SPAN, RSPAN และ ERSPANเป็นเทคนิคที่ใช้ในเครือข่ายเพื่อบันทึกและตรวจสอบการรับส่งข้อมูลเพื่อการวิเคราะห์ ต่อไปนี้เป็นภาพรวมโดยย่อของแต่ละรายการ:
SPAN (ตัววิเคราะห์พอร์ตแบบสวิตช์)
วัตถุประสงค์: ใช้เพื่อสะท้อนการรับส่งข้อมูลจากพอร์ตเฉพาะหรือ VLAN บนสวิตช์ไปยังพอร์ตอื่นสำหรับการตรวจสอบ
กรณีการใช้งาน: เหมาะสำหรับการวิเคราะห์ปริมาณการใช้ข้อมูลในท้องถิ่นด้วยสวิตช์ตัวเดียว การรับส่งข้อมูลจะถูกสะท้อนไปยังพอร์ตที่กำหนดซึ่งตัววิเคราะห์เครือข่ายสามารถจับภาพได้
RSPAN (ระยะไกล)
วัตถุประสงค์: ขยายขีดความสามารถของ SPAN ผ่านสวิตช์หลายตัวในเครือข่าย
กรณีการใช้งาน: อนุญาตให้ตรวจสอบการรับส่งข้อมูลจากสวิตช์หนึ่งไปยังอีกสวิตช์หนึ่งผ่านลิงก์หลัก มีประโยชน์สำหรับสถานการณ์ที่อุปกรณ์ตรวจสอบอยู่บนสวิตช์อื่น
ERSPAN (ช่วงระยะไกลแบบห่อหุ้ม)
วัตถุประสงค์: รวม RSPAN เข้ากับ GRE (Generic Routing Encapsulation) เพื่อสรุปการรับส่งข้อมูลแบบมิเรอร์
กรณีการใช้งาน: อนุญาตให้มีการตรวจสอบการรับส่งข้อมูลข้ามเครือข่ายที่กำหนดเส้นทาง สิ่งนี้มีประโยชน์ในสถาปัตยกรรมเครือข่ายที่ซับซ้อนซึ่งจำเป็นต้องบันทึกการรับส่งข้อมูลผ่านส่วนต่างๆ
สวิตช์วิเคราะห์พอร์ต (SPAN)เป็นระบบติดตามการจราจรที่มีประสิทธิภาพและมีประสิทธิภาพสูง มันกำหนดทิศทางหรือมิเรอร์การรับส่งข้อมูลจากพอร์ตต้นทางหรือ VLAN ไปยังพอร์ตปลายทาง บางครั้งเรียกว่าการตรวจสอบเซสชัน SPAN ใช้สำหรับแก้ไขปัญหาการเชื่อมต่อและคำนวณการใช้งานและประสิทธิภาพของเครือข่าย และอื่นๆ อีกมากมาย SPAN มีสามประเภทที่รองรับในผลิตภัณฑ์ของ Cisco ...
ก. SPAN หรือ SPAN ท้องถิ่น
ข. SPAN ระยะไกล (RSPAN)
ค. SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN)
หากต้องการทราบ: "Mylinking™ Network Packet Broker พร้อมคุณสมบัติ SPAN, RSPAN และ ERSPAN"
SPAN / การมิเรอร์การจราจร / การมิเรอร์พอร์ตใช้เพื่อวัตถุประสงค์หลายประการ ด้านล่างนี้รวมถึงบางส่วนด้วย
- การใช้ IDS/IPS ในโหมดที่หลากหลาย
- โซลูชั่นบันทึกการโทร VOIP
- เหตุผลในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยในการตรวจสอบและวิเคราะห์การรับส่งข้อมูล
- แก้ไขปัญหาการเชื่อมต่อ ติดตามการจราจร
ไม่ว่า SPAN จะเป็นประเภทใดที่ทำงานอยู่ก็ตาม แหล่งที่มาของ SPAN อาจเป็นพอร์ตประเภทใดก็ได้ เช่น พอร์ตที่กำหนดเส้นทาง, พอร์ตสวิตช์ทางกายภาพ, พอร์ตการเข้าถึง, trunk, VLAN (พอร์ตที่ใช้งานอยู่ทั้งหมดจะถูกตรวจสอบของสวิตช์), EtherChannel (พอร์ตหรือพอร์ตทั้งหมดอย่างใดอย่างหนึ่ง -channel interfaces) ฯลฯ โปรดทราบว่าพอร์ตที่กำหนดค่าสำหรับปลายทาง SPAN ไม่สามารถเป็นส่วนหนึ่งของ VLAN ต้นทาง SPAN ได้
เซสชัน SPAN รองรับการตรวจสอบการรับส่งข้อมูลขาเข้า (SPAN ขาเข้า) การรับส่งข้อมูลขาออก (Egress SPAN) หรือการรับส่งข้อมูลที่ไหลในทั้งสองทิศทาง
- Ingress SPAN (RX) คัดลอกการรับส่งข้อมูลที่ได้รับจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง SPAN คัดลอกการรับส่งข้อมูลก่อนการแก้ไขใดๆ (เช่น ก่อนตัวกรอง VACL หรือ ACL, QoS หรือการตรวจรักษาทางเข้าหรือออก)
- Egress SPAN (TX) คัดลอกการรับส่งข้อมูลที่ส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง การกรองหรือการแก้ไขที่เกี่ยวข้องทั้งหมดโดยตัวกรอง VACL หรือ ACL, QoS หรือการดำเนินการตรวจสอบทางเข้าหรือออกจะดำเนินการก่อนที่สวิตช์จะส่งต่อการรับส่งข้อมูลไปยังพอร์ตปลายทาง SPAN
- เมื่อใช้คีย์เวิร์ดทั้งสอง SPAN จะคัดลอกการรับส่งข้อมูลเครือข่ายที่ได้รับและส่งโดยพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง
- โดยทั่วไป SPAN/RSPAN จะไม่สนใจเฟรม CDP, STP BPDU, VTP, DTP และ PAgP อย่างไรก็ตาม ประเภทการรับส่งข้อมูลเหล่านี้สามารถส่งต่อได้หากมีการกำหนดค่าคำสั่งการจำลองแบบการห่อหุ้ม
SPAN หรือ SPAN ท้องถิ่น
SPAN สะท้อนการรับส่งข้อมูลจากอินเทอร์เฟซหนึ่งรายการขึ้นไปบนสวิตช์ไปยังอินเทอร์เฟซหนึ่งรายการขึ้นไปบนสวิตช์เดียวกัน ดังนั้น SPAN ส่วนใหญ่จึงเรียกว่า LOCAL SPAN
แนวทางหรือข้อจำกัดสำหรับ SPAN ท้องถิ่น:
- ทั้งพอร์ตสวิตช์เลเยอร์ 2 และพอร์ตเลเยอร์ 3 สามารถกำหนดค่าเป็นพอร์ตต้นทางหรือปลายทางได้
- แหล่งที่มาสามารถเป็นพอร์ตตั้งแต่หนึ่งพอร์ตขึ้นไปหรือ VLAN ได้ แต่ต้องผสมกันไม่ได้
- พอร์ต Trunk เป็นพอร์ตต้นทางที่ถูกต้องผสมกับพอร์ตต้นทางที่ไม่ใช่ Trunk
- สามารถกำหนดค่าพอร์ตปลายทาง SPAN ได้สูงสุด 64 พอร์ตบนสวิตช์
- เมื่อเรากำหนดค่าพอร์ตปลายทาง การกำหนดค่าดั้งเดิมจะถูกเขียนทับ ถ้าการกำหนดค่า SPAN ถูกลบออก การกำหนดค่าเดิมบนพอร์ตนั้นจะถูกเรียกคืน
- เมื่อกำหนดค่าพอร์ตปลายทาง พอร์ตจะถูกลบออกจากบันเดิล EtherChannel ใดๆ หากเป็นส่วนหนึ่งของบันเดิล หากเป็นพอร์ตที่กำหนดเส้นทาง การกำหนดค่าปลายทาง SPAN จะแทนที่การกำหนดค่าพอร์ตที่กำหนดเส้นทาง
- พอร์ตปลายทางไม่รองรับความปลอดภัยของพอร์ต, การตรวจสอบความถูกต้อง 802.1x หรือ VLAN ส่วนตัว
- พอร์ตสามารถทำหน้าที่เป็นพอร์ตปลายทางสำหรับเซสชัน SPAN เดียวเท่านั้น
- ไม่สามารถกำหนดค่าพอร์ตเป็นพอร์ตปลายทางได้ หากเป็นพอร์ตต้นทางของเซสชัน span หรือส่วนหนึ่งของ VLAN ต้นทาง
- สามารถกำหนดค่าอินเทอร์เฟซช่องสัญญาณพอร์ต (EtherChannel) เป็นพอร์ตต้นทาง แต่ไม่ใช่พอร์ตปลายทางสำหรับ SPAN
- ทิศทางการจราจรจะเป็น "ทั้งสอง" ตามค่าเริ่มต้นสำหรับแหล่งที่มาของ SPAN
- พอร์ตปลายทางจะไม่มีส่วนร่วมในอินสแตนซ์แบบขยายต้นไม้ ไม่สามารถรองรับ DTP, CDP ฯลฯ Local SPAN จะรวม BPDU ไว้ในการรับส่งข้อมูลที่ได้รับการตรวจสอบ ดังนั้น BPDU ใด ๆ ที่เห็นบนพอร์ตปลายทางจะถูกคัดลอกจากพอร์ตต้นทาง ดังนั้นอย่าเชื่อมต่อสวิตช์กับ SPAN ประเภทนี้เพราะอาจทำให้เกิดการวนซ้ำของเครือข่ายได้
- เมื่อกำหนดค่า VLAN เป็นแหล่ง SPAN (ส่วนใหญ่เรียกว่า VSPAN) โดยมีการกำหนดค่าทั้งตัวเลือกขาเข้าและขาออก ให้ส่งต่อแพ็กเก็ตที่ซ้ำกันจากพอร์ตต้นทางเฉพาะในกรณีที่แพ็กเก็ตถูกสลับใน VLAN เดียวกัน หนึ่งสำเนาของแพ็กเก็ตมาจากการรับส่งข้อมูลขาเข้าบนพอร์ตทางเข้า และอีกสำเนาของแพ็กเก็ตมาจากการรับส่งข้อมูลขาออกบนพอร์ตขาออก
- VSPAN ตรวจสอบเฉพาะการรับส่งข้อมูลที่ออกหรือเข้าสู่พอร์ตเลเยอร์ 2 ใน VLAN
SPAN, RSPAN และ ERSPAN เป็นเทคนิคที่ใช้ในเครือข่ายเพื่อบันทึกและตรวจสอบการรับส่งข้อมูลเพื่อการวิเคราะห์ ต่อไปนี้เป็นภาพรวมโดยย่อของแต่ละรายการ:
SPAN (ตัววิเคราะห์พอร์ตแบบสวิตช์)
- วัตถุประสงค์: ใช้เพื่อสะท้อนการรับส่งข้อมูลจากพอร์ตเฉพาะหรือ VLAN บนสวิตช์ไปยังพอร์ตอื่นสำหรับการตรวจสอบ
- ใช้กรณี: เหมาะสำหรับการวิเคราะห์ปริมาณข้อมูลในท้องถิ่นด้วยสวิตช์ตัวเดียว การรับส่งข้อมูลจะถูกสะท้อนไปยังพอร์ตที่กำหนดซึ่งตัววิเคราะห์เครือข่ายสามารถจับภาพได้
RSPAN (ระยะไกล)
- วัตถุประสงค์: ขยายขีดความสามารถของ SPAN ผ่านสวิตช์หลายตัวในเครือข่าย
- ใช้กรณี: อนุญาตให้ตรวจสอบการรับส่งข้อมูลจากสวิตช์หนึ่งไปยังอีกสวิตช์หนึ่งผ่านลิงก์หลัก มีประโยชน์สำหรับสถานการณ์ที่อุปกรณ์ตรวจสอบอยู่บนสวิตช์อื่น
ERSPAN (ช่วงระยะไกลแบบห่อหุ้ม)
- วัตถุประสงค์: รวม RSPAN เข้ากับ GRE (Generic Routing Encapsulation) เพื่อสรุปการรับส่งข้อมูลแบบมิเรอร์
- ใช้กรณี: ช่วยให้สามารถตรวจสอบการรับส่งข้อมูลข้ามเครือข่ายที่กำหนดเส้นทางได้ สิ่งนี้มีประโยชน์ในสถาปัตยกรรมเครือข่ายที่ซับซ้อนซึ่งจำเป็นต้องบันทึกการรับส่งข้อมูลผ่านส่วนต่างๆ
ช่วงระยะไกล (RSPAN)
Remote SPAN (RSPAN) คล้ายกับ SPAN แต่รองรับพอร์ตต้นทาง, VLAN ต้นทาง และพอร์ตปลายทางบนสวิตช์ที่แตกต่างกัน ซึ่งให้การรับส่งข้อมูลการตรวจสอบระยะไกลจากพอร์ตต้นทางที่กระจายผ่านสวิตช์หลายตัว และอนุญาตให้ปลายทางรวมศูนย์อุปกรณ์จับภาพเครือข่าย แต่ละเซสชัน RSPAN จะบรรทุกการรับส่งข้อมูล SPAN ผ่าน RSPAN VLAN เฉพาะที่ผู้ใช้ระบุในสวิตช์ที่เข้าร่วมทั้งหมด จากนั้น VLAN นี้จะถูกเชื่อมต่อไปยังสวิตช์อื่นๆ ทำให้การรับส่งข้อมูลเซสชัน RSPAN สามารถขนส่งผ่านสวิตช์หลายตัวและส่งไปยังสถานีดักจับปลายทาง RSPAN ประกอบด้วยเซสชันต้นทาง RSPAN, RSPAN VLAN และเซสชันปลายทาง RSPAN
แนวทางหรือข้อจำกัดสำหรับ RSPAN:
- ต้องกำหนดค่า VLAN เฉพาะสำหรับปลายทาง SPAN ซึ่งจะข้ามสวิตช์ระดับกลางผ่านลิงก์สายหลักไปยังพอร์ตปลายทาง
- สามารถสร้างแหล่งที่มาประเภทเดียวกัน – อย่างน้อยหนึ่งพอร์ตหรืออย่างน้อยหนึ่ง VLAN แต่ไม่สามารถผสมกันได้
- ปลายทางสำหรับเซสชันคือ RSPAN VLAN แทนที่จะเป็นพอร์ตเดียวในสวิตช์ ดังนั้นพอร์ตทั้งหมดใน RSPAN VLAN จะได้รับการรับส่งข้อมูลแบบมิเรอร์
- กำหนดค่า VLAN ใด ๆ เป็น RSPAN VLAN ตราบใดที่อุปกรณ์เครือข่ายที่เข้าร่วมทั้งหมดรองรับการกำหนดค่า RSPAN VLAN และใช้ RSPAN VLAN เดียวกันสำหรับแต่ละเซสชัน RSPAN
- VTP สามารถเผยแพร่การกำหนดค่าของ VLAN หมายเลข 1 ถึง 1024 เป็น RSPAN VLAN ต้องกำหนดค่า VLAN ด้วยตนเองที่มีหมายเลขสูงกว่า 1024 เป็น RSPAN VLAN บนอุปกรณ์เครือข่ายต้นทาง กลาง และปลายทางทั้งหมด
- การเรียนรู้ที่อยู่ MAC ถูกปิดใช้งานใน RSPAN VLAN
SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN)
SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN) นำการห่อหุ้มการกำหนดเส้นทางทั่วไป (GRE) สำหรับการรับส่งข้อมูลที่บันทึกไว้ทั้งหมด และอนุญาตให้ขยายข้ามโดเมนเลเยอร์ 3
เออร์สปันคือกรรมสิทธิ์ของซิสโก้และใช้ได้เฉพาะกับแพลตฟอร์ม Catalyst 6500, 7600, Nexus และ ASR 1000 เท่านั้น ASR 1000 รองรับแหล่ง ERSPAN (การตรวจสอบ) บน Fast Ethernet, Gigabit Ethernet และอินเทอร์เฟซช่องสัญญาณพอร์ตเท่านั้น
แนวทางหรือข้อจำกัดสำหรับ ERSPAN:
- เซสชันต้นทาง ERSPAN จะไม่คัดลอกการรับส่งข้อมูลที่ห่อหุ้ม ERSPAN GRE จากพอร์ตต้นทาง แต่ละเซสชันที่มา ERSPAN สามารถมีพอร์ตหรือ VLAN เป็นแหล่งที่มาได้ แต่ไม่ใช่ทั้งสองอย่าง
- โดยไม่คำนึงถึงขนาด MTU ที่กำหนดค่าไว้ ERSPAN จะสร้างแพ็กเก็ตเลเยอร์ 3 ที่สามารถมีความยาวได้ถึง 9,202 ไบต์ ปริมาณการใช้ ERSPAN อาจลดลงโดยอินเทอร์เฟซใดๆ ในเครือข่ายที่บังคับใช้ขนาด MTU ที่เล็กกว่า 9,202 ไบต์
- ERSPAN ไม่รองรับการกระจายตัวของแพ็กเก็ต บิต "ไม่แยกส่วน" ถูกตั้งค่าในส่วนหัว IP ของแพ็กเก็ต ERSPAN เซสชันปลายทาง ERSPAN ไม่สามารถประกอบแพ็กเก็ต ERSPAN ที่กระจัดกระจายอีกครั้งได้
- ERSPAN ID แยกแยะการรับส่งข้อมูล ERSPAN ที่มาถึงที่อยู่ IP ปลายทางเดียวกันจากเซสชันต้นทาง ERSPAN ที่แตกต่างกัน ERSPAN ID ที่กำหนดค่าจะต้องตรงกันบนอุปกรณ์ต้นทางและปลายทาง
- สำหรับพอร์ตต้นทางหรือ VLAN ต้นทาง ERSPAN สามารถตรวจสอบทางเข้าออกหรือทั้งการรับส่งข้อมูลขาเข้าและขาออก ตามค่าเริ่มต้น ERSPAN จะตรวจสอบการรับส่งข้อมูลทั้งหมด รวมถึงเฟรมมัลติคาสต์และ Bridge Protocol Data Unit (BPDU)
- อินเทอร์เฟซช่องสัญญาณที่รองรับเป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง ERSPAN ได้แก่ GRE, IPinIP, SVTI, IPv6, IPv6 ผ่านช่องสัญญาณ IP, Multipoint GRE (mGRE) และ Secure Virtual Tunnel Interfaces (SVTI)
- ตัวเลือกตัวกรอง VLAN ไม่ทำงานในเซสชันการตรวจสอบ ERSPAN บนอินเทอร์เฟซ WAN
- ERSPAN บนเราเตอร์ Cisco ASR 1000 Series รองรับเฉพาะอินเทอร์เฟซเลเยอร์ 3 เท่านั้น ERSPAN ไม่รองรับอินเทอร์เฟซอีเธอร์เน็ตเมื่อกำหนดค่าเป็นอินเทอร์เฟซเลเยอร์ 2
- เมื่อกำหนดค่าเซสชันผ่าน CLI การกำหนดค่า ERSPAN แล้ว ID เซสชันและประเภทเซสชันจะไม่สามารถเปลี่ยนแปลงได้ หากต้องการเปลี่ยนแปลง ก่อนอื่นคุณต้องใช้คำสั่ง no form ของการกำหนดค่าเพื่อลบเซสชันออก จากนั้นจึงกำหนดค่าเซสชันใหม่
- Cisco IOS XE Release 3.4S:- การตรวจสอบแพ็กเก็ตช่องสัญญาณที่ไม่มีการป้องกัน IPsec ได้รับการสนับสนุนบน IPv6 และ IPv6 ผ่านอินเทอร์เฟซช่องสัญญาณ IP สำหรับเซสชันต้นทาง ERSPAN เท่านั้น ไม่ใช่ไปยังเซสชันปลายทาง ERSPAN
- Cisco IOS XE Release 3.5S มีการเพิ่มการสนับสนุนสำหรับอินเทอร์เฟซ WAN ประเภทต่อไปนี้เป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง: Serial (T1/E1, T3/E3, DS0) , แพ็คเก็ตผ่าน SONET (POS) (OC3, OC12) และ Multilink PPP (คำสำคัญ multilink, pos และ serial ถูกเพิ่มในคำสั่งอินเทอร์เฟซต้นทาง)
การใช้ ERSPAN เป็น SPAN ท้องถิ่น:
หากต้องการใช้ ERSPAN เพื่อตรวจสอบการรับส่งข้อมูลผ่านพอร์ตหรือ VLAN หนึ่งพอร์ตขึ้นไปในอุปกรณ์เดียวกัน เราจะต้องสร้างเซสชันต้นทาง ERSPAN และปลายทาง ERSPAN ในอุปกรณ์เดียวกัน กระแสข้อมูลจะเกิดขึ้นภายในเราเตอร์ ซึ่งคล้ายกับใน SPAN ในเครื่อง
ปัจจัยต่อไปนี้มีผลบังคับใช้ในขณะที่ใช้ ERSPAN เป็น SPAN ท้องถิ่น:
- ทั้งสองเซสชันมี ERSPAN ID เดียวกัน
- ทั้งสองเซสชันมีที่อยู่ IP เดียวกัน ที่อยู่ IP นี้เป็นที่อยู่ IP ของเราเตอร์เอง นั่นคือที่อยู่ IP แบบย้อนกลับหรือที่อยู่ IP ที่กำหนดค่าบนพอร์ตใดๆ
| (config)# เซสชันมอนิเตอร์ 10 ประเภท erspan-source |
| (config-mon-erspan-src)# อินเทอร์เฟซต้นทาง Gig0/0/0 |
| (config-mon-erspan-src)# ปลายทาง |
| (config-mon-erspan-src-dst)# ที่อยู่ IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# ที่อยู่ IP ต้นทาง 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
เวลาโพสต์: 28 ส.ค.-2024
