SPAN, RSPAN ve ERSPAN'ı Anlamak: Ağ Trafiği İzleme Teknikleri

SPAN, RSPAN ve ERSPAN, analiz amacıyla trafiği yakalamak ve izlemek için ağ oluşturmada kullanılan tekniklerdir. Her birine kısa bir genel bakış:

SPAN (Anahtarlamalı Bağlantı Noktası Analizörü)

Amaç: Bir anahtardaki belirli bağlantı noktalarından veya VLAN'lardan gelen trafiği izleme amacıyla başka bir bağlantı noktasına yansıtmak için kullanılır.

Kullanım Durumu: Tek bir anahtarda yerel trafik analizi için idealdir. Trafik, bir ağ analiz cihazının onu yakalayabileceği belirlenmiş bir bağlantı noktasına yansıtılır.

RSPAN (Uzaktan SPAN)

Amaç: SPAN yeteneklerini bir ağdaki birden fazla anahtara genişletir.

Kullanım Durumu: Bir trunk bağlantısı üzerinden bir anahtardan diğerine olan trafiğin izlenmesine olanak sağlar. İzleme cihazının farklı bir anahtarda bulunduğu senaryolar için kullanışlıdır.

ERSPAN (Kapsüllenmiş Uzaktan SPAN)

Amaç: Yansıtılmış trafiği kapsüllemek için RSPAN'ı GRE (Genel Yönlendirme Kapsülleme) ile birleştirir.

Kullanım Durumu: Yönlendirilen ağlar arasındaki trafiğin izlenmesine olanak tanır. Bu, trafiğin farklı segmentler üzerinden yakalanması gereken karmaşık ağ mimarilerinde kullanışlıdır.

Anahtar Bağlantı Noktası Analizörü (SPAN), verimli, yüksek performanslı bir trafik izleme sistemidir. Trafiği bir kaynak bağlantı noktasından veya VLAN'dan hedef bağlantı noktasına yönlendirir veya yansıtır. Buna bazen oturum izleme adı verilir. SPAN, diğerlerinin yanı sıra bağlantı sorunlarını gidermek ve ağ kullanımı ve performansını hesaplamak için kullanılır. Cisco ürünlerinde desteklenen üç tür SPAN vardır…

A. SPAN veya yerel SPAN.

B. Uzaktan SPAN (RSPAN).

C. Kapsüllenmiş uzaktan SPAN (ERSPAN).

Bilmek: "SPAN, RSPAN ve ERSPAN Özelliklerine Sahip Mylinking™ Ağ Paket Aracısı"

AÇIKLIK, RSPAN, ERSPAN

SPAN / trafik yansıtma / bağlantı noktası yansıtma birçok amaç için kullanılmaktadır, bunlardan bazılarını aşağıda bulabilirsiniz.

- IDS/IPS'nin karışık modda uygulanması.

- VOIP çağrı kayıt çözümleri.

- Trafiği izlemek ve analiz etmek için güvenlik uyumluluğu nedenleri.

- Bağlantı sorunlarının giderilmesi, trafiğin izlenmesi.

Çalışan SPAN türünden bağımsız olarak, SPAN kaynağı herhangi bir bağlantı noktası türü olabilir; örneğin yönlendirilmiş bağlantı noktası, fiziksel anahtar bağlantı noktası, erişim bağlantı noktası, trunk, VLAN (tüm aktif bağlantı noktaları anahtar tarafından izlenir), bir EtherChannel (bir bağlantı noktası veya bağlantı noktasının tamamı) -kanal arayüzleri) vb. SPAN hedefi için yapılandırılmış bir bağlantı noktasının SPAN kaynak VLAN'ının parçası OLAMAYACAĞINI unutmayın.

SPAN oturumları, giriş trafiğinin (giriş SPAN), çıkış trafiğinin (çıkış SPAN) veya her iki yönde akan trafiğin izlenmesini destekler.

- Giriş SPAN (RX), kaynak bağlantı noktaları ve VLAN'lar tarafından alınan trafiği hedef bağlantı noktasına kopyalar. SPAN, trafiği herhangi bir değişiklikten önce kopyalar (örneğin, herhangi bir VACL veya ACL filtresi, QoS veya giriş veya çıkış denetimi öncesinde).

- Çıkış SPAN'ı (TX), kaynak bağlantı noktalarından ve VLAN'lardan iletilen trafiği hedef bağlantı noktasına kopyalar. VACL veya ACL filtresiyle tüm ilgili filtreleme veya modifikasyon, QoS veya giriş veya çıkış polisliği eylemleri, anahtar trafiği SPAN hedef bağlantı noktasına iletmeden önce gerçekleştirilir.

- Her iki anahtar kelime kullanıldığında SPAN, kaynak portlar ve VLAN'lar tarafından alınan ve iletilen ağ trafiğini hedef porta kopyalar.

- SPAN/RSPAN genellikle CDP, STP BPDU, VTP, DTP ve PAgP çerçevelerini yok sayar. Ancak kapsülleme çoğaltma komutu yapılandırılmışsa bu trafik türleri iletilebilir.

SPAN veya Yerel SPAN

SPAN, anahtardaki bir veya daha fazla arabirimden gelen trafiği aynı anahtar üzerindeki bir veya daha fazla arabirime yansıtır; dolayısıyla SPAN çoğunlukla LOCAL SPAN olarak anılır.

Yerel SPAN'a yönelik yönergeler veya kısıtlamalar:

- Hem Katman 2 anahtarlamalı bağlantı noktaları hem de Katman 3 bağlantı noktaları, kaynak veya hedef bağlantı noktaları olarak yapılandırılabilir.

- Kaynak bir veya daha fazla bağlantı noktası veya VLAN olabilir ancak bunların bir karışımı olamaz.

- Devre bağlantı noktaları, devre dışı kaynak bağlantı noktalarıyla karıştırılmış geçerli kaynak bağlantı noktalarıdır.

- Bir anahtar üzerinde 64 adede kadar SPAN hedef bağlantı noktası yapılandırılabilir.

- Bir hedef bağlantı noktasını yapılandırdığımızda orijinal yapılandırmasının üzerine yazılır. SPAN yapılandırması kaldırılırsa o bağlantı noktasındaki orijinal yapılandırma geri yüklenir.

- Bir hedef bağlantı noktasını yapılandırırken bağlantı noktası, eğer bir EtherChannel paketinin parçasıysa, herhangi bir EtherChannel paketinden kaldırılır. Yönlendirilmiş bir bağlantı noktasıysa SPAN hedef yapılandırması, yönlendirilen bağlantı noktası yapılandırmasını geçersiz kılar.

- Hedef bağlantı noktaları, bağlantı noktası güvenliğini, 802.1x kimlik doğrulamasını veya özel VLAN'ları desteklemez.

- Bir bağlantı noktası yalnızca bir SPAN oturumu için hedef bağlantı noktası görevi görebilir.

- Bir bağlantı noktası, bir yayılma oturumunun kaynak bağlantı noktası veya kaynak VLAN'ın bir parçasıysa, hedef bağlantı noktası olarak yapılandırılamaz.

- Bağlantı noktası kanalı arayüzleri (EtherChannel), kaynak bağlantı noktaları olarak yapılandırılabilir ancak SPAN için hedef bağlantı noktası olarak yapılandırılamaz.

- SPAN kaynakları için trafik yönü varsayılan olarak “her ikisi”dir.

- Hedef bağlantı noktaları hiçbir zaman yayılan ağaç örneğine katılmaz. DTP, CDP vb. desteklenemez. Yerel SPAN, izlenen trafikteki BPDU'ları içerir, dolayısıyla hedef bağlantı noktasında görülen tüm BPDU'lar kaynak bağlantı noktasından kopyalanır. Bu nedenle, ağ döngüsüne neden olabileceği için bu tür bir SPAN'a asla bir anahtar bağlamayın. Yapay zeka araçları iş verimliliğini artıracak vetespit edilemeyen yapay zekaHizmet, AI araçlarının kalitesini artırabilir.

- VLAN, hem giriş hem de çıkış seçenekleri yapılandırılmış şekilde SPAN kaynağı (çoğunlukla VSPAN olarak anılır) olarak yapılandırıldığında, kopya paketleri yalnızca paketler aynı VLAN'da anahtarlanırsa kaynak bağlantı noktasından iletin. Paketin bir kopyası giriş portundaki giriş trafiğinden, paketin diğer kopyası ise çıkış portundaki çıkış trafiğinden gelir.

- VSPAN yalnızca VLAN'daki Katman 2 bağlantı noktalarından çıkan veya giren trafiği izler.

AÇIKLIK, RSPAN, ERSPAN 1

Uzaktan SPAN (RSPAN)

Uzak SPAN (RSPAN), SPAN'a benzer, ancak farklı anahtarlardaki kaynak bağlantı noktalarını, kaynak VLAN'ları ve hedef bağlantı noktalarını destekler; bu, birden fazla anahtar üzerinden dağıtılan kaynak bağlantı noktalarından trafiğin uzaktan izlenmesini sağlar ve hedefin ağ yakalama cihazlarını merkezileştirmesine olanak tanır. Her RSPAN oturumu, SPAN trafiğini tüm katılımcı anahtarlarda kullanıcı tarafından belirlenen özel bir RSPAN VLAN üzerinden taşır. Bu VLAN daha sonra diğer anahtarlara bağlanır ve RSPAN oturum trafiğinin birden fazla anahtar üzerinden taşınmasına ve hedef yakalama istasyonuna iletilmesine olanak tanır. RSPAN, bir RSPAN kaynak oturumu, bir RSPAN VLAN ve bir RSPAN hedef oturumundan oluşur.

RSPAN'a yönelik yönergeler veya kısıtlamalar:

- SPAN hedefi için ara anahtarlar üzerinden ana hat bağlantıları aracılığıyla hedef bağlantı noktasına doğru geçiş yapacak belirli bir VLAN yapılandırılmalıdır.

- Aynı kaynak türünü oluşturabilir (en az bir bağlantı noktası veya en az bir VLAN), ancak karışım olamaz.

- Oturumun hedefi anahtardaki tek bağlantı noktası yerine RSPAN VLAN'dır, dolayısıyla RSPAN VLAN'daki tüm bağlantı noktaları yansıtılmış trafiği alacaktır.

- Tüm katılımcı ağ cihazları RSPAN VLAN yapılandırmasını desteklediği sürece herhangi bir VLAN'ı RSPAN VLAN olarak yapılandırın ve her RSPAN oturumu için aynı RSPAN VLAN'ı kullanın

- VTP, 1'den 1024'e kadar numaralandırılmış VLAN'ların yapılandırmasını RSPAN VLAN'lar olarak yayabilir; tüm kaynak, ara ve hedef ağ cihazlarında 1024'ten yüksek numaralı VLAN'ları RSPAN VLAN'lar olarak manuel olarak yapılandırması gerekir.

- RSPAN VLAN'da MAC adresi öğrenme devre dışı bırakıldı.

AÇIKLIK, RSPAN, ERSPAN 2

Kapsüllenmiş uzaktan SPAN (ERSPAN)

Kapsüllenmiş uzak SPAN (ERSPAN), yakalanan tüm trafik için genel yönlendirme kapsüllemesini (GRE) getirir ve bunun Katman 3 etki alanları boyunca genişletilmesine olanak tanır.

ERSPAN birCisco'nun tescilliözelliğidir ve bugüne kadar yalnızca Catalyst 6500, 7600, Nexus ve ASR 1000 platformlarında mevcuttur. ASR 1000, yalnızca Hızlı Ethernet, Gigabit Ethernet ve port-kanal arayüzlerinde ERSPAN kaynağını (izleme) destekler.

ERSPAN'a yönelik yönergeler veya kısıtlamalar:

- ERSPAN kaynak oturumları, ERSPAN GRE kapsüllenmiş trafiği kaynak bağlantı noktalarından kopyalamaz. Her ERSPAN kaynak oturumunda kaynak olarak bağlantı noktaları veya VLAN'lar bulunabilir ancak her ikisi birden bulunamaz.

- Yapılandırılan herhangi bir MTU boyutundan bağımsız olarak ERSPAN, uzunluğu 9.202 bayta kadar olabilen Katman 3 paketleri oluşturur. ERSPAN trafiği, ağda 9.202 bayttan daha küçük bir MTU boyutunu zorunlu kılan herhangi bir arabirim tarafından bırakılabilir.

- ERSPAN paket parçalanmasını desteklemez. "Parçalama" biti ERSPAN paketlerinin IP başlığında ayarlanır. ERSPAN hedef oturumları, parçalanmış ERSPAN paketlerini yeniden birleştiremez.

- ERSPAN Kimliği, aynı hedef IP adresine gelen ERSPAN trafiğini çeşitli farklı ERSPAN kaynak oturumlarından ayırır; yapılandırılmış ERSPAN kimliğinin kaynak ve hedef cihazlarda eşleşmesi gerekir.

- Bir kaynak bağlantı noktası veya kaynak VLAN için ERSPAN, giriş, çıkış veya hem giriş hem de çıkış trafiğini izleyebilir. Varsayılan olarak ERSPAN, çok noktaya yayın ve Köprü Protokolü Veri Birimi (BPDU) çerçeveleri dahil tüm trafiği izler.

- Bir ERSPAN kaynak oturumu için kaynak bağlantı noktaları olarak desteklenen tünel arayüzü, GRE, IPinIP, SVTI, IPv6, IP tüneli üzerinden IPv6, Çok Noktalı GRE (mGRE) ve Güvenli Sanal Tünel Arayüzleridir (SVTI).

- Filtre VLAN seçeneği, WAN arayüzlerindeki ERSPAN izleme oturumunda işlevsel değildir.

- Cisco ASR 1000 Serisi Yönlendiricilerdeki ERSPAN yalnızca Katman 3 arayüzlerini destekler. Ethernet arayüzleri, Katman 2 arayüzleri olarak yapılandırıldığında ERSPAN'da desteklenmez.

- Bir oturum ERSPAN yapılandırma CLI'sı aracılığıyla yapılandırıldığında oturum kimliği ve oturum türü değiştirilemez. Bunları değiştirmek için, öncelikle oturumu kaldırmak üzere yapılandırma komutunun no formunu kullanmanız ve ardından oturumu yeniden yapılandırmanız gerekir.

- Cisco IOS XE Sürüm 3.4S: - IPsec korumasız olmayan tünel paketlerinin izlenmesi, IP tüneli arayüzleri üzerinden IPv6 ve IPv6'da, ERSPAN hedef oturumları için değil, yalnızca ERSPAN kaynak oturumları için desteklenir.

- Cisco IOS XE Sürüm 3.5S, bir kaynak oturumu için kaynak bağlantı noktaları olarak aşağıdaki WAN arabirimi türleri için destek eklendi: Seri (T1/E1, T3/E3, DS0), SONET üzerinden Paket (POS) (OC3, OC12) ve Çoklu Bağlantı PPP (kaynak arayüz komutuna çoklu bağlantı, konum ve seri anahtar sözcükler eklendi).

AÇIKLIK, RSPAN, ERSPAN 3

ERSPAN'ı Yerel SPAN olarak kullanma:

Aynı cihazdaki bir veya daha fazla port veya VLAN üzerinden trafiği izlemek amacıyla ERSPAN'ı kullanmak için, aynı cihazda bir ERSPAN kaynak ve ERSPAN hedef oturumları oluşturmamız gerekir, yerel SPAN'dakine benzer şekilde yönlendiricinin içinde veri akışı gerçekleşir.

ERSPAN'ı yerel SPAN olarak kullanırken aşağıdaki faktörler geçerlidir:

- Her iki oturum da aynı ERSPAN ID'ye sahiptir.

- Her iki oturum da aynı IP adresine sahiptir. Bu IP adresi yönlendiricinin kendi IP adresidir; yani geri döngü IP adresi veya herhangi bir bağlantı noktasında yapılandırılan IP adresi.

(config)# monitör oturumu 10 tipi erspan-source
(config-mon-erspan-src)# kaynak arayüzü Gig0/0/0
(config-mon-erspan-src)# hedef
(config-mon-ersspan-src-dst)# ip adresi 10.10.10.1
(config-mon-ersspan-src-dst)# kaynak ip adresi 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

AÇIKLIK, RSPAN, ERSPAN 4


Gönderim zamanı: Ağu-28-2024