SPAN, RSPAN และ ERSSPAN เป็นเทคนิคที่ใช้ในระบบเครือข่ายเพื่อบันทึกและตรวจสอบปริมาณการรับส่งข้อมูลเพื่อการวิเคราะห์ ต่อไปนี้คือภาพรวมโดยย่อของแต่ละเทคนิค:
SPAN (ตัววิเคราะห์พอร์ตสวิตช์)
วัตถุประสงค์: ใช้เพื่อมิเรอร์การรับส่งข้อมูลจากพอร์ตหรือ VLAN เฉพาะบนสวิตช์ไปยังพอร์ตอื่นเพื่อทำการตรวจสอบ
กรณีการใช้งาน: เหมาะสำหรับการวิเคราะห์ทราฟฟิกภายในบนสวิตช์เดียว ทราฟฟิกจะถูกมิเรอร์ไปยังพอร์ตที่กำหนด ซึ่งตัววิเคราะห์เครือข่ายสามารถบันทึกข้อมูลได้
RSPAN (SPAN ระยะไกล)
วัตถุประสงค์: ขยายความสามารถของ SPAN ให้กับสวิตช์หลายตัวในเครือข่าย
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลจากสวิตช์หนึ่งไปยังอีกสวิตช์หนึ่งผ่านลิงก์ทรังค์ มีประโยชน์สำหรับสถานการณ์ที่อุปกรณ์ตรวจสอบตั้งอยู่บนสวิตช์อื่น
ERSPAN (Encapsulated Remote SPAN)
วัตถุประสงค์: รวม RSPAN เข้ากับ GRE (Generic Routing Encapsulation) เพื่อห่อหุ้มการรับส่งข้อมูลแบบมิเรอร์
กรณีการใช้งาน: ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลข้ามเครือข่ายที่กำหนดเส้นทางได้ ซึ่งมีประโยชน์ในสถาปัตยกรรมเครือข่ายที่ซับซ้อน ซึ่งจำเป็นต้องบันทึกปริมาณการรับส่งข้อมูลในแต่ละเซกเมนต์
Switch Port Analyzer (SPAN) เป็นระบบตรวจสอบทราฟฟิกที่มีประสิทธิภาพและประสิทธิภาพสูง ทำหน้าที่กำหนดเส้นทางหรือมิเรอร์ทราฟฟิกจากพอร์ตต้นทางหรือ VLAN ไปยังพอร์ตปลายทาง บางครั้งเรียกว่าการตรวจสอบเซสชัน SPAN ใช้สำหรับแก้ไขปัญหาการเชื่อมต่อและคำนวณการใช้งานและประสิทธิภาพของเครือข่าย รวมถึงปัญหาอื่นๆ อีกมากมาย ผลิตภัณฑ์ Cisco รองรับ SPAN สามประเภท ได้แก่...
ก. SPAN หรือ SPAN ท้องถิ่น
ข. SPAN ระยะไกล (RSPAN)
c. SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN)
ทราบ: "Mylinking™ Network Packet Broker พร้อมคุณสมบัติ SPAN, RSPAN และ ERSPAN"
SPAN / การมิเรอร์การรับส่งข้อมูล / การมิเรอร์พอร์ต ถูกใช้เพื่อจุดประสงค์ต่างๆ มากมาย ด้านล่างนี้คือตัวอย่างบางส่วน
- การนำ IDS/IPS ไปใช้ในโหมด promiscuous
- โซลูชั่นการบันทึกการโทร VOIP
- เหตุผลด้านการปฏิบัติตามข้อกำหนดด้านความปลอดภัยเพื่อตรวจสอบและวิเคราะห์การรับส่งข้อมูล
- แก้ไขปัญหาการเชื่อมต่อ ตรวจสอบปริมาณการรับส่งข้อมูล
ไม่ว่าจะทำงานแบบ SPAN ประเภทใด แหล่ง SPAN ก็สามารถเป็นพอร์ตประเภทใดก็ได้ เช่น พอร์ตที่กำหนดเส้นทาง พอร์ตสวิตช์ทางกายภาพ พอร์ตการเข้าถึง ทรังค์ VLAN (พอร์ตที่ทำงานอยู่ทั้งหมดจะได้รับการตรวจสอบจากสวิตช์) EtherChannel (พอร์ตเดียวหรืออินเทอร์เฟซพอร์ต-ช่องทั้งหมด) เป็นต้น โปรดทราบว่าพอร์ตที่กำหนดค่าสำหรับปลายทาง SPAN ไม่สามารถเป็นส่วนหนึ่งของ VLAN แหล่ง SPAN ได้
เซสชัน SPAN รองรับการตรวจสอบปริมาณการรับส่งข้อมูลขาเข้า (ingress SPAN), ปริมาณการรับส่งข้อมูลขาออก (egress SPAN) หรือปริมาณการรับส่งข้อมูลที่ไหลในทั้งสองทิศทาง
- Ingress SPAN (RX) คัดลอกการรับส่งข้อมูลที่ได้รับจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง SPAN จะคัดลอกการรับส่งข้อมูลก่อนการปรับเปลี่ยนใดๆ (เช่น ก่อนตัวกรอง VACL หรือ ACL, QoS หรือการควบคุมการรับส่งข้อมูลขาเข้าหรือขาออก)
- Egress SPAN (TX) คัดลอกทราฟฟิกที่ส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง การกรองหรือปรับเปลี่ยนที่เกี่ยวข้องทั้งหมดด้วยตัวกรอง VACL หรือ ACL, QoS หรือการควบคุมการเข้าหรือออก จะดำเนินการก่อนที่สวิตช์จะส่งต่อทราฟฟิกไปยังพอร์ตปลายทาง SPAN
- เมื่อใช้ทั้งสองคำสำคัญ SPAN จะคัดลอกข้อมูลการรับส่งข้อมูลเครือข่ายที่ได้รับและส่งจากพอร์ตต้นทางและ VLAN ไปยังพอร์ตปลายทาง
- SPAN/RSPAN มักจะไม่สนใจเฟรม CDP, STP BPDU, VTP, DTP และ PAgP อย่างไรก็ตาม ประเภทการรับส่งข้อมูลเหล่านี้สามารถส่งต่อได้หากมีการกำหนดค่าคำสั่ง encapsulation replicate
SPAN หรือ SPAN ท้องถิ่น
SPAN จะทำการมิเรอร์การรับส่งข้อมูลจากอินเทอร์เฟซหนึ่งรายการหรือมากกว่าบนสวิตช์ไปยังอินเทอร์เฟซหนึ่งรายการหรือมากกว่าบนสวิตช์เดียวกัน ดังนั้น SPAN จึงมักถูกเรียกว่า LOCAL SPAN
แนวทางหรือข้อจำกัดของ SPAN ในพื้นที่:
- พอร์ตที่สลับเลเยอร์ 2 และพอร์ตเลเยอร์ 3 สามารถกำหนดค่าให้เป็นพอร์ตต้นทางหรือปลายทางได้
- แหล่งที่มาอาจเป็นพอร์ตหนึ่งพอร์ตขึ้นไปหรือ VLAN แต่ไม่ใช่แบบผสมกัน
- พอร์ต Trunk คือพอร์ตต้นทางที่ถูกต้องผสมกับพอร์ตต้นทางที่ไม่ใช่ Trunk
- สามารถกำหนดค่าพอร์ตปลายทาง SPAN บนสวิตช์ได้สูงสุด 64 พอร์ต
- เมื่อเรากำหนดค่าพอร์ตปลายทาง การกำหนดค่าเดิมจะถูกเขียนทับ หากลบการกำหนดค่า SPAN การกำหนดค่าเดิมบนพอร์ตนั้นจะถูกคืนค่า
- เมื่อกำหนดค่าพอร์ตปลายทาง พอร์ตนั้นจะถูกลบออกจากบันเดิล EtherChannel ใดๆ หากพอร์ตนั้นเป็นส่วนหนึ่งของบันเดิลนั้น หากเป็นพอร์ตที่กำหนดเส้นทาง การกำหนดค่าปลายทาง SPAN จะแทนที่การกำหนดค่าพอร์ตที่กำหนดเส้นทาง
- พอร์ตปลายทางไม่รองรับความปลอดภัยของพอร์ต การตรวจสอบสิทธิ์ 802.1x หรือ VLAN ส่วนตัว
- พอร์ตสามารถทำหน้าที่เป็นพอร์ตปลายทางสำหรับเซสชัน SPAN หนึ่งเซสชันเท่านั้น
- ไม่สามารถกำหนดค่าพอร์ตให้เป็นพอร์ตปลายทางได้หากเป็นพอร์ตต้นทางของเซสชันสแปนหรือส่วนหนึ่งของ VLAN ต้นทาง
- อินเทอร์เฟซช่องพอร์ต (EtherChannel) สามารถกำหนดค่าให้เป็นพอร์ตต้นทาง แต่ไม่สามารถเป็นพอร์ตปลายทางสำหรับ SPAN ได้
- ทิศทางการรับส่งข้อมูลจะเป็น "ทั้งสอง" ตามค่าเริ่มต้นสำหรับแหล่ง SPAN
- พอร์ตปลายทางจะไม่เข้าร่วมในอินสแตนซ์แบบสแปนนิ่งทรี ไม่รองรับ DTP, CDP ฯลฯ SPAN ภายในจะรวม BPDU ไว้ในทราฟฟิกที่ถูกมอนิเตอร์ ดังนั้น BPDU ใดๆ ที่เห็นบนพอร์ตปลายทางจะถูกคัดลอกจากพอร์ตต้นทาง ดังนั้นอย่าเชื่อมต่อสวิตช์กับ SPAN ประเภทนี้ เพราะอาจทำให้เกิดลูปเครือข่าย เครื่องมือ AI จะช่วยเพิ่มประสิทธิภาพการทำงาน และAI ที่ตรวจจับไม่ได้บริการนี้สามารถปรับปรุงคุณภาพของเครื่องมือ AI ได้
- เมื่อกำหนดค่า VLAN ให้เป็น SPAN source (ส่วนใหญ่เรียกว่า VSPAN) โดยกำหนดค่าตัวเลือกทั้ง ingress และ egress ไว้ ให้ส่งต่อแพ็กเก็ตซ้ำจากพอร์ตต้นทางเฉพาะเมื่อแพ็กเก็ตถูกสลับใน VLAN เดียวกัน แพ็กเก็ตชุดหนึ่งมาจากทราฟฟิกขาเข้าบนพอร์ต ingress และแพ็กเก็ตอีกชุดหนึ่งมาจากทราฟฟิกขาออกบนพอร์ต egress
- VSPAN ตรวจสอบเฉพาะข้อมูลการสัญจรที่ออกจากหรือเข้าสู่พอร์ตเลเยอร์ 2 ใน VLAN เท่านั้น
SPAN ระยะไกล (RSPAN)
Remote SPAN (RSPAN) คล้ายกับ SPAN แต่รองรับพอร์ตต้นทาง VLAN ต้นทาง และพอร์ตปลายทางบนสวิตช์ต่างๆ ซึ่งทำหน้าที่ตรวจสอบการรับส่งข้อมูลระยะไกลจากพอร์ตต้นทางที่กระจายอยู่บนสวิตช์หลายตัว และอนุญาตให้มีอุปกรณ์จับภาพเครือข่ายปลายทางเป็นศูนย์กลาง แต่ละเซสชัน RSPAN จะส่งข้อมูล SPAN ผ่าน VLAN RSPAN เฉพาะที่ผู้ใช้กำหนดในสวิตช์ทุกตัวที่เข้าร่วม จากนั้น VLAN นี้จะถูกเชื่อมต่อไปยังสวิตช์อื่นๆ ทำให้สามารถส่งข้อมูลเซสชัน RSPAN ผ่านสวิตช์หลายตัวและส่งไปยังสถานีจับภาพปลายทางได้ RSPAN ประกอบด้วยเซสชันต้นทาง RSPAN, VLAN RSPAN และเซสชันปลายทาง RSPAN
แนวทางหรือข้อจำกัดของ RSPAN:
- จะต้องกำหนดค่า VLAN เฉพาะสำหรับปลายทาง SPAN ซึ่งจะข้ามสวิตช์กลางผ่านลิงก์ทรังค์ไปยังพอร์ตปลายทาง
- สามารถสร้างประเภทแหล่งที่มาเดียวกันได้ – อย่างน้อยหนึ่งพอร์ตหรืออย่างน้อยหนึ่ง VLAN แต่ไม่สามารถผสมกันได้
- จุดหมายปลายทางสำหรับเซสชันคือ RSPAN VLAN แทนที่จะเป็นพอร์ตเดียวในสวิตช์ ดังนั้นพอร์ตทั้งหมดใน RSPAN VLAN จะได้รับข้อมูลการมิเรอร์
- กำหนดค่า VLAN ใดๆ ให้เป็น VLAN RSPAN ตราบใดที่อุปกรณ์เครือข่ายที่เข้าร่วมทั้งหมดรองรับการกำหนดค่า VLAN RSPAN และใช้ VLAN RSPAN เดียวกันสำหรับเซสชัน RSPAN แต่ละเซสชัน
- VTP สามารถเผยแพร่การกำหนดค่า VLAN ที่มีหมายเลขตั้งแต่ 1 ถึง 1024 เป็น VLAN RSPAN ได้ โดยจะต้องกำหนดค่า VLAN ที่มีหมายเลขสูงกว่า 1024 เป็น VLAN RSPAN ด้วยตนเองบนอุปกรณ์เครือข่ายต้นทาง กลาง และปลายทางทั้งหมด
- การเรียนรู้ที่อยู่ MAC ถูกปิดใช้งานใน VLAN RSPAN
SPAN ระยะไกลแบบหุ้มห่อ (ERSPAN)
Encapsulated remote SPAN (ERSPAN) นำการห่อหุ้มเส้นทางทั่วไป (GRE) มาใช้กับทราฟฟิกที่จับได้ทั้งหมด และช่วยให้สามารถขยายไปยังโดเมนเลเยอร์ 3 ได้
ERSPAN คือกรรมสิทธิ์ของซิสโก้ฟีเจอร์นี้และใช้งานได้เฉพาะกับแพลตฟอร์ม Catalyst 6500, 7600, Nexus และ ASR 1000 เท่านั้นจนถึงปัจจุบัน ASR 1000 รองรับ ERSPAN source (การตรวจสอบ) บนอินเทอร์เฟซ Fast Ethernet, Gigabit Ethernet และพอร์ต-ช่องสัญญาณเท่านั้น
แนวทางหรือข้อจำกัดของ ERSPAN:
- เซสชันต้นทางของ ERSPAN จะไม่คัดลอกทราฟฟิกที่ห่อหุ้มด้วย ERSPAN GRE จากพอร์ตต้นทาง แต่ละเซสชันต้นทางของ ERSPAN สามารถมีพอร์ตหรือ VLAN เป็นแหล่งใดก็ได้ แต่ไม่สามารถมีทั้งสองอย่างได้
- โดยไม่คำนึงถึงขนาด MTU ที่กำหนดค่าไว้ ERSPAN จะสร้างแพ็กเก็ตเลเยอร์ 3 ที่สามารถยาวได้ถึง 9,202 ไบต์ การรับส่งข้อมูลของ ERSPAN อาจถูกละทิ้งโดยอินเทอร์เฟซใดๆ ในเครือข่ายที่บังคับใช้ขนาด MTU น้อยกว่า 9,202 ไบต์
- ERSPAN ไม่รองรับการแบ่งส่วนแพ็กเก็ต บิต "ห้ามแบ่งส่วน" ถูกตั้งค่าไว้ในส่วนหัว IP ของแพ็กเก็ต ERSPAN เซสชันปลายทางของ ERSPAN ไม่สามารถประกอบแพ็กเก็ต ERSPAN ที่แบ่งส่วนใหม่ได้
- ID ERSPAN ช่วยแยกความแตกต่างระหว่างการรับส่งข้อมูล ERSPAN ที่มาถึงที่อยู่ IP ปลายทางเดียวกันจากเซสชันต้นทาง ERSPAN ต่างๆ โดย ID ERSPAN ที่กำหนดค่าไว้จะต้องตรงกันในอุปกรณ์ต้นทางและปลายทาง
- สำหรับพอร์ตต้นทางหรือ VLAN ต้นทาง ERSPAN สามารถตรวจสอบทราฟฟิกขาเข้า ขาออก หรือทั้งขาเข้าและขาออกได้ โดยค่าเริ่มต้น ERSPAN จะตรวจสอบทราฟฟิกทั้งหมด รวมถึงเฟรมมัลติคาสต์และบริดจ์โพรโทคอลดาต้ายูนิต (BPDU)
- อินเทอร์เฟซอุโมงค์ที่รองรับเป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง ERSPAN ได้แก่ GRE, IPinIP, SVTI, IPv6, อุโมงค์ IPv6 over IP, Multipoint GRE (mGRE) และ Secure Virtual Tunnel Interfaces (SVTI)
- ตัวเลือกตัวกรอง VLAN ไม่สามารถใช้งานได้ในเซสชันการตรวจสอบ ERSPAN บนอินเทอร์เฟซ WAN
- ERSPAN บนเราเตอร์ Cisco ASR 1000 Series รองรับเฉพาะอินเทอร์เฟซเลเยอร์ 3 เท่านั้น อินเทอร์เฟซอีเทอร์เน็ตจะไม่ได้รับการสนับสนุนบน ERSPAN เมื่อกำหนดค่าเป็นอินเทอร์เฟซเลเยอร์ 2
- เมื่อกำหนดค่าเซสชันผ่าน ERSPAN configuration CLI จะไม่สามารถเปลี่ยนแปลง ID เซสชันและประเภทเซสชันได้ หากต้องการเปลี่ยนแปลง คุณต้องใช้คำสั่งกำหนดค่าในรูปแบบ no เพื่อลบเซสชันออกก่อน แล้วจึงกำหนดค่าเซสชันใหม่
- Cisco IOS XE รุ่น 3.4S: การตรวจสอบแพ็คเก็ตอุโมงค์ที่ไม่ได้รับการป้องกันด้วย IPsec รองรับบนอินเทอร์เฟซอุโมงค์ IPv6 และ IPv6 บน IP สำหรับเซสชันต้นทางของ ERSPAN เท่านั้น ไม่ใช่สำหรับเซสชันปลายทางของ ERSPAN
- Cisco IOS XE รุ่น 3.5S เพิ่มการรองรับสำหรับอินเทอร์เฟซ WAN ประเภทต่อไปนี้เป็นพอร์ตต้นทางสำหรับเซสชันต้นทาง: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) และ Multilink PPP (เพิ่มคำสำคัญ multilink, pos และ serial ลงในคำสั่งอินเทอร์เฟซต้นทาง)
การใช้ ERSPAN เป็น SPAN ท้องถิ่น:
ในการใช้ ERSPAN เพื่อตรวจสอบการรับส่งข้อมูลผ่านพอร์ตหรือ VLAN หนึ่งพอร์ตขึ้นไปในอุปกรณ์เดียวกัน เราจะต้องสร้างเซสชันต้นทางและปลายทางของ ERSPAN ในอุปกรณ์เดียวกัน การไหลของข้อมูลจะเกิดขึ้นภายในเราเตอร์ ซึ่งคล้ายกับใน SPAN ในพื้นที่
ปัจจัยต่อไปนี้สามารถนำไปใช้ได้เมื่อใช้ ERSPAN เป็น SPAN ในพื้นที่:
- ทั้งสองเซสชันมี ERSPAN ID เดียวกัน
- ทั้งสองเซสชันมีที่อยู่ IP เดียวกัน ที่อยู่ IP นี้คือที่อยู่ IP ของเราเตอร์เอง นั่นคือที่อยู่ IP ลูปแบ็ค หรือที่อยู่ IP ที่กำหนดค่าบนพอร์ตใดๆ
| (config)# monitor session 10 พิมพ์ erspan-source |
| (config-mon-erspan-src)# อินเทอร์เฟซต้นทาง Gig0/0/0 |
| (config-mon-erspan-src)# จุดหมายปลายทาง |
| (config-mon-erspan-src-dst)# ที่อยู่ IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# ที่อยู่ IP ต้นทาง 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
เวลาโพสต์: 28 ส.ค. 2567
