SPAN, RSPAN y ERSPAN son técnicas utilizadas en las redes para capturar y monitorear el tráfico para su análisis. Aquí hay una breve descripción de cada uno:
SPAN (analizador de puertos conmutados)
Propósito: Se usa para reflejar el tráfico desde puertos o VLAN específicos en un interruptor a otro puerto para su monitoreo.
Caso de uso: ideal para el análisis de tráfico local en un solo interruptor. El tráfico se refleja en un puerto designado donde un analizador de red puede capturarlo.
Rspan (tramo remoto)
Propósito: Extiende las capacidades de SPAN en múltiples interruptores en una red.
Caso de uso: permite el monitoreo del tráfico de un interruptor a otro a través de un enlace troncal. Útil para escenarios en los que el dispositivo de monitoreo se encuentra en un interruptor diferente.
ERSPAN (tramo remoto encapsulado)
Propósito: combina RSPAN con GRE (encapsulación de enrutamiento genérico) para encapsular el tráfico reflejado.
Caso de uso: permite el monitoreo del tráfico en redes enrutadas. Esto es útil en arquitecturas de red complejas donde el tráfico debe capturarse en diferentes segmentos.
Switch Port Analyzer (SPAN) es un sistema eficiente de monitoreo de tráfico de alto rendimiento. Dirige o refleja el tráfico desde un puerto de origen o VLAN a un puerto de destino. Esto a veces se conoce como monitoreo de sesión. SPAN se utiliza para solucionar problemas de conectividad y calcular la utilización y el rendimiento de la red, entre muchos otros. Hay tres tipos de tramos apoyados en productos Cisco ...
a. Rango o tramo local.
b. Tramo remoto (RSPAN).
do. Espacio remoto encapsulado (ERSPAN).
Saber: "Broker de paquetes de red MyLinking ™ con características de SPAN, RSPAN y ERSPAN"
La reflejo de tráfico / reflejo de puerto se utiliza para muchos propósitos, a continuación incluye algunos.
- Implementación de IDS/IP en modo promiscuo.
- Soluciones de grabación de llamadas VoIP.
- Razones de cumplimiento de seguridad para monitorear y analizar el tráfico.
- Solución de problemas de problemas de conexión, monitoreo del tráfico.
Independientemente del tipo de span que se ejecute, la fuente de span puede ser cualquier tipo de puerto, es decir, un puerto enrutado, puerto de conmutador físico, un puerto de acceso, troncal, VLAN (todos los puertos activos se controlan el conmutador), un ehercannel (ya sea un puerto o interfaces de canal de puerto enteras), etc. Tenga en cuenta que un puerto configurado para el destino del espacio no puede ser parte de una fuente VLAN.
Las sesiones del tramo admiten el monitoreo del tráfico de ingreso (tramo de entrada), el tráfico de salida (tramo de salida) o el tráfico que fluye en ambas direcciones.
- Ingress Span (RX) Copia el tráfico recibido por los puertos de origen y las VLAN al puerto de destino. Span copia el tráfico antes de cualquier modificación (por ejemplo, antes de cualquier filtro VACL o ACL, QoS o Ingresa o Policía de salida).
- El tránsito de salida (TX) copia el tráfico transmitido desde los puertos de origen y las VLAN al puerto de destino. Todo el filtrado o modificación relevante por filtro VACL o ACL, QoS o acciones de vigilancia o salida de entrada se toman antes de que el cambio reenvía el tráfico al puerto de destino.
- Cuando se usa ambas palabras clave, SPAN copia el tráfico de red recibido y transmitido por los puertos de origen y las VLAN al puerto de destino.
- SPAN/RSPAN generalmente ignora los marcos CDP, STP BPDU, VTP, DTP y PAGP. Sin embargo, estos tipos de tráfico se pueden reenviar si se configura el comando de replicación de encapsulación.
En el tramo o el tramo local
El tráfico refleja el tráfico de una o más interfaz en el interruptor a una o más interfaces en el mismo interruptor; Por lo tanto, el lapso se conoce principalmente como el tramo local.
Pautas o restricciones al tramo local:
- Tanto los puertos conmutados y los puertos de capa 3 se pueden configurar como puertos de origen o destino.
- La fuente puede ser uno o más puertos o una VLAN, pero no una mezcla de estos.
- Los puertos troncales son puertos de origen válidos mezclados con puertos fuente no troncales.
- Hasta 64 puertos de destino se pueden configurar en un conmutador.
- Cuando configuramos un puerto de destino, su configuración original se sobrescribe. Si se elimina la configuración de SPAN, se restaura la configuración original en ese puerto.
- Cuando configure un puerto de destino, el puerto se elimina de cualquier paquete de ethannel si era parte de uno. Si fuera un puerto enrutado, la configuración de destino de SPAN anula la configuración del puerto enrutado.
- Los puertos de destino no admiten la seguridad del puerto, la autenticación 802.1x o las VLAN privadas.
- Un puerto puede actuar como puerto de destino para una sola sesión de un tramo.
- Un puerto no se puede configurar como un puerto de destino si es un puerto de origen de una sesión de tramo o parte de la VLAN de origen.
- Las interfaces del canal de puerto (EtherChannel) se pueden configurar como puertos de origen, pero no como un puerto de destino para SPAN.
- La dirección del tráfico es "ambas" de forma predeterminada para las fuentes de span.
- Los puertos de destino nunca participan en una instancia de árbol de expansión. No se puede admitir DTP, CDP, etc. El tramo local incluye BPDU en el tráfico monitoreado, por lo que cualquier BPDU que se ve en el puerto de destino se copia desde el puerto de origen. Por lo tanto, nunca conecte un interruptor a este tipo de tramo, ya que podría causar un bucle de red. Las herramientas de inteligencia artificial mejorarán la eficiencia laboral yIA indetectableEl servicio puede mejorar la calidad de las herramientas de IA.
- Cuando VLAN se configura como fuente de SPAN (en su mayoría denominada VSPAN) con opciones de entrada y salida configuradas, reenvíe los paquetes duplicados del puerto de origen solo si los paquetes se cambian en la misma VLAN. Una copia del paquete es del tráfico de ingreso en el puerto de entrada, y la otra copia del paquete es del tráfico de salida en el puerto de salida.
- Vspan monitorea solo el tráfico que deja o ingresa a los puertos de la capa 2 en la VLAN.
Tramo remoto (rspan)
El tramo remoto (RSPAN) es similar a SPAN, pero admite los puertos de origen, las VLAN de origen y los puertos de destino en diferentes conmutadores, que proporcionan tráfico de monitoreo remoto desde los puertos de origen distribuidos a través de múltiples conmutadores y permite que los dispositivos de captura de red de centralización de destino de destino. Cada sesión de RSPAN lleva el tráfico de span a través de una VLAN dedicada con especificaciones de usuario en todos los interruptores participantes. Esta VLAN se troncal a otros interruptores, lo que permite que el tráfico de la sesión de RSPAN se transporte a través de múltiples interruptores y se entregue a la estación de captura de destino. RSPAN consiste en una sesión fuente de RSPAN, una VLAN RSPAN y una sesión de destino RSPAN.
Pautas o restricciones a RSPAN:
- Se debe configurar una VLAN específica para el destino SPAN que atraviesará los interruptores intermedios a través de enlaces de troncal hacia el puerto de destino.
- Puede crear el mismo tipo de fuente: al menos un puerto o al menos una VLAN pero no puede ser la mezcla.
- El destino para la sesión es RSPAN VLAN en lugar del puerto único en Switch, por lo que todos los puertos en RSPAN VLAN recibirán el tráfico reflejado.
- Configure cualquier VLAN como una VLAN RSPAN siempre que todos los dispositivos de red participantes admitan la configuración de RSPAN VLAN, y use la misma VLAN RSPAN para cada sesión de RSPAN
- VTP puede propagar la configuración de VLAN numeradas 1 a 1024 como VLAN RSPAN, debe configurar manualmente las VLAN numeradas más de 1024 como RSPAN VLAN en todos los dispositivos de red de origen, intermedios y de destino.
- El aprendizaje de la dirección MAC está deshabilitada en la VLAN RSPAN.
Espacio remoto encapsulado (ERSPAN)
El tramo remoto encapsulado (ERSPAN) trae encapsulación de enrutamiento genérico (GRE) para todo el tráfico capturado y permite que se extienda a través de los dominios de la capa 3.
Erspan es unPropietario de CiscoCaracterística y está disponible solo para Catalyst 6500, 7600, Nexus y ASR 1000 de plataformas hasta la fecha. El ASR 1000 admite la fuente ERSPAN (monitoreo) solo en interfaces rápidas de Ethernet, Gigabit Ethernet y de canal de puerto.
Pautas o restricciones a ERSPAN:
- Las sesiones de origen de ERSPAN no copian el tráfico de ERSPAN GRE-encapsulado de los puertos fuente. Cada sesión fuente de ERSPAN puede tener puertos o VLAN como fuentes, pero no ambas.
- Independientemente de cualquier tamaño de MTU configurado, ERSPAN crea paquetes de capa 3 que pueden ser hasta 9,202 bytes. El tráfico de ERSPAN podría ser eliminado por cualquier interfaz en la red que haga cumplir un tamaño de MTU menor de 9,202 bytes.
- ERSPAN no admite la fragmentación de paquetes. El bit "No fragmento" se establece en el encabezado IP de los paquetes ERSPAN. Las sesiones de destino de ERSPAN no pueden volver a armar paquetes ERSPAN fragmentados.
- La ID de ERSPAN diferencia el tráfico ERSPAN que llega a la misma dirección IP de destino de varias sesiones de origen de ERSPAN diferentes; La ID de ERSPAN configurada debe coincidir en los dispositivos de origen y de destino.
- Para un puerto de origen o una VLAN de origen, el ERSPAN puede monitorear el ingreso, la salida o el tráfico de entrada y salida. Por defecto, ERSPAN monitorea todo el tráfico, incluidos los marcos de la Unidad de Datos de Protocolo de Multicast y Bridge (BPDU).
- La interfaz del túnel es compatible como puertos fuente para una sesión fuente de ERSPAN son GRE, IPINIP, SVTI, IPv6, IPv6 sobre túnel IP, GRE (MGRE) e interfaces de túnel virtual seguras (SVTI).
- La opción Filter VLAN no es funcional en una sesión de monitoreo ERSPAN en interfaces WAN.
- ERSPAN en los enrutadores de la serie Cisco ASR 1000 admite solo interfaces de capa 3. Las interfaces Ethernet no son compatibles con ERSPAN cuando se configuran como interfaces de capa 2.
- Cuando una sesión se configura a través de la CLI de configuración ERSPAN, el ID de sesión y el tipo de sesión no se pueden cambiar. Para cambiarlos, primero debe usar la forma no del comando de configuración para eliminar la sesión y luego reconfigurar la sesión.
- Cisco iOS XE Release 3.4s:- El monitoreo de paquetes de túnel no protegidos por IPSEC se admite en IPv6 e IPv6 sobre las interfaces de túnel IP solo para las sesiones de origen ERSPAN, no para las sesiones de destino ERSPAN.
- Se añadió soporte de Cisco IOS XE Release 3.5s para los siguientes tipos de interfaces WAN como puertos de origen para una sesión de origen: Serial (T1/E1, T3/E3, DS0), Packet Over SONET (POS) (OC3, OC12) y Multilink PPP (Multilink, POS y las palabras clave seriales se agregaron al comando de interfaz de origen).
Usando Erspan como lapso local:
Para usar ERSPAN para monitorear el tráfico a través de uno o más puertos o VLAN en el mismo dispositivo, debemos tener que crear una fuente de ERSPAN y sesiones de destino ERSPAN en el mismo dispositivo, el flujo de datos tiene lugar dentro del enrutador, que es similar a la de la extensión local.
Los siguientes factores son aplicables al usar ERSPAN como un lapso local:
- Ambas sesiones tienen la misma identificación de Erspan.
- Ambas sesiones tienen la misma dirección IP. Esta dirección IP es la dirección IP propia de los enrutadores; Es decir, la dirección IP de bucle de bucle o la dirección IP configurada en cualquier puerto.
| (config)# Monitor Sesión 10 Escriba a ERSPAN-Source |
| (config-mon-erspan-src)# interfaz de origen gig0/0/0 |
| (Config-mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# dirección IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# Origin Dirección IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Tiempo de publicación: agosto-28-2024
