa kentzeko eta gero saioa berriro konfiguratu.
- Cisco IOS XE 3.4S bertsioa :- IPsec-ez babestutako tunel-paketeen monitorizazioa IPv6 eta IPv6 IP tunel-interfazeetan soilik onartzen da, ERSPAN iturburu-saioetarako, ez ERSPAN helmuga-saioetarako.
- Cisco IOS XE 3.5S bertsioan, WAN interfaze mota hauek iturburu saio baterako iturburu-portu gisa erabiltzeko euskarria gehitu da: Seriea (T1/E1, T3/E3, DS0), SONET gaineko paketea (POS) (OC3, OC12) eta Multilink PPP (multilink, pos eta serial gako-hitzak gehitu zaizkio iturburu interfazearen komandoari).
ERSPAN SPAN lokal gisa erabiltzea:
ERSPAN erabiltzeko gailu berean portu edo VLAN bat edo gehiagoren bidezko trafikoa monitorizatzeko, ERSPAN iturburu eta ERSPAN helmuga saioak sortu behar ditugu gailu berean, datu-fluxua bideratzailearen barruan gertatzen da, SPAN lokalean gertatzen denaren antzekoa.
Faktore hauek aplikagarriak dira ERSPAN tokiko SPAN gisa erabiltzean:
- Bi saioek ERSPAN ID bera dute.
- Bi saioek IP helbide bera dute. IP helbide hau bideratzailearen IP helbidea da; hau da, loopback IP helbidea edo edozein portutan konfiguratutako IP helbidea.
| (konfigurazioa)# 10. saioaren monitore mota erspan-source |
| (config-mon-erspan-src)# iturburu interfazea Gig0/0/0 |
| (config-mon-erspan-src)# helmuga |
| (config-mon-erspan-src-dst)# IP helbidea 10.10.10.1 |
| (config-mon-erspan-src-dst)# jatorrizko IP helbidea 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Argitaratze data: 2024ko abuztuaren 28a
