Span ، RSPAN و ERSPAN تکنیک هایی هستند که در شبکه برای ضبط و نظارت بر ترافیک برای تجزیه و تحلیل استفاده می شوند. در اینجا یک نمای کلی از هر یک آورده شده است:
دهانه (آنالایزر پورت سوئیچ)
هدف: برای آینه کاری ترافیک از درگاه های خاص یا VLAN ها در سوئیچ به درگاه دیگر برای نظارت استفاده می شود.
مورد استفاده: ایده آل برای تجزیه و تحلیل ترافیک محلی در یک سوئیچ واحد. ترافیک به یک درگاه تعیین شده آینه می شود که در آن یک آنالایزر شبکه می تواند آن را ضبط کند.
RSPAN (دهانه دور)
هدف: قابلیت های دهانه را در چندین سوئیچ در یک شبکه گسترش می دهد.
استفاده از مورد: امکان نظارت بر ترافیک از یک سوئیچ به دیگری از طریق لینک تنه را فراهم می کند. برای سناریوهایی که دستگاه نظارت بر روی سوئیچ متفاوت قرار دارد مفید است.
erspan (دهانه از راه دور محصور شده)
هدف: RSPAN را با GRE (محصور سازی مسیریابی عمومی) ترکیب می کند تا ترافیک آینه را محصور کند.
استفاده از مورد: امکان نظارت بر ترافیک در شبکه های مسیریابی را فراهم می کند. این در معماری های پیچیده شبکه که در آن باید ترافیک در بخش های مختلف ضبط شود ، مفید است.
آنالایزر پورت سوئیچ (SPAN) یک سیستم نظارت بر ترافیک کارآمد و با کارایی بالا است. این ترافیک را از یک درگاه منبع یا VLAN به یک درگاه مقصد هدایت یا آینه می کند. این گاهی اوقات به عنوان نظارت بر جلسه گفته می شود. Span برای عیب یابی مسائل اتصال و محاسبه استفاده از شبکه و عملکرد از جمله بسیاری دیگر استفاده می شود. سه نوع دهانه در محصولات سیسکو پشتیبانی می شود ...
الف دهانه یا دهانه محلی.
ب. دهانه از راه دور (RSPAN).
ج. دهانه از راه دور محصور شده (ERSPAN).
دانستن: "MyLinking ™ کارگزار شبکه با ویژگی های Span ، RSPAN و ERSPAN"
آینه سازی دهانه / ترافیک / آینه کاری پورت برای بسیاری از اهداف استفاده می شود ، در زیر برخی از موارد را شامل می شود.
- اجرای IDS/IP ها در حالت آشکار.
- راه حل های ضبط تماس VoIP.
- دلایل انطباق امنیت برای نظارت و تجزیه و تحلیل ترافیک.
- عیب یابی مشکلات اتصال ، نظارت بر ترافیک.
صرف نظر از نوع دهانه در حال اجرا ، منبع دهانه می تواند هر نوع پورت باشد ، یعنی یک درگاه مسیریابی شده ، درگاه سوئیچ فیزیکی ، یک درگاه دسترسی ، تنه ، VLAN (تمام درگاه های فعال از سوئیچ کنترل می شوند) ، یک اترلن کانال (یا یک درگاه یا کل رابط کانال درگاه) و غیره.
جلسات Span از نظارت بر ترافیک Ingress (Inspress Span) ، ترافیک Ergage (دهانه Egress) یا ترافیک در هر دو جهت پشتیبانی می کند.
- Ingress Span (RX) ترافیک دریافت شده توسط درگاه های منبع و VLAN ها را به درگاه مقصد کپی می کند. Span قبل از هرگونه اصلاح ، ترافیک را کپی می کند (به عنوان مثال قبل از هرگونه فیلتر VACL یا ACL ، QoS یا Ingress یا Policing Egress).
- Egress Span (TX) ترافیک منتقل شده از درگاه های منبع و VLAN ها را به درگاه مقصد کپی می کند. کلیه فیلترهای مربوطه یا اصلاح توسط فیلتر VACL یا ACL ، اقدامات QoS یا Ingress یا Policing Egress یا قبل از تغییر مسیر ترافیک به درگاه مقصد انجام می شود.
- هنگامی که از هر دو کلمه کلیدی استفاده می شود ، ترافیک شبکه دریافت شده و توسط درگاه های منبع و VLAN ها را به درگاه مقصد منتقل می کند.
- Span/RSPAN معمولاً فریم های CDP ، STP BPDU ، VTP ، DTP و PAGP را نادیده می گیرد. اما در صورت پیکربندی دستور تکرار Encapsulation ، می توان این انواع ترافیک را ارسال کرد.
دهانه یا دهانه محلی
ترافیک از یک یا چند رابط در سوئیچ به یک یا چند رابط در همان سوئیچ آینه می کند. از این رو ، بیشتر از آن به عنوان دهانه محلی گفته می شود.
دستورالعمل ها یا محدودیت های محلی:
- هر دو پورت سوئیچ شده Layer 2 و پورت های لایه 3 را می توان به عنوان درگاه منبع یا مقصد پیکربندی کرد.
- منبع می تواند یک یا چند پورت یا VLAN باشد ، اما ترکیبی از اینها نیست.
- درگاه های صندوق عقب پورت های منبع معتبر مخلوط با درگاه های منبع غیر trunk هستند.
- حداکثر 64 پورت مقصد می توان در سوئیچ پیکربندی کرد.
- هنگامی که ما یک درگاه مقصد را پیکربندی می کنیم ، پیکربندی اصلی آن رونویسی می شود. اگر پیکربندی دهانه برداشته شود ، پیکربندی اصلی در آن درگاه ترمیم می شود.
- هنگام پیکربندی درگاه مقصد ، اگر بخشی از یکی باشد ، درگاه از هر بسته نرم افزاری EtherChannel خارج می شود. اگر یک درگاه مسیریابی بود ، پیکربندی مقصد دهانه پیکربندی پورت مسیریابی شده را غلبه می کند.
- درگاه های مقصد از امنیت بندر ، تأیید اعتبار 802.1x یا VLAN های خصوصی پشتیبانی نمی کنند.
- یک درگاه می تواند فقط برای یک جلسه دهانه به عنوان درگاه مقصد عمل کند.
- در صورتی که یک درگاه منبع یک جلسه دهانه یا بخشی از منبع VLAN باشد ، نمی توان به عنوان یک درگاه مقصد پیکربندی کرد.
- رابط های کانال پورت (EtherChannel) را می توان به عنوان درگاه منبع تنظیم کرد اما یک درگاه مقصد برای دهانه نیست.
- جهت ترافیک به طور پیش فرض برای منابع دهانه "هر دو" است.
- بنادر مقصد هرگز در یک نمونه درختی شرکت نمی کنند. نمی توان از DTP ، CDP و غیره پشتیبانی کرد. دهانه محلی شامل BPDU در ترافیک نظارت شده است ، بنابراین هر BPDU که در پورت مقصد دیده می شود از درگاه منبع کپی می شود. از این رو هرگز سوئیچ را به این نوع دهانه وصل نکنید زیرا می تواند باعث ایجاد یک حلقه شبکه شود. ابزارهای AI باعث افزایش کارآیی کار می شوند ، وهوش مصنوعی غیر قابل کشفسرویس می تواند کیفیت ابزارهای AI را بهبود بخشد.
- هنگامی که VLAN به عنوان منبع دهانه (که اکثراً به آن VSPAN گفته می شود) پیکربندی می شود و هر دو گزینه Ingress و Egress پیکربندی شده ، بسته های تکراری از پورت منبع را فقط در صورتی که بسته ها در همان VLAN تغییر یافته اند ، از پورت منبع استفاده می کنند. یک نسخه از بسته از ترافیک Ingress در درگاه Ingress است و نسخه دیگر این بسته از ترافیک Egress در بندر Egress است.
- VSPAN فقط ترافیکی را که در پورت های لایه 2 در VLAN وارد یا وارد می شود ، نظارت می کند.
دهانه از راه دور (RSPAN)
دهانه از راه دور (RSPAN) شبیه به Span است ، اما از درگاه های منبع ، VLAN های منبع و درگاه های مقصد در سوئیچ های مختلف پشتیبانی می کند ، که ترافیک نظارت از راه دور را از پورت های منبع توزیع شده بر روی سوئیچ های مختلف ارائه می دهد و به مقصد اجازه می دهد تا دستگاه های ضبط شبکه را متمرکز کنند. هر جلسه RSPAN دارای ترافیک دهانه ای است که در کلیه سوئیچ های شرکت کننده اختصاص داده شده RSPAN VLAN اختصاص داده شده است. این VLAN سپس به سوئیچ های دیگر منتقل می شود و اجازه می دهد تا ترافیک جلسه RSPAN در چندین سوئیچ منتقل شود و به ایستگاه ضبط مقصد تحویل داده شود. RSPAN شامل یک جلسه منبع RSPAN ، یک RSPAN VLAN و یک جلسه مقصد RSPAN است.
دستورالعمل ها یا محدودیت های RSPAN:
- یک VLAN خاص باید برای مقصد دهانه پیکربندی شود که از طریق پیوندهای تنه به سمت درگاه مقصد ، از طریق سوئیچ های میانی عبور می کند.
- می تواند یک نوع منبع را ایجاد کند - حداقل یک درگاه یا حداقل یک VLAN اما نمی تواند ترکیب باشد.
- مقصد جلسه RSPAN VLAN است نه درگاه منفرد در سوئیچ ، بنابراین تمام درگاه های RSPAN VLAN ترافیک آینه ای را دریافت می کنند.
- هر VLAN را به عنوان یک RSPAN VLAN پیکربندی کنید تا زمانی که همه دستگاه های شبکه شرکت کننده از پیکربندی RSPAN VLAN ها پشتیبانی کنند ، و از همان RSPAN VLAN برای هر جلسه RSPAN استفاده کنید
- VTP می تواند پیکربندی VLAN های شماره 1 تا 1024 را به عنوان RSPAN VLAN ها پخش کند ، باید به صورت دستی VLAN ها را با شماره بالاتر از 1024 به عنوان RSPAN VLAN ها در تمام دستگاه های منبع ، واسطه و مقصد پیکربندی کند.
- یادگیری آدرس MAC در RSPAN VLAN غیرفعال است.
دهانه از راه دور محصور شده (erspan)
دهانه از راه دور محصور شده (ERSPAN) برای همه ترافیک های ضبط شده ، محاصره مسیریابی عمومی (GRE) را به ارمغان می آورد و اجازه می دهد تا در دامنه های لایه 3 گسترش یابد.
erspan یک استسیسکوویژگی و فقط برای سیستم عامل های Catalyst 6500 ، 7600 ، Nexus و ASR 1000 تا به امروز در دسترس است. ASR 1000 از منبع ERSPAN (نظارت) فقط در رابط های سریع اترنت ، گیگابیت اترنت و کانال پورت پشتیبانی می کند.
دستورالعمل یا محدودیت برای erspan:
- جلسات منبع ERSPAN ترافیک وارد شده به GRE را از درگاه های منبع کپی نمی کند. هر جلسه منبع ERSPAN می تواند دارای پورت یا VLAN به عنوان منبع باشد ، اما هر دو نیست.
- صرف نظر از هر اندازه MTU پیکربندی شده ، ERSPAN بسته های لایه 3 را ایجاد می کند که می تواند تا 9،202 بایت باشد. ترافیک ERSPAN ممکن است توسط هر رابط کاربری در شبکه که اندازه MTU کوچکتر از 9،202 بایت را اجرا می کند ، کاهش یابد.
- erspan از تکه تکه شدن بسته پشتیبانی نمی کند. بیت "قطعه قطعه" در هدر IP بسته های ERSPAN تنظیم شده است. جلسات مقصد erspan نمی تواند بسته های ERSPAN PROCEDED را مجدداً جمع کند.
- شناسه ERSPAN ترافیک ERSPAN را که به همان آدرس IP مقصد می رسد ، از جلسات مختلف منبع مختلف ERSPAL متمایز می کند. شناسه ERSPAN پیکربندی شده باید در دستگاه های منبع و مقصد مطابقت داشته باشد.
- برای یک درگاه منبع یا یک منبع VLAN ، ERSPAN می تواند ورود ، خروج یا ترافیک Ingress و Egress را رصد کند. به طور پیش فرض ، ERSPAN تمام ترافیک ، از جمله فریم های واحد داده پروتکل Multicast و Bridge (BPDU) را کنترل می کند.
- رابط تونل که به عنوان درگاه منبع برای یک جلسه منبع ERSPAN پشتیبانی می شود عبارتند از GRE ، IPINIP ، SVTI ، IPV6 ، IPv6 از طریق تونل IP ، GRE Multipoint (MGRE) و رابط های تونل مجازی (SVTI).
- گزینه Filter VLAN در یک جلسه نظارت بر ERSPAN در رابط های WAN کاربردی نیست.
- erspan در روترهای سری Cisco ASR 1000 فقط از رابط های لایه 3 پشتیبانی می کند. رابط های اترنت هنگام تنظیم به عنوان رابط های لایه 2 در ERSPAN پشتیبانی نمی شوند.
- هنگامی که یک جلسه از طریق پیکربندی ERSPAN CLI پیکربندی می شود ، شناسه جلسه و نوع جلسه قابل تغییر نیست. برای تغییر آنها ، ابتدا باید از NO از دستور پیکربندی استفاده کنید تا جلسه را حذف کرده و سپس جلسه را مجدداً پیکربندی کنید.
- Cisco IOS XE نسخه 3.4S:- نظارت بر بسته های تونل بدون IPEC در IPv6 و IPv6 از طریق رابط های تونل IP فقط به جلسات منبع erspan پشتیبانی می شود ، نه به جلسات مقصد ERSPAN.
- Cisco iOS XE نسخه 3.5s ، پشتیبانی برای انواع زیر رابط های WAN به عنوان درگاه منبع برای یک جلسه منبع اضافه شد: سریال (T1/E1 ، T3/E3 ، DS0) ، بسته بیش از SONET (POS) (OC3 ، OC12) و PPP چند لینک (چند لینک ، POS ، و کلمات کلیدی سریال به دستور رابط منبع) اضافه شدند.
استفاده از erspan به عنوان دهانه محلی:
برای استفاده از ERSPAN برای نظارت بر ترافیک از طریق یک یا چند پورت یا VLAN در همان دستگاه ، باید یک منبع ERSPAN و جلسات مقصد ERSPAN را در همان دستگاه ایجاد کنیم ، جریان داده در داخل روتر اتفاق می افتد ، که شبیه به آن در طول محلی است.
عوامل زیر در هنگام استفاده از ERSPAN به عنوان یک دهانه محلی قابل استفاده است:
- هر دو جلسه دارای یک شناسه erspan یکسان هستند.
- هر دو جلسه دارای یک آدرس IP یکسان هستند. این آدرس IP آدرس IP خود روترها است. یعنی آدرس IP Loopback یا آدرس IP پیکربندی شده در هر پورت.
| (پیکربندی)# جلسه مانیتور 10 نوع ERSPAN-SOURCE |
| (پیکربندی-Mon-erspan-SRC)# رابط منبع gig0/0/0 |
| (پیکربندی-Mon-erspan-SRC)# مقصد |
| (پیکربندی-Mon-erspan-SRC-DST)# آدرس IP 10.10.10.1 |
| (پیکربندی-Mon-erspan-SRC-DST)# آدرس IP Origin 10.10.10.1 |
| (پیکربندی-Mon-erspan-SRC-DST)# erspan-id 100 |
زمان پست: اوت -28-2024
