SPAN, RSPAN y ERSPAN son técnicas utilizadas en redes para capturar y monitorizar el tráfico con fines de análisis. A continuación, se ofrece una breve descripción de cada una:
SPAN (Analizador de puertos conmutados)
Finalidad: Se utiliza para duplicar el tráfico de puertos o VLAN específicos de un switch a otro puerto para su monitorización.
Caso de uso: Ideal para el análisis de tráfico local en un único conmutador. El tráfico se replica en un puerto específico donde un analizador de red puede capturarlo.
RSPAN (SPAN remoto)
Finalidad: Amplía las capacidades SPAN a través de múltiples conmutadores en una red.
Caso de uso: Permite monitorizar el tráfico entre conmutadores a través de un enlace troncal. Resulta útil en escenarios donde el dispositivo de monitorización se encuentra en un conmutador diferente.
ERSPAN (SPAN remoto encapsulado)
Finalidad: Combina RSPAN con GRE (Generic Routing Encapsulation) para encapsular el tráfico duplicado.
Caso de uso: Permite la monitorización del tráfico en redes enrutadas. Esto resulta útil en arquitecturas de red complejas donde es necesario capturar el tráfico en diferentes segmentos.
El analizador de puertos de conmutación (SPAN) es un sistema de monitorización de tráfico eficiente y de alto rendimiento. Dirige o replica el tráfico desde un puerto de origen o VLAN a un puerto de destino. Esto a veces se denomina monitorización de sesiones. SPAN se utiliza para solucionar problemas de conectividad y calcular la utilización y el rendimiento de la red, entre otras muchas funciones. Existen tres tipos de SPAN compatibles con los productos Cisco…
a. SPAN o SPAN local.
b. SPAN remoto (RSPAN).
c. SPAN remoto encapsulado (ERSPAN).
Para saber: "Mylinking™ Network Packet Broker con funciones SPAN, RSPAN y ERSPAN"
SPAN / duplicación de tráfico / duplicación de puertos se utiliza para muchos fines; a continuación se incluyen algunos.
- Implementación de IDS/IPS en modo promiscuo.
- Soluciones para la grabación de llamadas VoIP.
- Razones de cumplimiento de seguridad para monitorear y analizar el tráfico.
- Solucionar problemas de conexión y monitorizar el tráfico.
Independientemente del tipo de SPAN que se esté ejecutando, el origen de SPAN puede ser cualquier tipo de puerto, es decir, un puerto enrutado, un puerto físico del conmutador, un puerto de acceso, un enlace troncal, una VLAN (se supervisan todos los puertos activos del conmutador), un EtherChannel (ya sea un puerto o interfaces completas de canal de puertos), etc. Tenga en cuenta que un puerto configurado como destino de SPAN NO PUEDE formar parte de una VLAN de origen de SPAN.
Las sesiones SPAN admiten la monitorización del tráfico de entrada (ingreso SPAN), del tráfico de salida (salida SPAN) o del tráfico que fluye en ambas direcciones.
- Ingress SPAN (RX) copia el tráfico recibido por los puertos de origen y las VLAN al puerto de destino. SPAN copia el tráfico antes de cualquier modificación (por ejemplo, antes de cualquier filtro VACL o ACL, QoS o control de entrada o salida).
- El SPAN de salida (TX) copia el tráfico transmitido desde los puertos de origen y las VLAN al puerto de destino. Todo el filtrado o modificación pertinente mediante filtros VACL o ACL, QoS o acciones de control de entrada o salida se realizan antes de que el switch reenvíe el tráfico al puerto de destino SPAN.
- Cuando se utiliza la palabra clave both, SPAN copia el tráfico de red recibido y transmitido por los puertos de origen y las VLAN al puerto de destino.
- SPAN/RSPAN normalmente ignora las tramas CDP, STP BPDU, VTP, DTP y PAgP. Sin embargo, estos tipos de tráfico pueden reenviarse si se configura el comando de replicación de encapsulación.
SPAN o SPAN local
SPAN replica el tráfico de una o más interfaces del conmutador a una o más interfaces del mismo conmutador; por lo tanto, a SPAN se le suele denominar SPAN LOCAL.
Directrices o restricciones para SPAN local:
- Tanto los puertos conmutados de capa 2 como los puertos de capa 3 pueden configurarse como puertos de origen o de destino.
- La fuente puede ser uno o más puertos o una VLAN, pero no una combinación de ambos.
- Los puertos troncales son puertos de origen válidos mezclados con puertos de origen que no son troncales.
- Se pueden configurar hasta 64 puertos de destino SPAN en un conmutador.
Cuando configuramos un puerto de destino, se sobrescribe su configuración original. Si se elimina la configuración SPAN, se restaura la configuración original de ese puerto.
Al configurar un puerto de destino, este se elimina de cualquier paquete EtherChannel al que perteneciera. Si se tratara de un puerto enrutado, la configuración de destino SPAN anula la configuración del puerto enrutado.
- Los puertos de destino no admiten seguridad de puertos, autenticación 802.1x ni VLAN privadas.
- Un puerto solo puede actuar como puerto de destino para una única sesión SPAN.
- Un puerto no puede configurarse como puerto de destino si es un puerto de origen de una sesión span o forma parte de una VLAN de origen.
- Las interfaces de canal de puertos (EtherChannel) se pueden configurar como puertos de origen, pero no como puertos de destino para SPAN.
- La dirección del tráfico es "ambas" por defecto para las fuentes SPAN.
- Los puertos de destino nunca participan en una instancia de spanning-tree. No admite DTP, CDP, etc. El SPAN local incluye BPDU en el tráfico monitorizado, por lo que cualquier BPDU que se vea en el puerto de destino se copia del puerto de origen. Por lo tanto, nunca conecte un switch a este tipo de SPAN, ya que podría causar un bucle de red. Las herramientas de IA mejorarán la eficiencia del trabajo yIA indetectableEste servicio puede mejorar la calidad de las herramientas de IA.
Cuando una VLAN está configurada como origen SPAN (generalmente denominada VSPAN) con opciones de entrada y salida configuradas, los paquetes duplicados del puerto de origen solo se reenvían si se conmutan dentro de la misma VLAN. Una copia del paquete proviene del tráfico de entrada en el puerto de entrada, y la otra copia proviene del tráfico de salida en el puerto de salida.
- VSPAN supervisa únicamente el tráfico que sale o entra por los puertos de capa 2 de la VLAN.
SPAN remoto (RSPAN)
SPAN remoto (RSPAN) es similar a SPAN, pero admite puertos de origen, VLAN de origen y puertos de destino en diferentes conmutadores, lo que permite la monitorización remota del tráfico desde puertos de origen distribuidos en varios conmutadores y la centralización de los dispositivos de captura de red de destino. Cada sesión RSPAN transporta el tráfico SPAN a través de una VLAN RSPAN dedicada, especificada por el usuario, en todos los conmutadores participantes. Esta VLAN se conecta mediante un enlace troncal a otros conmutadores, lo que permite que el tráfico de la sesión RSPAN se transporte a través de múltiples conmutadores y se entregue a la estación de captura de destino. RSPAN consta de una sesión de origen RSPAN, una VLAN RSPAN y una sesión de destino RSPAN.
Directrices o restricciones para RSPAN:
- Se debe configurar una VLAN específica para el destino SPAN, que atravesará los switches intermedios mediante enlaces troncales hacia el puerto de destino.
- Se puede crear el mismo tipo de origen: al menos un puerto o al menos una VLAN, pero no puede ser una combinación de ambos.
- El destino de la sesión es la VLAN RSPAN en lugar de un único puerto en el switch, por lo que todos los puertos de la VLAN RSPAN recibirán el tráfico duplicado.
- Configure cualquier VLAN como una VLAN RSPAN siempre que todos los dispositivos de red participantes admitan la configuración de VLAN RSPAN, y utilice la misma VLAN RSPAN para cada sesión RSPAN.
- VTP puede propagar la configuración de VLAN numeradas del 1 al 1024 como VLAN RSPAN; las VLAN con números superiores a 1024 deben configurarse manualmente como VLAN RSPAN en todos los dispositivos de red de origen, intermedios y de destino.
- El aprendizaje de direcciones MAC está deshabilitado en la VLAN RSPAN.
SPAN remoto encapsulado (ERSPAN)
El protocolo ERSPAN (Encapsulated Remote SPAN) proporciona encapsulación de enrutamiento genérico (GRE) para todo el tráfico capturado y permite extenderlo a través de dominios de capa 3.
ERSPAN es unaPropiedad de CiscoEsta función está disponible, hasta la fecha, únicamente para las plataformas Catalyst 6500, 7600, Nexus y ASR 1000. La plataforma ASR 1000 admite la función de monitorización (source) ERSPAN solo en interfaces Fast Ethernet, Gigabit Ethernet y port-channel.
Directrices o restricciones para ERSPAN:
- Las sesiones de origen ERSPAN no copian el tráfico ERSPAN encapsulado en GRE desde los puertos de origen. Cada sesión de origen ERSPAN puede tener puertos o VLAN como fuentes, pero no ambos.
Independientemente del tamaño de MTU configurado, ERSPAN crea paquetes de capa 3 que pueden tener hasta 9202 bytes. El tráfico de ERSPAN podría ser descartado por cualquier interfaz de la red que imponga un tamaño de MTU inferior a 9202 bytes.
- ERSPAN no admite la fragmentación de paquetes. El bit "no fragmentar" está activado en la cabecera IP de los paquetes ERSPAN. Las sesiones de destino ERSPAN no pueden reconstruir paquetes ERSPAN fragmentados.
- El ID de ERSPAN diferencia el tráfico ERSPAN que llega a la misma dirección IP de destino desde distintas sesiones de origen ERSPAN; el ID de ERSPAN configurado debe coincidir en los dispositivos de origen y destino.
- Para un puerto de origen o una VLAN de origen, ERSPAN puede monitorizar el tráfico de entrada, de salida o ambos. Por defecto, ERSPAN monitoriza todo el tráfico, incluidos los de multidifusión y las tramas BPDU (Unidad de Datos de Protocolo de Puente).
- Las interfaces de túnel admitidas como puertos de origen para una sesión de origen ERSPAN son GRE, IPinIP, SVTI, IPv6, túnel IPv6 sobre IP, GRE multipunto (mGRE) e interfaces de túnel virtual seguro (SVTI).
- La opción de filtrado VLAN no funciona en una sesión de monitorización ERSPAN en interfaces WAN.
- ERSPAN en los routers de la serie Cisco ASR 1000 solo admite interfaces de capa 3. Las interfaces Ethernet no son compatibles con ERSPAN cuando se configuran como interfaces de capa 2.
Cuando se configura una sesión mediante la interfaz de línea de comandos (CLI) de configuración de ERSPAN, no se pueden modificar el ID ni el tipo de sesión. Para cambiarlos, primero debe usar el comando `no` para eliminar la sesión y luego volver a configurarla.
- Cisco IOS XE versión 3.4S: La monitorización de paquetes de túnel no protegidos por IPsec solo es compatible con interfaces de túnel IPv6 e IPv6 sobre IP para sesiones de origen ERSPAN, no para sesiones de destino ERSPAN.
- En Cisco IOS XE versión 3.5S, se agregó compatibilidad con los siguientes tipos de interfaces WAN como puertos de origen para una sesión de origen: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) y Multilink PPP (se agregaron las palabras clave multilink, pos y serial al comando de interfaz de origen).
Uso de ERSPAN como SPAN local:
Para utilizar ERSPAN para monitorizar el tráfico a través de uno o más puertos o VLAN en el mismo dispositivo, debemos crear sesiones de origen y destino de ERSPAN en el mismo dispositivo; el flujo de datos se produce dentro del router, de forma similar a como ocurre en SPAN local.
Los siguientes factores son aplicables al usar ERSPAN como SPAN local:
- Ambas sesiones tienen el mismo ID de ERSPAN.
Ambas sesiones tienen la misma dirección IP. Esta dirección IP es la propia dirección IP del enrutador; es decir, la dirección IP de bucle invertido o la dirección IP configurada en cualquier puerto.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# source interface Gig0/0/0 |
| (config-mon-erspan-src)# destino |
| (config-mon-erspan-src-dst)# dirección IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# dirección IP de origen 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Fecha de publicación: 28 de agosto de 2024
