SPAN, RSPAN และ ERSPAN เป็นเทคนิคที่ใช้ในระบบเครือข่ายเพื่อดักจับและตรวจสอบปริมาณการรับส่งข้อมูลเพื่อการวิเคราะห์ ต่อไปนี้เป็นภาพรวมโดยย่อของแต่ละเทคนิค:
SPAN (เครื่องวิเคราะห์พอร์ตแบบสวิตช์)
วัตถุประสงค์: ใช้สำหรับจำลองการรับส่งข้อมูลจากพอร์ตหรือ VLAN เฉพาะบนสวิตช์ไปยังพอร์ตอื่นเพื่อการตรวจสอบ
กรณีการใช้งาน: เหมาะอย่างยิ่งสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูลภายในเครือข่ายบนสวิตช์ตัวเดียว ข้อมูลจะถูกส่งไปยังพอร์ตที่กำหนดไว้ ซึ่งเครื่องมือวิเคราะห์เครือข่ายสามารถดักจับได้
RSPAN (Remote SPAN)
วัตถุประสงค์: ขยายขีดความสามารถของ SPAN ไปยังสวิตช์หลายตัวในเครือข่าย
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลจากสวิตช์หนึ่งไปยังอีกสวิตช์หนึ่งผ่านลิงก์แบบ Trunk มีประโยชน์ในกรณีที่อุปกรณ์ตรวจสอบอยู่บนสวิตช์ที่แตกต่างกัน
ERSPAN (Encapsulated Remote SPAN)
วัตถุประสงค์: ผสาน RSPAN กับ GRE (Generic Routing Encapsulation) เพื่อห่อหุ้มทราฟฟิกที่จำลองมา
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลผ่านเครือข่ายที่มีการกำหนดเส้นทางได้ ซึ่งมีประโยชน์ในสถาปัตยกรรมเครือข่ายที่ซับซ้อนซึ่งจำเป็นต้องบันทึกปริมาณการรับส่งข้อมูลในส่วนต่างๆ
Switch Port Analyzer (SPAN) คือระบบตรวจสอบปริมาณการรับส่งข้อมูลที่มีประสิทธิภาพสูง โดยจะส่งหรือจำลองปริมาณการรับส่งข้อมูลจากพอร์ตต้นทางหรือ VLAN ไปยังพอร์ตปลายทาง บางครั้งเรียกว่าการตรวจสอบเซสชัน SPAN ใช้สำหรับแก้ไขปัญหาการเชื่อมต่อ คำนวณการใช้งานและประสิทธิภาพของเครือข่าย และอื่นๆ อีกมากมาย ผลิตภัณฑ์ของ Cisco รองรับ SPAN สามประเภท...
ก. SPAN หรือ SPAN ในพื้นที่
b. SPAN ระยะไกล (RSPAN)
ค. SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN)
สิ่งที่ควรรู้: "Mylinking™ Network Packet Broker พร้อมคุณสมบัติ SPAN, RSPAN และ ERSPAN"
SPAN / การจำลองการรับส่งข้อมูล / การจำลองพอร์ต ถูกนำไปใช้เพื่อวัตถุประสงค์หลายประการ ดังที่แสดงไว้ด้านล่าง
- การใช้งาน IDS/IPS ในโหมด promiscuous
- โซลูชันการบันทึกการโทรผ่าน VOIP
- เหตุผลด้านการปฏิบัติตามข้อกำหนดด้านความปลอดภัยในการตรวจสอบและวิเคราะห์ปริมาณการรับส่งข้อมูล
- แก้ไขปัญหาการเชื่อมต่อ ตรวจสอบปริมาณการใช้งาน
ไม่ว่าจะเป็น SPAN ประเภทใดก็ตาม พอร์ตต้นทางของ SPAN สามารถเป็นพอร์ตประเภทใดก็ได้ เช่น พอร์ตแบบ Routed, พอร์ตสวิตช์ทางกายภาพ, พอร์ต Access, พอร์ต Trunk, VLAN (พอร์ตที่ใช้งานอยู่ทั้งหมดของสวิตช์จะถูกตรวจสอบ), พอร์ต EtherChannel (ไม่ว่าจะเป็นพอร์ตเดียวหรืออินเทอร์เฟซ Port-Channel ทั้งหมด) เป็นต้น โปรดทราบว่าพอร์ตที่กำหนดค่าเป็นปลายทางของ SPAN จะต้องไม่เป็นส่วนหนึ่งของ VLAN ต้นทางของ SPAN
เซสชัน SPAN รองรับการตรวจสอบปริมาณการรับส่งข้อมูลขาเข้า (ingress SPAN), ปริมาณการรับส่งข้อมูลขาออก (egress SPAN) หรือปริมาณการรับส่งข้อมูลที่ไหลในทั้งสองทิศทาง
- Ingress SPAN (RX) คัดลอกทราฟฟิกที่ได้รับจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง SPAN จะคัดลอกทราฟฟิกก่อนการแก้ไขใดๆ (เช่น ก่อนการกรอง VACL หรือ ACL, QoS หรือการควบคุมทราฟฟิกขาเข้าหรือขาออก)
- Egress SPAN (TX) คัดลอกทราฟฟิกที่ส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง การกรองหรือการแก้ไขที่เกี่ยวข้องทั้งหมดโดยตัวกรอง VACL หรือ ACL, QoS หรือการควบคุมทราฟฟิกขาเข้าหรือขาออก จะถูกดำเนินการก่อนที่สวิตช์จะส่งต่อทราฟฟิกไปยังพอร์ตปลายทาง SPAN
- เมื่อใช้คีย์เวิร์ด both SPAN จะคัดลอกทราฟฟิกเครือข่ายที่รับและส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง
- โดยปกติ SPAN/RSPAN จะไม่สนใจเฟรม CDP, STP BPDU, VTP, DTP และ PAgP อย่างไรก็ตาม สามารถส่งต่อเฟรมประเภทเหล่านี้ได้หากมีการกำหนดค่าคำสั่ง encapsulation replicate ไว้
SPAN หรือ Local SPAN
SPAN ทำหน้าที่จำลองการรับส่งข้อมูลจากอินเทอร์เฟซหนึ่งหรือหลายอินเทอร์เฟซบนสวิตช์ไปยังอินเทอร์เฟซหนึ่งหรือหลายอินเทอร์เฟซบนสวิตช์เดียวกัน ดังนั้น SPAN จึงมักถูกเรียกว่า LOCAL SPAN
แนวทางหรือข้อจำกัดสำหรับ SPAN ในระดับท้องถิ่น:
- พอร์ต Layer 2 และพอร์ต Layer 3 สามารถกำหนดค่าเป็นพอร์ตต้นทางหรือพอร์ตปลายทางได้
- แหล่งที่มาสามารถเป็นพอร์ตเดียวหรือหลายพอร์ต หรือ VLAN ก็ได้ แต่ไม่สามารถเป็นการผสมผสานของทั้งสองอย่างได้
- พอร์ต Trunk คือพอร์ตต้นทางที่ใช้งานได้ซึ่งผสมผสานกับพอร์ตต้นทางที่ไม่ใช่ Trunk
- สามารถกำหนดค่าพอร์ตปลายทาง SPAN ได้สูงสุด 64 พอร์ตบนสวิตช์
- เมื่อเรากำหนดค่าพอร์ตปลายทาง การกำหนดค่าเดิมของพอร์ตนั้นจะถูกเขียนทับ หากลบการกำหนดค่า SPAN ออก การกำหนดค่าเดิมของพอร์ตนั้นจะถูกกู้คืน
- เมื่อกำหนดค่าพอร์ตปลายทาง พอร์ตนั้นจะถูกลบออกจากกลุ่ม EtherChannel หากเป็นส่วนหนึ่งของกลุ่มนั้น หากเป็นพอร์ตแบบ Routed การกำหนดค่าปลายทางของ SPAN จะแทนที่การกำหนดค่าพอร์ตแบบ Routed
- พอร์ตปลายทางไม่รองรับการรักษาความปลอดภัยพอร์ต การตรวจสอบสิทธิ์ 802.1x หรือ VLAN ส่วนตัว
- พอร์ตหนึ่งสามารถทำหน้าที่เป็นพอร์ตปลายทางสำหรับเซสชัน SPAN เพียงหนึ่งเดียวเท่านั้น
- ไม่สามารถกำหนดค่าพอร์ตเป็นพอร์ตปลายทางได้ หากพอร์ตนั้นเป็นพอร์ตต้นทางของเซสชันสแปน หรือเป็นส่วนหนึ่งของ VLAN ต้นทาง
- อินเทอร์เฟซพอร์ตแชนเนล (EtherChannel) สามารถกำหนดค่าเป็นพอร์ตต้นทางได้ แต่ไม่สามารถกำหนดค่าเป็นพอร์ตปลายทางสำหรับ SPAN ได้
- ทิศทางการรับส่งข้อมูลจะเป็น "ทั้งสอง" โดยค่าเริ่มต้นสำหรับแหล่งข้อมูล SPAN
- พอร์ตปลายทางจะไม่เข้าร่วมในอินสแตนซ์ของสแปนนิ่งทรี ไม่รองรับ DTP, CDP เป็นต้น สแปนนิ่งทรีแบบโลคอลจะรวม BPDU ไว้ในทราฟฟิกที่ตรวจสอบ ดังนั้น BPDU ใดๆ ที่เห็นบนพอร์ตปลายทางจะถูกคัดลอกมาจากพอร์ตต้นทาง ด้วยเหตุนี้จึงไม่ควรเชื่อมต่อสวิตช์กับสแปนนิ่งทรีประเภทนี้ เพราะอาจทำให้เกิดลูปเครือข่ายได้ เครื่องมือ AI จะช่วยเพิ่มประสิทธิภาพการทำงาน และปัญญาประดิษฐ์ที่ตรวจจับไม่ได้การให้บริการสามารถปรับปรุงคุณภาพของเครื่องมือ AI ได้
- เมื่อกำหนดค่า VLAN เป็นแหล่งที่มาของ SPAN (ส่วนใหญ่เรียกว่า VSPAN) โดยมีการกำหนดค่าทั้งตัวเลือกขาเข้าและขาออก ระบบจะส่งต่อแพ็กเก็ตสำเนาจากพอร์ตต้นทางก็ต่อเมื่อแพ็กเก็ตเหล่านั้นถูกสวิตช์ภายใน VLAN เดียวกันเท่านั้น โดยสำเนาหนึ่งของแพ็กเก็ตจะมาจากทราฟฟิกขาเข้าบนพอร์ตขาเข้า และอีกสำเนาหนึ่งของแพ็กเก็ตจะมาจากทราฟฟิกขาออกบนพอร์ตขาออก
- VSPAN ตรวจสอบเฉพาะทราฟฟิกที่ออกจากหรือเข้าสู่พอร์ตเลเยอร์ 2 ใน VLAN เท่านั้น
รีโมท SPAN (RSPAN)
Remote SPAN (RSPAN) คล้ายกับ SPAN แต่รองรับพอร์ตต้นทาง VLAN ต้นทาง และพอร์ตปลายทางบนสวิตช์ต่างๆ ซึ่งช่วยให้สามารถตรวจสอบการรับส่งข้อมูลจากระยะไกลจากพอร์ตต้นทางที่กระจายอยู่บนสวิตช์หลายตัว และช่วยให้สามารถรวมศูนย์อุปกรณ์จับภาพเครือข่ายที่ปลายทางได้ แต่ละเซสชัน RSPAN จะส่งการรับส่งข้อมูล SPAN ผ่าน VLAN RSPAN เฉพาะที่ผู้ใช้กำหนดในสวิตช์ที่เข้าร่วมทั้งหมด จากนั้น VLAN นี้จะถูกรวมไปยังสวิตช์อื่นๆ ทำให้การรับส่งข้อมูลเซสชัน RSPAN สามารถส่งผ่านสวิตช์หลายตัวและส่งไปยังสถานีจับภาพปลายทางได้ RSPAN ประกอบด้วยเซสชันต้นทาง RSPAN, VLAN RSPAN และเซสชันปลายทาง RSPAN
แนวทางหรือข้อจำกัดในการใช้งาน RSPAN:
- ต้องกำหนดค่า VLAN เฉพาะสำหรับปลายทาง SPAN ซึ่งจะส่งผ่านสวิตช์ตัวกลางโดยใช้ลิงก์ Trunk ไปยังพอร์ตปลายทาง
- สามารถสร้างแหล่งที่มาประเภทเดียวกันได้ – อย่างน้อยหนึ่งพอร์ตหรืออย่างน้อยหนึ่ง VLAN แต่ไม่สามารถผสมกันได้
- ปลายทางของเซสชันคือ RSPAN VLAN แทนที่จะเป็นพอร์ตเดียวในสวิตช์ ดังนั้นพอร์ตทั้งหมดใน RSPAN VLAN จะได้รับทราฟฟิกที่จำลองมา
- กำหนดค่า VLAN ใดก็ได้ให้เป็น RSPAN VLAN ตราบใดที่อุปกรณ์เครือข่ายที่เกี่ยวข้องทั้งหมดรองรับการกำหนดค่า RSPAN VLAN และใช้ RSPAN VLAN เดียวกันสำหรับแต่ละเซสชัน RSPAN
- VTP สามารถส่งต่อการกำหนดค่า VLAN หมายเลข 1 ถึง 1024 เป็น RSPAN VLAN ได้ แต่ต้องกำหนดค่า VLAN ที่มีหมายเลขสูงกว่า 1024 เป็น RSPAN VLAN ด้วยตนเองบนอุปกรณ์เครือข่ายต้นทาง ตัวกลาง และปลายทางทั้งหมด
- การเรียนรู้ที่อยู่ MAC ถูกปิดใช้งานใน RSPAN VLAN
SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN)
Encapsulated Remote SPAN (ERSPAN) นำเสนอการห่อหุ้มเส้นทางทั่วไป (GRE) สำหรับทราฟฟิกที่ถูกดักจับทั้งหมด และอนุญาตให้ขยายไปยังโดเมนเลเยอร์ 3 ได้
ERSPAN คือข้อมูลเฉพาะของซิสโก้ฟีเจอร์นี้มีให้ใช้งานเฉพาะบนแพลตฟอร์ม Catalyst 6500, 7600, Nexus และ ASR 1000 เท่านั้นในปัจจุบัน ASR 1000 รองรับแหล่งสัญญาณ ERSPAN (การตรวจสอบ) เฉพาะบนอินเทอร์เฟซ Fast Ethernet, Gigabit Ethernet และ port-channel เท่านั้น
แนวทางหรือข้อจำกัดในการใช้ ERSPAN:
- เซสชันแหล่งข้อมูล ERSPAN จะไม่คัดลอกทราฟฟิกที่เข้ารหัส GRE ของ ERSPAN จากพอร์ตต้นทาง เซสชันแหล่งข้อมูล ERSPAN แต่ละเซสชันสามารถมีพอร์ตหรือ VLAN เป็นแหล่งข้อมูลได้ แต่ไม่สามารถใช้ทั้งสองอย่างพร้อมกันได้
- ไม่ว่าขนาด MTU ที่กำหนดไว้จะเป็นเท่าใดก็ตาม ERSPAN จะสร้างแพ็กเก็ตเลเยอร์ 3 ที่มีความยาวได้ถึง 9,202 ไบต์ การรับส่งข้อมูล ERSPAN อาจถูกบล็อกโดยอินเทอร์เฟซใดๆ ในเครือข่ายที่บังคับใช้ขนาด MTU ที่เล็กกว่า 9,202 ไบต์
- ERSPAN ไม่รองรับการแบ่งส่วนแพ็กเก็ต บิต "ห้ามแบ่งส่วน" ถูกตั้งค่าไว้ในส่วนหัว IP ของแพ็กเก็ต ERSPAN เซสชันปลายทางของ ERSPAN ไม่สามารถประกอบแพ็กเก็ต ERSPAN ที่ถูกแบ่งส่วนกลับคืนได้
- รหัส ERSPAN ใช้เพื่อแยกแยะการรับส่งข้อมูล ERSPAN ที่เข้ามายังที่อยู่ IP ปลายทางเดียวกัน จากเซสชันต้นทาง ERSPAN ที่แตกต่างกัน รหัส ERSPAN ที่กำหนดค่าไว้ต้องตรงกันทั้งบนอุปกรณ์ต้นทางและปลายทาง
- สำหรับพอร์ตต้นทางหรือ VLAN ต้นทาง ERSPAN สามารถตรวจสอบทราฟฟิกขาเข้า ขาออก หรือทั้งขาเข้าและขาออกได้ โดยค่าเริ่มต้น ERSPAN จะตรวจสอบทราฟฟิกทั้งหมด รวมถึงมัลติแคสต์และเฟรม Bridge Protocol Data Unit (BPDU)
- อินเทอร์เฟซอุโมงค์ที่รองรับเป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง ERSPAN ได้แก่ GRE, IPinIP, SVTI, IPv6, อุโมงค์ IPv6 ผ่าน IP, Multipoint GRE (mGRE) และ Secure Virtual Tunnel Interfaces (SVTI)
- ตัวเลือกการกรอง VLAN ไม่สามารถใช้งานได้ในเซสชันการตรวจสอบ ERSPAN บนอินเทอร์เฟซ WAN
- ERSPAN บนเราเตอร์ Cisco ASR 1000 Series รองรับเฉพาะอินเทอร์เฟซ Layer 3 เท่านั้น อินเทอร์เฟซ Ethernet จะไม่ได้รับการสนับสนุนบน ERSPAN เมื่อกำหนดค่าเป็นอินเทอร์เฟซ Layer 2
- เมื่อกำหนดค่าเซสชันผ่าน CLI การกำหนดค่า ERSPAN แล้ว จะไม่สามารถเปลี่ยนแปลงรหัสเซสชันและประเภทเซสชันได้ หากต้องการเปลี่ยนแปลง คุณต้องใช้คำสั่งกำหนดค่าในรูปแบบ no เพื่อลบเซสชันก่อน จากนั้นจึงกำหนดค่าเซสชันใหม่
- Cisco IOS XE รุ่น 3.4S :- การตรวจสอบแพ็กเก็ตอุโมงค์ที่ไม่ได้รับการป้องกันด้วย IPsec รองรับเฉพาะบนอินเทอร์เฟซอุโมงค์ IPv6 และ IPv6 over IP สำหรับเซสชันต้นทาง ERSPAN เท่านั้น ไม่ใช่เซสชันปลายทาง ERSPAN
- ใน Cisco IOS XE เวอร์ชัน 3.5S ได้เพิ่มการรองรับอินเทอร์เฟซ WAN ประเภทต่อไปนี้เป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) และ Multilink PPP (มีการเพิ่มคำหลัก multilink, pos และ serial ในคำสั่ง source interface)
การใช้งาน ERSPAN เป็น Local SPAN:
ในการใช้ ERSPAN เพื่อตรวจสอบปริมาณการรับส่งข้อมูลผ่านพอร์ตหรือ VLAN หนึ่งพอร์ตขึ้นไปในอุปกรณ์เดียวกัน เราต้องสร้างเซสชัน ERSPAN ต้นทางและปลายทางในอุปกรณ์เดียวกัน โดยการไหลของข้อมูลจะเกิดขึ้นภายในเราเตอร์ ซึ่งคล้ายกับการไหลของข้อมูลใน SPAN ภายในเครื่อง
ปัจจัยต่อไปนี้มีผลต่อการใช้งาน ERSPAN ในฐานะ SPAN ในพื้นที่:
- ทั้งสองเซสชันมีรหัส ERSPAN เดียวกัน
- ทั้งสองเซสชันมีที่อยู่ IP เดียวกัน ที่อยู่ IP นี้คือที่อยู่ IP ของเราเตอร์เอง กล่าวคือ ที่อยู่ IP แบบ loopback หรือที่อยู่ IP ที่กำหนดค่าไว้ในพอร์ตใดพอร์ตหนึ่ง
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# source interface Gig0/0/0 |
| (config-mon-erspan-src)# destination |
| (config-mon-erspan-src-dst)# ip address 10.10.10.1 |
| (config-mon-erspan-src-dst)# origin ip address 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
วันที่เผยแพร่: 28 สิงหาคม 2567
