English

SPAN, RSPAN ve ERSPAN'ı Anlamak: Ağ Trafiği İzleme Teknikleri

SPAN, RSPAN ve ERSPAN, ağ iletişiminde trafiği yakalamak ve analiz için izlemek amacıyla kullanılan tekniklerdir. İşte her birine dair kısa bir genel bakış:

SPAN (Anahtarlı Bağlantı Noktası Analiz Cihazı)

Amaç: İzleme amacıyla, bir anahtardaki belirli portlardan veya VLAN'lardan gelen trafiği başka bir porta yansıtmak için kullanılır.

Kullanım Alanı: Tek bir switch üzerinde yerel trafik analizi için idealdir. Trafik, bir ağ analizcisinin yakalayabileceği belirlenmiş bir porta yansıtılır.

RSPAN (Uzak SPAN)

Amaç: Bir ağdaki birden fazla anahtarda SPAN yeteneklerini genişletmek.

Kullanım Senaryosu: Bir anahtardan diğerine trunk bağlantısı üzerinden trafiğin izlenmesine olanak tanır. İzleme cihazının farklı bir anahtarda bulunduğu senaryolar için kullanışlıdır.

ERSPAN (Kapsüllenmiş Uzaktan SPAN)

Amaç: Yansıtılan trafiği kapsüllemek için RSPAN'ı GRE (Genel Yönlendirme Kapsüllemesi) ile birleştirir.

Kullanım Alanı: Yönlendirilmiş ağlar genelinde trafiğin izlenmesine olanak tanır. Bu, trafiğin farklı segmentler üzerinden yakalanması gereken karmaşık ağ mimarilerinde faydalıdır.

Anahtarlama Portu Analizörü (SPAN), verimli ve yüksek performanslı bir trafik izleme sistemidir. Kaynak porttan veya VLAN'dan gelen trafiği hedef porta yönlendirir veya yansıtır. Bu bazen oturum izleme olarak da adlandırılır. SPAN, bağlantı sorunlarını gidermek ve ağ kullanımını ve performansını hesaplamak gibi birçok amaç için kullanılır. Cisco ürünlerinde desteklenen üç tür SPAN vardır…

a. SPAN veya yerel SPAN.

b. Uzaktan SPAN (RSPAN).

c. Kapsüllenmiş uzaktan SPAN (ERSPAN).

Bilmek için: "SPAN, RSPAN ve ERSPAN özelliklerine sahip Mylinking™ Ağ Paket Aracısı"

SPAN, RSPAN, ERSPAN

SPAN / trafik yansıtma / port yansıtma birçok amaç için kullanılır, aşağıda bunlardan bazıları yer almaktadır.

- IDS/IPS'nin karışık modda uygulanması.

- VoIP çağrı kayıt çözümleri.

- Trafik izleme ve analizinin güvenlik uyumluluğuyla ilgili nedenleri.

- Bağlantı sorunlarını giderme, trafiği izleme.

Çalıştırılan SPAN türünden bağımsız olarak, SPAN kaynağı herhangi bir port türü olabilir; örneğin yönlendirilmiş port, fiziksel switch portu, erişim portu, trunk, VLAN (switch'in tüm aktif portları izlenir), EtherChannel (bir port veya tüm port-channel arayüzleri) vb. SPAN hedefi için yapılandırılmış bir portun, SPAN kaynak VLAN'ının bir parçası OLAMAYACAĞINI unutmayın.

SPAN oturumları, gelen trafiğin (giriş SPAN), giden trafiğin (çıkış SPAN) veya her iki yönde akan trafiğin izlenmesini destekler.

- Gelen SPAN (RX), kaynak portlar ve VLAN'lar tarafından alınan trafiği hedef porta kopyalar. SPAN, trafiği herhangi bir değişiklik yapılmadan önce kopyalar (örneğin, herhangi bir VACL veya ACL filtresi, QoS veya giriş/çıkış denetimi öncesinde).

- Çıkış SPAN (TX), kaynak portlardan ve VLAN'lardan iletilen trafiği hedef porta kopyalar. Anahtar, trafiği SPAN hedef portuna iletmeden önce, VACL veya ACL filtresi, QoS veya giriş/çıkış denetimi ile ilgili tüm filtreleme veya değişiklikler yapılır.

- "both" anahtar kelimesi kullanıldığında, SPAN, kaynak portlar ve VLAN'lar tarafından alınan ve iletilen ağ trafiğini hedef porta kopyalar.

- SPAN/RSPAN genellikle CDP, STP BPDU, VTP, DTP ve PAgP çerçevelerini yok sayar. Ancak, kapsülleme çoğaltma komutu yapılandırılmışsa bu trafik türleri iletilebilir.

SPAN veya Yerel SPAN

SPAN, anahtardaki bir veya daha fazla arayüzden gelen trafiği aynı anahtardaki bir veya daha fazla arayüze yansıtır; bu nedenle SPAN çoğunlukla YEREL SPAN olarak adlandırılır.

Yerel SPAN'a ilişkin yönergeler veya kısıtlamalar:

- Hem Katman 2 anahtarlamalı portlar hem de Katman 3 portları kaynak veya hedef port olarak yapılandırılabilir.

- Kaynak, bir veya birden fazla port veya bir VLAN olabilir, ancak bunların bir karışımı olamaz.

- Trunk portları, geçerli kaynak portlarıyla trunk olmayan kaynak portlarının karışımından oluşur.

- Bir switch üzerinde en fazla 64 adet SPAN hedef portu yapılandırılabilir.

- Bir hedef port yapılandırdığımızda, orijinal yapılandırması üzerine yazılır. SPAN yapılandırması kaldırılırsa, o porttaki orijinal yapılandırma geri yüklenir.

- Bir hedef port yapılandırıldığında, eğer bir EtherChannel paketinin parçasıysa, o port paketten kaldırılır. Eğer yönlendirilmiş bir port ise, SPAN hedef yapılandırması yönlendirilmiş port yapılandırmasını geçersiz kılar.

- Hedef portlar port güvenliğini, 802.1x kimlik doğrulamasını veya özel VLAN'ları desteklemez.

- Bir port yalnızca bir SPAN oturumu için hedef port görevi görebilir.

- Bir port, bir span oturumunun kaynak portu veya kaynak VLAN'ın bir parçası ise hedef port olarak yapılandırılamaz.

- Port kanalı arayüzleri (EtherChannel), SPAN için kaynak port olarak yapılandırılabilir ancak hedef port olarak yapılandırılamaz.

- SPAN kaynakları için trafik yönü varsayılan olarak "her ikisi"dir.

- Hedef portlar hiçbir zaman bir yayılma ağacı örneğine katılmaz. DTP, CDP vb. destekleyemez. Yerel SPAN, izlenen trafiğe BPDU'lar dahil eder, bu nedenle hedef portta görülen tüm BPDU'lar kaynak porttan kopyalanır. Bu nedenle, ağ döngüsüne neden olabileceği için bir anahtarı asla bu tür bir SPAN'a bağlamayın. Yapay zeka araçları iş verimliliğini artıracaktır vetespit edilemeyen yapay zekaBu hizmet, yapay zeka araçlarının kalitesini artırabilir.

- VLAN, hem giriş hem de çıkış seçenekleri yapılandırılmış olarak SPAN kaynağı (çoğunlukla VSPAN olarak adlandırılır) olarak yapılandırıldığında, kaynak porttan gelen yinelenen paketler yalnızca paketler aynı VLAN'da anahtarlanırsa iletilir. Paketin bir kopyası giriş portundaki giriş trafiğinden, diğer kopyası ise çıkış portundaki çıkış trafiğinden gelir.

- VSPAN yalnızca VLAN'daki Katman 2 portlarından çıkan veya giren trafiği izler.

SPAN, RSPAN, ERSPAN 1

Uzaktan SPAN (RSPAN)

Uzaktan SPAN (RSPAN), SPAN'e benzer ancak farklı anahtarlardaki kaynak portlarını, kaynak VLAN'larını ve hedef portlarını destekler; bu da birden fazla anahtar üzerinde dağıtılmış kaynak portlarından gelen trafiğin uzaktan izlenmesini sağlar ve hedefteki ağ yakalama cihazlarının merkezileştirilmesine olanak tanır. Her RSPAN oturumu, tüm katılımcı anahtarlarda kullanıcı tarafından belirtilen özel bir RSPAN VLAN'ı üzerinden SPAN trafiğini taşır. Bu VLAN daha sonra diğer anahtarlara trunklanır ve RSPAN oturum trafiğinin birden fazla anahtar üzerinden taşınmasına ve hedef yakalama istasyonuna iletilmesine olanak tanır. RSPAN, bir RSPAN kaynak oturumu, bir RSPAN VLAN'ı ve bir RSPAN hedef oturumundan oluşur.

RSPAN'a ilişkin yönergeler veya kısıtlamalar:

- SPAN hedefi için, ara anahtarlar üzerinden trunk bağlantıları aracılığıyla hedef porta doğru ilerleyecek belirli bir VLAN yapılandırılmalıdır.

- Aynı kaynak türünü oluşturabilirsiniz – en az bir port veya en az bir VLAN olabilir, ancak bunların karışımı olamaz.

- Oturumun hedefi, anahtardaki tek bir port yerine RSPAN VLAN'ıdır; bu nedenle RSPAN VLAN'ındaki tüm portlar yansıtılan trafiği alacaktır.

- Katılan tüm ağ aygıtları RSPAN VLAN'larının yapılandırılmasını desteklediği sürece, herhangi bir VLAN'ı RSPAN VLAN'ı olarak yapılandırın ve her RSPAN oturumu için aynı RSPAN VLAN'ını kullanın.

- VTP, 1 ile 1024 arasındaki VLAN'ların yapılandırmasını RSPAN VLAN'ları olarak yayabilir; 1024'ten yüksek numaralı VLAN'lar ise kaynak, ara ve hedef ağ aygıtlarının tamamında manuel olarak RSPAN VLAN'ları olarak yapılandırılmalıdır.

- RSPAN VLAN'ında MAC adresi öğrenimi devre dışı bırakılmıştır.

SPAN, RSPAN, ERSPAN 2

Kapsüllenmiş uzaktan SPAN (ERSPAN)

Kapsüllenmiş uzaktan SPAN (ERSPAN), yakalanan tüm trafik için genel yönlendirme kapsüllemesi (GRE) sağlar ve bunun Katman 3 alanları arasında genişletilmesine olanak tanır.

ERSPAN birCisco'ya ait tescilli ürünBu özellik şu ana kadar yalnızca Catalyst 6500, 7600, Nexus ve ASR 1000 platformlarında mevcuttur. ASR 1000, ERSPAN kaynağını (izleme) yalnızca Hızlı Ethernet, Gigabit Ethernet ve port-channel arayüzlerinde destekler.

ERSPAN'a ilişkin yönergeler veya kısıtlamalar:

- ERSPAN kaynak oturumları, kaynak portlardan ERSPAN GRE ile kapsüllenmiş trafiği kopyalamaz. Her ERSPAN kaynak oturumu, kaynak olarak portları veya VLAN'ları kullanabilir, ancak ikisini birden kullanamaz.

- Yapılandırılan MTU boyutundan bağımsız olarak, ERSPAN 9.202 bayta kadar uzun olabilen Katman 3 paketleri oluşturur. ERSPAN trafiği, ağda 9.202 bayttan daha küçük bir MTU boyutu uygulayan herhangi bir arayüz tarafından düşürülebilir.

- ERSPAN paket parçalamayı desteklemez. ERSPAN paketlerinin IP başlığında "parçalama yapma" biti ayarlanmıştır. ERSPAN hedef oturumları parçalanmış ERSPAN paketlerini yeniden birleştiremez.

- ERSPAN kimliği, aynı hedef IP adresine gelen çeşitli farklı ERSPAN kaynak oturumlarından gelen ERSPAN trafiğini birbirinden ayırır; yapılandırılmış ERSPAN kimliğinin kaynak ve hedef cihazlarda eşleşmesi gerekir.

- Bir kaynak portu veya kaynak VLAN için ERSPAN, gelen, giden veya hem gelen hem de giden trafiği izleyebilir. Varsayılan olarak, ERSPAN çoklu yayın ve Köprü Protokolü Veri Birimi (BPDU) çerçeveleri de dahil olmak üzere tüm trafiği izler.

- ERSPAN kaynak oturumu için kaynak portları olarak desteklenen tünel arayüzleri şunlardır: GRE, IPinIP, SVTI, IPv6, IPv6 üzerinden IP tüneli, Çok Noktalı GRE (mGRE) ve Güvenli Sanal Tünel Arayüzleri (SVTI).

- ERSPAN izleme oturumunda WAN arayüzlerinde VLAN filtreleme seçeneği çalışmıyor.

- Cisco ASR 1000 Serisi Yönlendiricilerde ERSPAN yalnızca Katman 3 arayüzlerini destekler. Ethernet arayüzleri, Katman 2 arayüzleri olarak yapılandırıldığında ERSPAN'da desteklenmez.

- Bir oturum ERSPAN yapılandırma CLI'si aracılığıyla yapılandırıldığında, oturum kimliği ve oturum türü değiştirilemez. Bunları değiştirmek için öncelikle yapılandırma komutunun "no" biçimini kullanarak oturumu kaldırmanız ve ardından oturumu yeniden yapılandırmanız gerekir.

- Cisco IOS XE Sürüm 3.4S: IPsec koruması olmayan tünel paketlerinin izlenmesi, yalnızca ERSPAN kaynak oturumları için IPv6 ve IPv6 üzerinden IP tünel arayüzlerinde desteklenir, ERSPAN hedef oturumları için desteklenmez.

- Cisco IOS XE 3.5S sürümünde, kaynak oturum için kaynak port olarak aşağıdaki WAN arayüz türleri için destek eklendi: Seri (T1/E1, T3/E3, DS0), SONET Üzerinden Paket (POS) (OC3, OC12) ve Çoklu Bağlantı PPP (kaynak arayüz komutuna multilink, pos ve serial anahtar kelimeleri eklendi).

SPAN, RSPAN, ERSPAN 3

ERSPAN'ı Yerel SPAN Olarak Kullanma:

Aynı cihazdaki bir veya daha fazla port veya VLAN üzerinden trafiği izlemek için ERSPAN kullanmak üzere, aynı cihazda bir ERSPAN kaynak ve ERSPAN hedef oturumu oluşturmamız gerekir; veri akışı, yerel SPAN'dekine benzer şekilde, yönlendirici içinde gerçekleşir.

ERSPAN'ı yerel SPAN olarak kullanırken aşağıdaki faktörler geçerlidir:

- Her iki oturumun da ERSPAN kimliği aynıdır.

- Her iki oturum da aynı IP adresine sahiptir. Bu IP adresi, yönlendiricinin kendi IP adresidir; yani, loopback IP adresi veya herhangi bir porta yapılandırılmış IP adresidir.

(config)# monitor session 10 type erspan-source
(config-mon-erspan-src)# source interface Gig0/0/0
(config-mon-erspan-src)# hedef
(config-mon-erspan-src-dst)# ip address 10.10.10.1
(config-mon-erspan-src-dst)# kaynak ip adresi 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Yayın tarihi: 28 Ağustos 2024
Arama yapmak için Enter tuşuna, kapatmak için ESC tuşuna basın.