SPAN, RSPAN y ERSPANson técnicas utilizadas en redes para capturar y monitorear el tráfico para su análisis. Aquí hay una breve descripción general de cada uno:
SPAN (analizador de puerto conmutado)
Propósito: Se utiliza para reflejar el tráfico desde puertos o VLAN específicos en un conmutador a otro puerto para su monitoreo.
Caso de uso: Ideal para análisis de tráfico local en un solo conmutador. El tráfico se refleja en un puerto designado donde un analizador de red puede capturarlo.
RSPAN (SPAN remoto)
Propósito: Extiende las capacidades de SPAN a través de múltiples conmutadores en una red.
Caso de uso: permite monitorear el tráfico de un conmutador a otro a través de un enlace troncal. Útil para escenarios donde el dispositivo de monitoreo está ubicado en un conmutador diferente.
ERSPAN (SPAN remoto encapsulado)
Propósito: Combina RSPAN con GRE (Encapsulación de enrutamiento genérico) para encapsular el tráfico reflejado.
Caso de uso: permite monitorear el tráfico a través de redes enrutadas. Esto resulta útil en arquitecturas de red complejas donde es necesario capturar el tráfico en diferentes segmentos.
Analizador de puertos de switch (SPAN)es un sistema de monitoreo de tráfico eficiente y de alto rendimiento. Dirige o refleja el tráfico desde un puerto de origen o VLAN a un puerto de destino. A esto a veces se le llama monitoreo de sesión. SPAN se utiliza para solucionar problemas de conectividad y calcular la utilización y el rendimiento de la red, entre muchos otros. Hay tres tipos de SPAN admitidos en los productos Cisco...
a. SPAN o SPAN local.
b. SPAN remoto (RSPAN).
do. SPAN remoto encapsulado (ERSPAN).
Para saber: "Agente de paquetes de red Mylinking™ con funciones SPAN, RSPAN y ERSPAN"
SPAN/duplicación de tráfico/duplicación de puertos se utiliza para muchos propósitos; a continuación se incluyen algunos.
- Implementación de IDS/IPS en modo promiscuo.
- Soluciones de grabación de llamadas VOIP.
- Razones de cumplimiento de seguridad para monitorear y analizar el tráfico.
- Solución de problemas de conexión, seguimiento del tráfico.
Independientemente del tipo de SPAN que se esté ejecutando, la fuente de SPAN puede ser cualquier tipo de puerto, es decir, un puerto enrutado, un puerto de conmutador físico, un puerto de acceso, una línea troncal, una VLAN (todos los puertos activos son monitoreados en el conmutador), un EtherChannel (ya sea un puerto o un puerto completo). -interfaces de canal), etc. Tenga en cuenta que un puerto configurado para el destino SPAN NO PUEDE ser parte de una VLAN de origen SPAN.
Las sesiones SPAN admiten la supervisión del tráfico de entrada (SPAN de entrada), el tráfico de salida (SPAN de salida) o el tráfico que fluye en ambas direcciones.
- Ingress SPAN (RX) copia el tráfico recibido por los puertos de origen y las VLAN al puerto de destino. SPAN copia el tráfico antes de cualquier modificación (por ejemplo, antes de cualquier filtro VACL o ACL, QoS o vigilancia de entrada o salida).
- Egress SPAN (TX) copia el tráfico transmitido desde los puertos de origen y las VLAN al puerto de destino. Todo el filtrado o modificación relevante mediante filtro VACL o ACL, QoS o acciones de control de entrada o salida se realizan antes de que el switch reenvíe el tráfico al puerto de destino SPAN.
- Cuando se utiliza la palabra clave Both, SPAN copia el tráfico de red recibido y transmitido por los puertos de origen y las VLAN al puerto de destino.
- SPAN/RSPAN normalmente ignora las tramas CDP, STP BPDU, VTP, DTP y PAgP. Sin embargo, estos tipos de tráfico se pueden reenviar si se configura el comando de replicación de encapsulación.
SPAN o SPAN local
SPAN refleja el tráfico de una o más interfaces en el conmutador a una o más interfaces en el mismo conmutador; por lo tanto, SPAN se denomina principalmente SPAN LOCAL.
Directrices o restricciones para SPAN local:
- Tanto los puertos conmutados de Capa 2 como los puertos de Capa 3 se pueden configurar como puertos de origen o de destino.
- La fuente puede ser uno o más puertos o una VLAN, pero no una combinación de estos.
- Los puertos troncales son puertos de origen válidos combinados con puertos de origen no troncales.
- Se pueden configurar hasta 64 puertos de destino SPAN en un conmutador.
- Cuando configuramos un puerto de destino se sobrescribe su configuración original. Si se elimina la configuración de SPAN, se restaura la configuración original en ese puerto.
- Cuando se configura un puerto de destino, el puerto se elimina de cualquier paquete EtherChannel si fuera parte de uno. Si fuera un puerto enrutado, la configuración de destino de SPAN anula la configuración del puerto enrutado.
- Los puertos de destino no admiten seguridad de puerto, autenticación 802.1x ni VLAN privadas.
- Un puerto puede actuar como puerto de destino solo para una sesión SPAN.
- Un puerto no se puede configurar como puerto de destino si es un puerto de origen de una sesión de extensión o parte de la VLAN de origen.
- Las interfaces de canal de puerto (EtherChannel) se pueden configurar como puertos de origen pero no como puerto de destino para SPAN.
- La dirección del tráfico es "ambas" de forma predeterminada para las fuentes SPAN.
- Los puertos de destino nunca participan en una instancia de árbol de expansión. No se puede admitir DTP, CDP, etc. El SPAN local incluye BPDU en el tráfico monitoreado, por lo que cualquier BPDU que se vea en el puerto de destino se copia desde el puerto de origen. Por lo tanto, nunca conecte un conmutador a este tipo de SPAN, ya que podría provocar un bucle en la red.
- Cuando la VLAN está configurada como fuente SPAN (principalmente denominada VSPAN) con las opciones de entrada y salida configuradas, reenvía paquetes duplicados desde el puerto de origen solo si los paquetes se conmutan en la misma VLAN. Una copia del paquete proviene del tráfico de entrada en el puerto de entrada y la otra copia del paquete proviene del tráfico de salida en el puerto de salida.
- VSPAN monitorea solo el tráfico que sale o ingresa a los puertos de Capa 2 en la VLAN.
SPAN, RSPAN y ERSPAN son técnicas utilizadas en redes para capturar y monitorear el tráfico para su análisis. Aquí hay una breve descripción general de cada uno:
SPAN (analizador de puerto conmutado)
- Objetivo: Se utiliza para reflejar el tráfico desde puertos específicos o VLAN en un conmutador a otro puerto para su monitoreo.
- Caso de uso: Ideal para análisis de tráfico local en un solo conmutador. El tráfico se refleja en un puerto designado donde un analizador de red puede capturarlo.
RSPAN (SPAN remoto)
- Objetivo: amplía las capacidades de SPAN a través de múltiples conmutadores en una red.
- Caso de uso: Permite monitorear el tráfico de un conmutador a otro a través de un enlace troncal. Útil para escenarios donde el dispositivo de monitoreo está ubicado en un conmutador diferente.
ERSPAN (SPAN remoto encapsulado)
- Objetivo: Combina RSPAN con GRE (Encapsulación de enrutamiento genérico) para encapsular el tráfico reflejado.
- Caso de uso: permite monitorear el tráfico a través de redes enrutadas. Esto resulta útil en arquitecturas de red complejas donde es necesario capturar el tráfico en diferentes segmentos.
SPAN remoto (RSPAN)
Remote SPAN (RSPAN) es similar a SPAN, pero admite puertos de origen, VLAN de origen y puertos de destino en diferentes conmutadores, lo que proporciona monitoreo remoto del tráfico desde los puertos de origen distribuidos en múltiples conmutadores y permite que el destino centralice los dispositivos de captura de red. Cada sesión RSPAN transporta el tráfico SPAN a través de una VLAN RSPAN dedicada especificada por el usuario en todos los conmutadores participantes. Luego, esta VLAN se conecta troncalmente a otros conmutadores, lo que permite que el tráfico de la sesión RSPAN se transporte a través de varios conmutadores y se entregue a la estación de captura de destino. RSPAN consta de una sesión de origen RSPAN, una VLAN RSPAN y una sesión de destino RSPAN.
Directrices o restricciones para RSPAN:
- Se debe configurar una VLAN específica para el destino SPAN que atravesará los conmutadores intermedios a través de enlaces troncales hacia el puerto de destino.
- Puede crear el mismo tipo de fuente: al menos un puerto o al menos una VLAN, pero no puede ser una combinación.
- El destino de la sesión es RSPAN VLAN en lugar del único puerto en el conmutador, por lo que todos los puertos en RSPAN VLAN recibirán el tráfico reflejado.
- Configure cualquier VLAN como VLAN RSPAN siempre que todos los dispositivos de red participantes admitan la configuración de VLAN RSPAN y utilice la misma VLAN RSPAN para cada sesión RSPAN.
- VTP puede propagar la configuración de las VLAN numeradas del 1 al 1024 como VLAN RSPAN; debe configurar manualmente las VLAN con números superiores a 1024 como VLAN RSPAN en todos los dispositivos de red de origen, intermedio y de destino.
- El aprendizaje de la dirección MAC está deshabilitado en la VLAN RSPAN.
SPAN remoto encapsulado (ERSPAN)
SPAN remoto encapsulado (ERSPAN) ofrece encapsulación de enrutamiento genérico (GRE) para todo el tráfico capturado y permite extenderlo a través de dominios de capa 3.
ERSPAN es unpropiedad de Ciscocaracterística y está disponible solo para las plataformas Catalyst 6500, 7600, Nexus y ASR 1000 hasta la fecha. El ASR 1000 admite fuente ERSPAN (monitoreo) solo en Fast Ethernet, Gigabit Ethernet e interfaces de canal de puerto.
Lineamientos o restricciones a ERSPAN:
- Las sesiones de origen de ERSPAN no copian el tráfico encapsulado en ERSPAN GRE desde los puertos de origen. Cada sesión de origen de ERSPAN puede tener puertos o VLAN como orígenes, pero no ambos.
- Independientemente del tamaño de MTU configurado, ERSPAN crea paquetes de Capa 3 que pueden tener hasta 9202 bytes. El tráfico ERSPAN puede ser eliminado por cualquier interfaz de la red que imponga un tamaño de MTU inferior a 9202 bytes.
- ERSPAN no admite la fragmentación de paquetes. El bit "no fragmentar" se establece en el encabezado IP de los paquetes ERSPAN. Las sesiones de destino de ERSPAN no pueden volver a ensamblar paquetes ERSPAN fragmentados.
- El ID de ERSPAN diferencia el tráfico de ERSPAN que llega a la misma dirección IP de destino de varias sesiones de origen de ERSPAN diferentes; El ID de ERSPAN configurado debe coincidir en los dispositivos de origen y de destino.
- Para un puerto de origen o una VLAN de origen, el ERSPAN puede monitorear el tráfico de entrada, salida o tanto de entrada como de salida. De forma predeterminada, ERSPAN monitorea todo el tráfico, incluidas las tramas de multidifusión y de unidad de datos de protocolo de puente (BPDU).
- La interfaz de túnel admitida como puertos de origen para una sesión de origen de ERSPAN son GRE, IPinIP, SVTI, IPv6, túnel IPv6 sobre IP, GRE multipunto (mGRE) e interfaces de túnel virtual seguro (SVTI).
- La opción de filtro VLAN no funciona en una sesión de monitoreo ERSPAN en interfaces WAN.
- ERSPAN en los enrutadores Cisco ASR serie 1000 solo admite interfaces de capa 3. Las interfaces Ethernet no son compatibles con ERSPAN cuando se configuran como interfaces de Capa 2.
- Cuando se configura una sesión a través de la CLI de configuración de ERSPAN, el ID de la sesión y el tipo de sesión no se pueden cambiar. Para cambiarlos, primero debe usar la forma no del comando de configuración para eliminar la sesión y luego reconfigurarla.
- Cisco IOS XE versión 3.4S: - La supervisión de paquetes de túnel no protegidos por IPsec se admite en interfaces de túnel IPv6 e IPv6 sobre IP solo para sesiones de origen de ERSPAN, no para sesiones de destino de ERSPAN.
- Cisco IOS XE versión 3.5S, se agregó soporte para los siguientes tipos de interfaces WAN como puertos de origen para una sesión de origen: Serie (T1/E1, T3/E3, DS0), Paquete sobre SONET (POS) (OC3, OC12) y Multilink PPP (se agregaron palabras clave multilink, pos y serial al comando de la interfaz de origen).
Usando ERSPAN como SPAN local:
Para usar ERSPAN para monitorear el tráfico a través de uno o más puertos o VLAN en el mismo dispositivo, debemos crear una sesión de origen ERSPAN y una sesión de destino ERSPAN en el mismo dispositivo, el flujo de datos se lleva a cabo dentro del enrutador, que es similar al del SPAN local.
Los siguientes factores son aplicables al utilizar ERSPAN como SPAN local:
- Ambas sesiones tienen el mismo ERSPAN ID.
- Ambas sesiones tienen la misma dirección IP. Esta dirección IP es la dirección IP propia del enrutador; es decir, la dirección IP de loopback o la dirección IP configurada en cualquier puerto.
| (config)# monitor sesión 10 tipo erspan-source |
| (config-mon-erspan-src)# interfaz fuente Gig0/0/0 |
| (config-mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# dirección IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# dirección IP de origen 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Hora de publicación: 28 de agosto de 2024
