SPAN, RSPAN และ ERSPAN เป็นเทคนิคที่ใช้ในระบบเครือข่ายเพื่อบันทึกและตรวจสอบปริมาณการรับส่งข้อมูลสำหรับการวิเคราะห์ ต่อไปนี้เป็นภาพรวมโดยย่อของแต่ละเทคนิค:
SPAN (เครื่องวิเคราะห์พอร์ตสวิตช์)
วัตถุประสงค์: ใช้เพื่อมิเรอร์การรับส่งข้อมูลจากพอร์ตหรือ VLAN เฉพาะบนสวิตช์ไปยังพอร์ตอื่นเพื่อการตรวจสอบ
กรณีการใช้งาน: เหมาะอย่างยิ่งสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูลภายในสวิตช์เดียว ปริมาณการรับส่งข้อมูลจะถูกมิเรอร์ไปยังพอร์ตที่กำหนด ซึ่งตัววิเคราะห์เครือข่ายสามารถจับภาพได้
RSPAN (SPAN ระยะไกล)
วัตถุประสงค์: ขยายความสามารถของ SPAN ไปยังสวิตช์หลายตัวในเครือข่าย
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลจากสวิตช์หนึ่งไปยังอีกสวิตช์หนึ่งผ่านลิงก์ทรังค์ มีประโยชน์สำหรับสถานการณ์ที่อุปกรณ์ตรวจสอบตั้งอยู่บนสวิตช์อื่น
ERSPAN (SPAN ระยะไกลแบบหุ้มห่อ)
วัตถุประสงค์: รวม RSPAN เข้ากับ GRE (Generic Routing Encapsulation) เพื่อห่อหุ้มการรับส่งข้อมูลแบบมิเรอร์
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลในเครือข่ายที่กำหนดเส้นทางได้ ซึ่งมีประโยชน์ในสถาปัตยกรรมเครือข่ายที่ซับซ้อนซึ่งจำเป็นต้องบันทึกปริมาณการรับส่งข้อมูลในส่วนต่างๆ
Switch port Analyzer (SPAN) เป็นระบบตรวจสอบปริมาณการรับส่งข้อมูลที่มีประสิทธิภาพสูงและประสิทธิภาพสูง โดยจะกำหนดเส้นทางหรือสะท้อนปริมาณการรับส่งข้อมูลจากพอร์ตต้นทางหรือ VLAN ไปยังพอร์ตปลายทาง ซึ่งบางครั้งเรียกว่าการตรวจสอบเซสชัน SPAN ใช้สำหรับแก้ไขปัญหาการเชื่อมต่อและคำนวณการใช้งานและประสิทธิภาพของเครือข่าย เป็นต้น มี SPAN สามประเภทที่รองรับบนผลิตภัณฑ์ของ Cisco …
ก. SPAN หรือ SPAN ท้องถิ่น
ข. SPAN ระยะไกล (RSPAN)
c. ERSPAN (Encapsulated Remote SPAN)
ที่จะรู้ว่า : "Mylinking™ Network Packet Broker พร้อมคุณสมบัติ SPAN, RSPAN และ ERSPAN"
SPAN / การมิเรอร์การรับส่งข้อมูล / การมิเรอร์พอร์ต ถูกใช้เพื่อวัตถุประสงค์หลายประการ ด้านล่างนี้เป็นข้อมูลบางส่วน
- การนำ IDS/IPS ไปใช้งานในโหมด Promiscuous
- โซลูชันบันทึกการโทร VOIP
- เหตุผลด้านการปฏิบัติตามความปลอดภัยเพื่อตรวจสอบและวิเคราะห์ปริมาณการรับส่งข้อมูล
- แก้ไขปัญหาการเชื่อมต่อ ตรวจสอบปริมาณการรับส่งข้อมูล
ไม่ว่าจะทำงานแบบ SPAN ประเภทใด แหล่ง SPAN ก็สามารถเป็นพอร์ตประเภทใดก็ได้ เช่น พอร์ตที่กำหนดเส้นทาง พอร์ตสวิตช์ทางกายภาพ พอร์ตการเข้าถึง ทรังค์ VLAN (พอร์ตที่ทำงานอยู่ทั้งหมดจะได้รับการตรวจสอบจากสวิตช์) EtherChannel (พอร์ตเดียวหรืออินเทอร์เฟซพอร์ต-ช่องทั้งหมด) ฯลฯ โปรดทราบว่าพอร์ตที่กำหนดค่าสำหรับปลายทาง SPAN นั้นไม่สามารถเป็นส่วนหนึ่งของ VLAN แหล่ง SPAN ได้
เซสชัน SPAN รองรับการตรวจสอบปริมาณการรับส่งข้อมูลขาเข้า (ingress SPAN), ปริมาณการรับส่งข้อมูลขาออก (egress SPAN) หรือปริมาณการรับส่งข้อมูลที่ไหลในทั้งสองทิศทาง
- Ingress SPAN (RX) คัดลอกทราฟฟิกที่ได้รับจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง SPAN จะคัดลอกทราฟฟิกก่อนการปรับเปลี่ยนใดๆ (เช่น ก่อนตัวกรอง VACL หรือ ACL, QoS หรือการควบคุมการเข้าหรือออก)
- Egress SPAN (TX) จะคัดลอกทราฟฟิกที่ส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง การกรองหรือปรับเปลี่ยนที่เกี่ยวข้องทั้งหมดด้วยตัวกรอง VACL หรือ ACL, QoS หรือการดำเนินการควบคุมการเข้าหรือออกจะดำเนินการก่อนที่สวิตช์จะส่งต่อทราฟฟิกไปยังพอร์ตปลายทาง SPAN
- เมื่อใช้ทั้งสองคำสำคัญ SPAN จะคัดลอกข้อมูลการรับส่งข้อมูลบนเครือข่ายที่ได้รับและส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง
- SPAN/RSPAN มักจะไม่สนใจเฟรม CDP, STP BPDU, VTP, DTP และ PAgP อย่างไรก็ตาม ประเภทการรับส่งข้อมูลเหล่านี้สามารถส่งต่อได้หากกำหนดค่าคำสั่งจำลองแบบการห่อหุ้ม
SPAN หรือ SPAN ท้องถิ่น
SPAN จะทำการมิเรอร์การรับส่งข้อมูลจากอินเทอร์เฟซหนึ่งรายการหรือมากกว่าบนสวิตช์ไปยังอินเทอร์เฟซหนึ่งรายการหรือมากกว่าบนสวิตช์เดียวกัน ดังนั้น SPAN จึงมักถูกเรียกว่า SPAN ในระดับท้องถิ่น
แนวทางหรือข้อจำกัดของ SPAN ในท้องถิ่น:
- พอร์ตที่สลับเลเยอร์ 2 และพอร์ตเลเยอร์ 3 สามารถกำหนดค่าให้เป็นพอร์ตต้นทางหรือปลายทางได้
- แหล่งที่มาอาจเป็นพอร์ตหนึ่งพอร์ตขึ้นไปหรือ VLAN แต่ต้องไม่ใช่แบบผสมกัน
- พอร์ต Trunk เป็นพอร์ตต้นทางที่ถูกต้องผสมกับพอร์ตต้นทางที่ไม่ใช่พอร์ต Trunk
- สามารถกำหนดค่าพอร์ตปลายทาง SPAN บนสวิตช์ได้สูงสุด 64 พอร์ต
- เมื่อเราตั้งค่าพอร์ตปลายทาง การกำหนดค่าเดิมจะถูกเขียนทับ หากลบการกำหนดค่า SPAN ออกไป การกำหนดค่าเดิมบนพอร์ตนั้นจะถูกคืนค่า
- เมื่อกำหนดค่าพอร์ตปลายทาง พอร์ตจะถูกลบออกจากบันเดิล EtherChannel ใดๆ หากเป็นส่วนหนึ่งของบันเดิลนั้น หากเป็นพอร์ตที่กำหนดเส้นทาง การกำหนดค่าปลายทาง SPAN จะแทนที่การกำหนดค่าพอร์ตที่กำหนดเส้นทาง
- พอร์ตปลายทางไม่รองรับความปลอดภัยของพอร์ต การตรวจสอบสิทธิ์ 802.1x หรือ VLAN ส่วนตัว
- พอร์ตสามารถทำหน้าที่เป็นพอร์ตปลายทางสำหรับเซสชัน SPAN หนึ่งเซสชันเท่านั้น
- ไม่สามารถกำหนดค่าพอร์ตให้เป็นพอร์ตปลายทางได้ หากเป็นพอร์ตต้นทางของเซสชันสแปนหรือส่วนหนึ่งของ VLAN ต้นทาง
- อินเทอร์เฟซช่องพอร์ต (EtherChannel) สามารถกำหนดค่าให้เป็นพอร์ตต้นทางแต่ไม่สามารถเป็นพอร์ตปลายทางสำหรับ SPAN ได้
- ทิศทางการรับส่งข้อมูลจะเป็น "ทั้งสอง" ตามค่าเริ่มต้นสำหรับแหล่ง SPAN
พอร์ตปลายทางจะไม่เข้าร่วมในอินสแตนซ์สแปนนิ่งทรี ไม่สามารถรองรับ DTP, CDP เป็นต้น SPAN ในพื้นที่จะรวม BPDU ไว้ในทราฟฟิกที่ตรวจสอบ ดังนั้น BPDU ใดๆ ที่เห็นในพอร์ตปลายทางจะถูกคัดลอกจากพอร์ตต้นทาง ดังนั้นอย่าเชื่อมต่อสวิตช์กับ SPAN ประเภทนี้ เพราะอาจทำให้เกิดลูปเครือข่ายได้ เครื่องมือ AI จะช่วยเพิ่มประสิทธิภาพในการทำงาน และAI ที่ตรวจจับไม่ได้บริการสามารถปรับปรุงคุณภาพเครื่องมือ AI ได้
- เมื่อกำหนดค่า VLAN ให้เป็นแหล่ง SPAN (ส่วนใหญ่เรียกว่า VSPAN) โดยกำหนดค่าตัวเลือกทั้งขาเข้าและขาออกไว้ ให้ส่งต่อแพ็กเก็ตซ้ำจากพอร์ตต้นทางเฉพาะในกรณีที่แพ็กเก็ตถูกสลับใน VLAN เดียวกัน สำเนาหนึ่งของแพ็กเก็ตมาจากทราฟฟิกขาเข้าบนพอร์ตขาเข้า และสำเนาอื่นของแพ็กเก็ตมาจากทราฟฟิกขาออกบนพอร์ตขาออก
- VSPAN ตรวจสอบเฉพาะข้อมูลการเข้าหรือออกจากพอร์ตเลเยอร์ 2 ใน VLAN เท่านั้น
SPAN ระยะไกล (RSPAN)
Remote SPAN (RSPAN) คล้ายกับ SPAN แต่รองรับพอร์ตต้นทาง VLAN ต้นทาง และพอร์ตปลายทางบนสวิตช์ต่างๆ ซึ่งให้การรับส่งข้อมูลการตรวจสอบระยะไกลจากพอร์ตต้นทางที่กระจายอยู่บนสวิตช์หลายตัว และอนุญาตให้ปลายทางรวมอุปกรณ์จับภาพเครือข่ายไว้ที่ศูนย์กลาง เซสชัน RSPAN แต่ละเซสชันจะส่งการรับส่งข้อมูล SPAN ผ่าน VLAN RSPAN เฉพาะที่ผู้ใช้กำหนดในสวิตช์ที่เข้าร่วมทั้งหมด จากนั้น VLAN นี้จะถูกส่งไปยังสวิตช์อื่นๆ ทำให้สามารถส่งการรับส่งข้อมูลเซสชัน RSPAN ผ่านสวิตช์หลายตัวและส่งไปยังสถานีจับภาพปลายทางได้ RSPAN ประกอบด้วยเซสชันต้นทาง RSPAN, VLAN RSPAN และเซสชันปลายทาง RSPAN
แนวทางหรือข้อจำกัดของ RSPAN:
- จะต้องกำหนดค่า VLAN เฉพาะสำหรับปลายทาง SPAN ซึ่งจะเคลื่อนผ่านสวิตช์กลางผ่านลิงก์ทรังค์ไปยังพอร์ตปลายทาง
- สามารถสร้างประเภทแหล่งเดียวกันได้ – อย่างน้อยหนึ่งพอร์ตหรืออย่างน้อยหนึ่ง VLAN แต่ไม่สามารถผสมกัน
จุดหมายปลายทางสำหรับเซสชันคือ RSPAN VLAN แทนที่จะเป็นพอร์ตเดียวในสวิตช์ ดังนั้นพอร์ตทั้งหมดใน RSPAN VLAN จะได้รับทราฟฟิกที่มิเรอร์
- กำหนดค่า VLAN ใดๆ ให้เป็น VLAN RSPAN ตราบใดที่อุปกรณ์เครือข่ายที่เข้าร่วมทั้งหมดรองรับการกำหนดค่า VLAN RSPAN และใช้ VLAN RSPAN เดียวกันสำหรับเซสชัน RSPAN แต่ละเซสชัน
- VTP สามารถเผยแพร่การกำหนดค่า VLAN ที่มีหมายเลขตั้งแต่ 1 ถึง 1024 ให้เป็น VLAN RSPAN ได้ ต้องกำหนดค่า VLAN ที่มีหมายเลขสูงกว่า 1024 ให้เป็น VLAN RSPAN ด้วยตนเองบนอุปกรณ์เครือข่ายต้นทาง กลาง และปลายทางทั้งหมด
- การเรียนรู้ที่อยู่ MAC ถูกปิดใช้งานใน VLAN RSPAN
ERSPAN (ERSPAN) ระยะไกลแบบหุ้มห่อ
Encapsulated Remote SPAN (ERSPAN) นำการห่อหุ้มเส้นทางทั่วไป (GRE) มาให้กับทราฟฟิกที่บันทึกไว้ทั้งหมด และช่วยให้สามารถขยายไปยังโดเมนเลเยอร์ 3 ได้
ERSPAN คือกรรมสิทธิ์ของซิสโก้มีคุณสมบัติและใช้งานได้เฉพาะกับแพลตฟอร์ม Catalyst 6500, 7600, Nexus และ ASR 1000 เท่านั้นในปัจจุบัน ASR 1000 รองรับแหล่งที่มาของ ERSPAN (การตรวจสอบ) บนอินเทอร์เฟซ Fast Ethernet, Gigabit Ethernet และพอร์ต-ช่องเท่านั้น
แนวทางหรือข้อจำกัดของ ERSPAN:
เซสชันต้นทางของ ERSPAN จะไม่คัดลอกทราฟฟิกที่เข้ารหัสด้วย GRE ของ ERSPAN จากพอร์ตต้นทาง เซสชันต้นทางของ ERSPAN แต่ละเซสชันสามารถมีพอร์ตหรือ VLAN เป็นแหล่งที่มาได้ แต่ไม่สามารถมีทั้งสองอย่างได้
- โดยไม่คำนึงถึงขนาด MTU ที่กำหนดค่าไว้ ERSPAN จะสร้างแพ็กเก็ตเลเยอร์ 3 ที่มีความยาวได้ถึง 9,202 ไบต์ การรับส่งข้อมูลของ ERSPAN อาจถูกละทิ้งโดยอินเทอร์เฟซใดๆ ในเครือข่ายที่บังคับใช้ขนาด MTU เล็กกว่า 9,202 ไบต์
- ERSPAN ไม่รองรับการแบ่งแพ็กเก็ตออกเป็นชิ้นๆ บิต "ห้ามแบ่งแพ็กเก็ตออกเป็นชิ้นๆ" จะถูกตั้งค่าไว้ในส่วนหัว IP ของแพ็กเก็ต ERSPAN เซสชันปลายทางของ ERSPAN ไม่สามารถประกอบแพ็กเก็ต ERSPAN ที่แบ่งออกเป็นชิ้นๆ ขึ้นมาใหม่ได้
- รหัส ERSPAN จะแยกความแตกต่างระหว่างการรับส่งข้อมูล ERSPAN ที่มาถึงที่อยู่ IP ปลายทางเดียวกันจากเซสชันต้นทาง ERSPAN ที่แตกต่างกันหลายรายการ โดยรหัส ERSPAN ที่กำหนดค่าไว้จะต้องตรงกันในอุปกรณ์ต้นทางและปลายทาง
- สำหรับพอร์ตต้นทางหรือ VLAN ต้นทาง ERSPAN สามารถตรวจสอบการรับส่งข้อมูลขาเข้า ขาออก หรือทั้งการรับส่งข้อมูลขาเข้าและขาออก โดยค่าเริ่มต้น ERSPAN จะตรวจสอบการรับส่งข้อมูลทั้งหมด รวมถึงเฟรมมัลติคาสต์และ Bridge Protocol Data Unit (BPDU)
- อินเทอร์เฟซอุโมงค์ที่รองรับเป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง ERSPAN ได้แก่ GRE, IPinIP, SVTI, IPv6, อุโมงค์ IPv6 over IP, Multipoint GRE (mGRE) และ Secure Virtual Tunnel Interfaces (SVTI)
- ตัวเลือกตัวกรอง VLAN ไม่สามารถใช้งานได้ในเซสชันการตรวจสอบ ERSPAN บนอินเทอร์เฟซ WAN
- ERSPAN บนเราเตอร์ Cisco ASR 1000 Series รองรับเฉพาะอินเทอร์เฟซเลเยอร์ 3 เท่านั้น อินเทอร์เฟซอีเทอร์เน็ตไม่ได้รับการรองรับบน ERSPAN เมื่อกำหนดค่าเป็นอินเทอร์เฟซเลเยอร์ 2
- เมื่อกำหนดค่าเซสชันผ่าน CLI การกำหนดค่า ERSPAN จะไม่สามารถเปลี่ยน ID เซสชันและประเภทเซสชันได้ หากต้องการเปลี่ยนแปลง คุณต้องใช้คำสั่งการกำหนดค่าในรูปแบบ no ก่อนเพื่อลบเซสชัน จากนั้นจึงกำหนดค่าเซสชันใหม่
- Cisco IOS XE รุ่น 3.4S: การตรวจสอบแพ็คเก็ตอุโมงค์ที่ไม่ได้รับการป้องกันด้วย IPsec รองรับบนอินเทอร์เฟซอุโมงค์ IPv6 และ IPv6 บน IP สำหรับเซสชันต้นทางของ ERSPAN เท่านั้น ไม่ใช่สำหรับเซสชันปลายทางของ ERSPAN
- Cisco IOS XE รุ่น 3.5S เพิ่มการรองรับสำหรับประเภทอินเทอร์เฟซ WAN ต่อไปนี้ในฐานะพอร์ตต้นทางสำหรับเซสชันต้นทาง: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) และ Multilink PPP (เพิ่มคีย์เวิร์ด multilink, pos และ serial ลงในคำสั่งอินเทอร์เฟซต้นทาง)
การใช้ ERSPAN เป็น SPAN ในพื้นที่:
ในการใช้ ERSPAN เพื่อตรวจสอบการรับส่งข้อมูลผ่านพอร์ตหรือ VLAN หนึ่งพอร์ตขึ้นไปในอุปกรณ์เดียวกัน เราจะต้องสร้างเซสชันต้นทางและปลายทางของ ERSPAN ในอุปกรณ์เดียวกัน การไหลของข้อมูลจะเกิดขึ้นภายในเราเตอร์ ซึ่งคล้ายกับใน SPAN ในพื้นที่
ปัจจัยต่อไปนี้จะมีผลใช้ได้เมื่อใช้ ERSPAN เป็น SPAN ในพื้นที่:
- ทั้งสองเซสชันมี ERSPAN ID เดียวกัน
- ทั้งสองเซสชันมีที่อยู่ IP เดียวกัน ที่อยู่ IP นี้คือที่อยู่ IP ของเราเตอร์เอง นั่นคือที่อยู่ IP ลูปแบ็กหรือที่อยู่ IP ที่กำหนดค่าบนพอร์ตใดๆ
| (config)# ตรวจสอบเซสชัน 10 พิมพ์ erspan-source |
| (config-mon-erspan-src)# อินเทอร์เฟซต้นทาง Gig0/0/0 |
| (config-mon-erspan-src)# จุดหมายปลายทาง |
| (config-mon-erspan-src-dst)# ที่อยู่ IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# ที่อยู่ IP ต้นทาง 10.10.10.1 |
| (config-mon-erspan-src-dst) # erspan-id 100 |
เวลาโพสต์ : 28 ส.ค. 2567
