English

درک SPAN، RSPAN و ERSPAN: تکنیک هایی برای نظارت بر ترافیک شبکه

SPAN، RSPAN، و ERSPANتکنیک هایی هستند که در شبکه برای ضبط و نظارت بر ترافیک برای تجزیه و تحلیل استفاده می شوند. در اینجا یک مرور مختصر از هر یک آورده شده است:

SPAN (آنالایزر پورت سوئیچ شده)

هدف: برای انعکاس ترافیک از پورت های خاص یا VLAN در یک سوئیچ به پورت دیگری برای نظارت استفاده می شود.

Use Case: ایده آل برای تجزیه و تحلیل ترافیک محلی در یک سوئیچ. ترافیک به یک پورت تعیین شده منعکس می شود که در آن تحلیلگر شبکه می تواند آن را ضبط کند.

RSPAN (Remote SPAN)

هدف: قابلیت‌های SPAN را در چندین سوئیچ در یک شبکه گسترش می‌دهد.

Use Case: به نظارت بر ترافیک از یک سوئیچ به سوییچ دیگر از طریق یک پیوند ترانک اجازه می دهد. برای سناریوهایی که دستگاه مانیتورینگ روی سوئیچ دیگری قرار دارد مفید است.

ERSPAN (محصول شده از راه دور SPAN)

هدف: ترکیب RSPAN با GRE (Encapsulation مسیریابی عمومی) برای کپسوله کردن ترافیک آینه‌ای.

Use Case: امکان نظارت بر ترافیک در سراسر شبکه های مسیریابی را فراهم می کند. این در معماری های شبکه پیچیده که در آن ترافیک باید در بخش های مختلف گرفته شود مفید است.

آنالایزر سوئیچ پورت (SPAN)یک سیستم نظارت بر ترافیک کارآمد و با کارایی بالا است. این ترافیک را از یک پورت مبدا یا VLAN به یک درگاه مقصد هدایت یا منعکس می کند. گاهی اوقات از آن به عنوان نظارت بر جلسه یاد می شود. SPAN برای عیب یابی مشکلات اتصال و محاسبه استفاده و عملکرد شبکه و بسیاری موارد دیگر استفاده می شود. سه نوع SPAN در محصولات سیسکو پشتیبانی می شود…

الف SPAN یا SPAN محلی.

ب ریموت SPAN (RSPAN).

ج ریموت SPAN کپسوله شده (ERSPAN).

برای دانستن: "کارگزار بسته شبکه Mylinking™ با ویژگی‌های SPAN، RSPAN و ERSPAN"

SPAN، RSPAN، ERSPAN

SPAN / انعکاس ترافیک / انعکاس پورت برای اهداف بسیاری استفاده می شود که در زیر برخی از آنها را شامل می شود.

- پیاده سازی IDS/IPS در حالت بی بند و باری.

- راه حل های ضبط تماس VOIP.

- دلایل رعایت امنیت برای نظارت و تجزیه و تحلیل ترافیک.

- عیب یابی مشکلات اتصال، نظارت بر ترافیک.

صرف نظر از نوع SPAN در حال اجرا، منبع SPAN می تواند هر نوع پورتی باشد، یعنی پورت مسیریابی، پورت سوئیچ فیزیکی، پورت دسترسی، ترانک، VLAN (همه پورت های فعال سوئیچ نظارت می شوند)، کانال اتر (یک پورت یا کل پورت). -کانال رابط) و غیره توجه داشته باشید که یک پورت پیکربندی شده برای مقصد SPAN نمی تواند بخشی از VLAN منبع SPAN باشد.

جلسات SPAN از نظارت بر ترافیک ورودی (ingress SPAN)، ترافیک خروجی (Egress SPAN) یا ترافیک در هر دو جهت پشتیبانی می کند.

- Ingress SPAN (RX) ترافیک دریافتی توسط پورت های مبدا و VLAN ها را به پورت مقصد کپی می کند. SPAN ترافیک را قبل از هر تغییری کپی می کند (به عنوان مثال قبل از هر فیلتر VACL یا ACL، QoS یا پلیس ورودی یا خروجی).

- Egress SPAN (TX) ترافیک ارسال شده از پورت های مبدا و VLAN ها را به پورت مقصد کپی می کند. تمام فیلترها یا اصلاحات مربوطه توسط فیلتر VACL یا ACL، QoS یا اقدامات پلیسی ورودی یا خروجی قبل از اینکه سوئیچ ترافیک را به درگاه مقصد SPAN هدایت کند انجام می شود.

- هنگامی که کلمه کلیدی هر دو استفاده می شود، SPAN ترافیک شبکه دریافتی و ارسال شده توسط پورت های مبدا و VLAN ها را به پورت مقصد کپی می کند.

- SPAN/RSPAN معمولاً فریم های CDP، STP BPDU، VTP، DTP و PAgP را نادیده می گیرد. با این حال، اگر فرمان Replicate کپسوله‌سازی پیکربندی شده باشد، می‌توان این انواع ترافیک را ارسال کرد.

SPAN یا Local SPAN

SPAN ترافیک را از یک یا چند اینترفیس روی سوئیچ به یک یا چند رابط در همان سوئیچ منعکس می کند. از این رو SPAN بیشتر به عنوان SPAN محلی شناخته می شود.

دستورالعمل ها یا محدودیت ها برای SPAN محلی:

- هر دو پورت سوئیچ لایه 2 و پورت لایه 3 را می توان به عنوان پورت مبدا یا مقصد پیکربندی کرد.

- منبع می تواند یک یا چند پورت یا یک VLAN باشد، اما ترکیبی از اینها نیست.

- پورت های ترانک پورت های منبع معتبری هستند که با پورت های منبع غیر ترانک ترکیب شده اند.

- تا 64 پورت مقصد SPAN را می توان روی یک سوئیچ پیکربندی کرد.

- وقتی پورت مقصد را پیکربندی می کنیم، پیکربندی اصلی آن بازنویسی می شود. اگر پیکربندی SPAN حذف شود، پیکربندی اصلی در آن پورت بازیابی می شود.

- هنگام پیکربندی یک پورت مقصد، درگاه از هر بسته EtherChannel در صورتی که بخشی از یک بسته باشد حذف می شود. اگر یک پورت مسیریابی بود، پیکربندی مقصد SPAN، پیکربندی پورت مسیریابی شده را لغو می کند.

- پورت های مقصد از امنیت پورت، احراز هویت 802.1x یا VLAN های خصوصی پشتیبانی نمی کنند.

- یک پورت تنها برای یک جلسه SPAN می تواند به عنوان پورت مقصد عمل کند.

- اگر پورت منبع یک جلسه span یا بخشی از VLAN منبع باشد، نمی تواند به عنوان پورت مقصد پیکربندی شود.

- رابط های کانال پورت (EtherChannel) را می توان به عنوان پورت های مبدا پیکربندی کرد اما پورت مقصد برای SPAN نیست.

- جهت ترافیک به طور پیش فرض برای منابع SPAN "هر دو" است.

- پورت های مقصد هرگز در یک نمونه درخت پوشا شرکت نمی کنند. نمی تواند از DTP، CDP و غیره پشتیبانی کند. SPAN محلی شامل BPDU ها در ترافیک نظارت شده است، بنابراین هر BPDU که در پورت مقصد دیده می شود از درگاه مبدأ کپی می شود. بنابراین هرگز سوئیچ را به این نوع SPAN وصل نکنید زیرا می تواند باعث ایجاد حلقه شبکه شود.

- هنگامی که VLAN به عنوان منبع SPAN پیکربندی می شود (بیشتر به عنوان VSPAN نامیده می شود) با هر دو گزینه ورودی و خروجی پیکربندی شده است، بسته های تکراری را از پورت مبدأ تنها در صورتی ارسال کنید که بسته ها در همان VLAN سوئیچ شوند. یک کپی بسته از ترافیک ورودی در درگاه ورودی است و کپی دیگر بسته از ترافیک خروجی در درگاه خروج است.

- VSPAN فقط ترافیکی را که از پورت های لایه 2 در VLAN خارج یا وارد می شود نظارت می کند.

SPAN، RSPAN، ERSPAN 1

SPAN، RSPAN و ERSPAN تکنیک هایی هستند که در شبکه برای ضبط و نظارت بر ترافیک برای تجزیه و تحلیل استفاده می شوند. در اینجا یک مرور مختصر از هر یک آورده شده است:

SPAN (آنالایزر پورت سوئیچ شده)

  • هدف: برای انعکاس ترافیک از پورت های خاص یا VLAN در یک سوئیچ به پورت دیگری برای نظارت استفاده می شود.
  • استفاده از مورد: ایده آل برای تجزیه و تحلیل ترافیک محلی در یک سوئیچ. ترافیک به یک پورت تعیین شده منعکس می شود که در آن تحلیلگر شبکه می تواند آن را ضبط کند.

RSPAN (Remote SPAN)

  • هدف: قابلیت های SPAN را در چندین سوئیچ در یک شبکه گسترش می دهد.
  • استفاده از مورد: امکان نظارت بر ترافیک از یک سوئیچ به سوییچ دیگر را از طریق پیوند ترانک فراهم می کند. برای سناریوهایی که دستگاه مانیتورینگ روی سوئیچ دیگری قرار دارد مفید است.

ERSPAN (محصول شده از راه دور SPAN)

  • هدف: RSPAN را با GRE (Generic Routing Encapsulation) ترکیب می‌کند تا ترافیک آینه‌ای را محصور کند.
  • استفاده از مورد: امکان نظارت بر ترافیک در سراسر شبکه های مسیریابی را فراهم می کند. این در معماری های شبکه پیچیده که در آن ترافیک باید در بخش های مختلف گرفته شود مفید است.

ریموت SPAN (RSPAN)

Remote SPAN (RSPAN) مشابه SPAN است، اما از پورت های مبدا، منبع VLAN و پورت های مقصد در سوئیچ های مختلف پشتیبانی می کند، که ترافیک نظارت از راه دور را از پورت های مبدأ توزیع شده روی سوئیچ های متعدد ارائه می دهد و به دستگاه های ضبط شبکه متمرکز در مقصد اجازه می دهد. هر جلسه RSPAN ترافیک SPAN را روی یک RSPAN VLAN اختصاصی مشخص شده توسط کاربر در تمام سوئیچ های شرکت کننده حمل می کند. این VLAN سپس به سوییچ‌های دیگر ترانک می‌شود و به ترافیک جلسه RSPAN اجازه می‌دهد تا از طریق سوئیچ‌های متعدد منتقل شود و به ایستگاه ضبط مقصد تحویل داده شود. RSPAN از یک جلسه منبع RSPAN، یک RSPAN VLAN و یک جلسه مقصد RSPAN تشکیل شده است.

دستورالعمل ها یا محدودیت های RSPAN:

- یک VLAN خاص باید برای مقصد SPAN پیکربندی شود که از سوییچ های میانی از طریق پیوندهای ترانک به سمت پورت مقصد عبور کند.

- می تواند یک نوع منبع ایجاد کند - حداقل یک پورت یا حداقل یک VLAN اما نمی تواند ترکیبی باشد.

- مقصد جلسه RSPAN VLAN است نه پورت واحد در سوئیچ، بنابراین همه پورت های RSPAN VLAN ترافیک آینه شده را دریافت خواهند کرد.

- هر VLAN را به‌عنوان یک RSPAN VLAN پیکربندی کنید تا زمانی که تمام دستگاه‌های شبکه شرکت‌کننده از پیکربندی RSPAN VLAN پشتیبانی می‌کنند و از همان RSPAN VLAN برای هر جلسه RSPAN استفاده کنید.

- VTP می تواند پیکربندی VLAN های شماره 1 تا 1024 را به عنوان RSPAN VLAN منتشر کند.

- یادگیری آدرس MAC در RSPAN VLAN غیرفعال است.

SPAN، RSPAN، ERSPAN 2

SPAN از راه دور کپسوله شده (ERSPAN)

SPAN از راه دور محصور شده (ERSPAN) محصورسازی مسیریابی عمومی (GRE) را برای تمام ترافیک ضبط شده به ارمغان می آورد و به آن اجازه می دهد تا در دامنه های لایه 3 گسترش یابد.

ERSPAN یک استسیسکو اختصاصیاین ویژگی تا به امروز فقط برای پلتفرم‌های Catalyst 6500، 7600، Nexus و ASR 1000 در دسترس است. ASR 1000 از منبع ERSPAN (نظارت) فقط در رابط های Fast Ethernet، Gigabit Ethernet و پورت کانال پشتیبانی می کند.

دستورالعمل ها یا محدودیت های ERSPAN:

- جلسات منبع ERSPAN ترافیک کپسوله شده با ERSPAN GRE را از پورت های منبع کپی نمی کنند. هر جلسه منبع ERSPAN می تواند هر دو پورت یا VLAN را به عنوان منبع داشته باشد، اما نه هر دو.

- صرف نظر از هر اندازه MTU پیکربندی شده، ERSPAN بسته های لایه 3 را ایجاد می کند که می تواند تا 9202 بایت باشد. ترافیک ERSPAN ممکن است توسط هر رابطی در شبکه که اندازه MTU کوچکتر از 9202 بایت را اعمال می کند، حذف شود.

- ERSPAN از تکه تکه شدن بسته ها پشتیبانی نمی کند. بیت "do not fragment" در هدر IP بسته های ERSPAN تنظیم شده است. جلسات مقصد ERSPAN نمی توانند بسته های تکه تکه شده ERSPAN را دوباره جمع کنند.

- شناسه ERSPAN ترافیک ERSPAN وارد شده به آدرس IP مقصد یکسان را از جلسات مختلف منبع ERSPAN متمایز می کند. شناسه ERSPAN پیکربندی شده باید در دستگاه های مبدا و مقصد مطابقت داشته باشد.

- برای یک پورت منبع یا یک VLAN منبع، ERSPAN می تواند ترافیک ورودی، خروجی یا هر دو ورودی و خروجی را نظارت کند. به‌طور پیش‌فرض، ERSPAN تمام ترافیک، از جمله فریم‌های چندپخشی و واحد داده پروتکل پل (BPDU) را نظارت می‌کند.

- رابط تونل که به عنوان پورت های منبع برای یک جلسه منبع ERSPAN پشتیبانی می شود عبارتند از GRE، IPinIP، SVTI، IPv6، IPv6 بیش از تونل IP، GRE چند نقطه ای (mGRE) و رابط های امن تونل مجازی (SVTI).

- گزینه فیلتر VLAN در یک جلسه نظارت ERSPAN در رابط های WAN کارایی ندارد.

- ERSPAN در روترهای سری 1000 سیسکو ASR فقط از رابط های لایه 3 پشتیبانی می کند. هنگامی که به عنوان رابط های لایه 2 پیکربندی شده اند، رابط های اترنت در ERSPAN پشتیبانی نمی شوند.

- هنگامی که یک جلسه از طریق پیکربندی ERSPAN CLI پیکربندی می شود، شناسه جلسه و نوع جلسه قابل تغییر نیستند. برای تغییر آنها، ابتدا باید از فرم no دستور configuration برای حذف جلسه استفاده کنید و سپس جلسه را دوباره پیکربندی کنید.

- Cisco IOS XE Release 3.4S: - نظارت بر بسته‌های تونلی غیر IPsec در IPv6 و IPv6 از طریق واسط‌های تونل IP فقط برای جلسات منبع ERSPAN پشتیبانی می‌شود، نه برای جلسات مقصد ERSPAN.

- Cisco IOS XE Release 3.5S، پشتیبانی از انواع زیر از رابط های WAN به عنوان پورت های منبع برای یک جلسه منبع اضافه شد: سریال (T1/E1، T3/E3، DS0)، بسته از طریق SONET (POS) (OC3، OC12) و Multilink PPP ( کلیدواژه های چند پیوندی، pos و سریال به دستور رابط منبع اضافه شدند).

SPAN، RSPAN، ERSPAN 3

استفاده از ERSPAN به عنوان محلی SPAN:

برای استفاده از ERSPAN برای نظارت بر ترافیک از طریق یک یا چند پورت یا VLAN در یک دستگاه، باید یک منبع ERSPAN و جلسات مقصد ERSPAN را در همان دستگاه ایجاد کنیم، جریان داده در داخل روتر انجام می‌شود، که شبیه به SPAN محلی است.

فاکتورهای زیر هنگام استفاده از ERSPAN به عنوان یک SPAN محلی قابل اعمال هستند:

- هر دو جلسه دارای شناسه ERSPAN یکسان هستند.

- هر دو جلسه دارای آدرس IP یکسانی هستند. این آدرس IP آدرس IP خود روترها است. یعنی آدرس IP Loopback یا آدرس IP پیکربندی شده روی هر پورتی.

(پیکربندی)# مانیتور جلسه 10 نوع erspan-source
(config-mon-erspan-src)# رابط منبع Gig0/0/0
(config-mon-erspan-src)# مقصد
(config-mon-erspan-src-dst)# آدرس IP 10.10.10.1
(config-mon-erspan-src-dst)# آدرس IP مبدا 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN، RSPAN، ERSPAN 4

زمان ارسال: اوت-28-2024
برای جستجو اینتر یا برای بستن ESC را بزنید