English

SPAN, RSPAN ve ERSPAN'ı Anlamak: Ağ Trafiği İzleme Teknikleri

SPAN, RSPAN ve ERSPAN, ağlarda trafiği analiz için yakalamak ve izlemek için kullanılan tekniklerdir. İşte her birinin kısa bir özeti:

SPAN (Anahtarlı Port Analizörü)

Amaç: Bir switch üzerindeki belirli portlardan veya VLAN'lardan gelen trafiği izlemek amacıyla başka bir porta yansıtmak için kullanılır.

Kullanım Durumu: Tek bir anahtarda yerel trafik analizi için idealdir. Trafik, bir ağ analizörünün yakalayabileceği belirlenmiş bir porta yansıtılır.

RSPAN (Uzaktan SPAN)

Amaç: SPAN yeteneklerini bir ağdaki birden fazla anahtara genişletir.

Kullanım Durumu: Bir trunk bağlantısı üzerinden bir anahtardan diğerine giden trafiğin izlenmesine olanak tanır. İzleme cihazının farklı bir anahtarda bulunduğu senaryolar için yararlıdır.

ERSPAN (Kapsüllenmiş Uzak SPAN)

Amaç: Yansıtılmış trafiği kapsüllemek için RSPAN'ı GRE (Genel Yönlendirme Kapsüllemesi) ile birleştirir.

Kullanım Durumu: Yönlendirilmiş ağlar genelinde trafiğin izlenmesine olanak tanır. Bu, trafiğin farklı segmentler üzerinden yakalanması gereken karmaşık ağ mimarilerinde faydalıdır.

Switch port Analyzer (SPAN), verimli, yüksek performanslı bir trafik izleme sistemidir. Bir kaynak porttan veya VLAN'dan gelen trafiği bir hedef porta yönlendirir veya yansıtır. Buna bazen oturum izleme denir. SPAN, bağlantı sorunlarını gidermek ve ağ kullanımını ve performansını hesaplamak için kullanılır. Cisco ürünlerinde desteklenen üç tür SPAN vardır…

a. SPAN veya yerel SPAN.

b. Uzaktan SPAN (RSPAN).

c. Kapsüllenmiş uzak SPAN (ERSPAN).

Bilmek için: "SPAN, RSPAN ve ERSPAN Özelliklerine Sahip Mylinking™ Ağ Paket Brokeri"

İSPAN, RSPAN, ERSSPAN

SPAN / trafik yansıtma / port yansıtma birçok amaç için kullanılır, aşağıda bunlardan bazıları yer almaktadır.

- IDS/IPS'yi promiscuous modunda uygulamak.

- VOIP görüşme kayıt çözümleri.

- Trafiğin izlenmesi ve analiz edilmesi için güvenlik uyumluluğu nedenleri.

- Bağlantı sorunlarının giderilmesi, trafiğin izlenmesi.

Çalışan SPAN türünden bağımsız olarak, SPAN kaynağı herhangi bir port türü olabilir, yani yönlendirilmiş port, fiziksel anahtar portu, erişim portu, gövde, VLAN (anahtarın tüm etkin portları izlenir), EtherChannel (bir port veya tüm port-kanal arayüzleri) vb. SPAN hedefi için yapılandırılmış bir portun bir SPAN kaynak VLAN'ının parçası OLMAYACAĞINI unutmayın.

SPAN oturumları, giriş trafiğinin (giriş SPAN), çıkış trafiğinin (çıkış SPAN) veya her iki yönde akan trafiğin izlenmesini destekler.

- Giriş SPAN (RX), kaynak portları ve VLAN'lar tarafından alınan trafiği hedef porta kopyalar. SPAN, herhangi bir değişiklikten önce (örneğin herhangi bir VACL veya ACL filtresi, QoS veya giriş veya çıkış denetiminden önce) trafiği kopyalar.

- Çıkış SPAN (TX), kaynak portlarından ve VLAN'lardan iletilen trafiği hedef porta kopyalar. VACL veya ACL filtresi, QoS veya giriş veya çıkış denetim eylemleri tarafından yapılan tüm ilgili filtreleme veya değişiklik, anahtar trafiği SPAN hedef portuna iletmeden önce gerçekleştirilir.

- Both anahtar sözcüğü kullanıldığında, SPAN kaynak portları ve VLAN'lar tarafından alınan ve iletilen ağ trafiğini hedef porta kopyalar.

- SPAN/RSPAN genellikle CDP, STP BPDU, VTP, DTP ve PAgP çerçevelerini yok sayar. Ancak bu trafik tipleri, kapsülleme çoğaltma komutu yapılandırılmışsa iletilebilir.

SPAN veya Yerel SPAN

SPAN, anahtar üzerindeki bir veya daha fazla arayüzden gelen trafiği aynı anahtar üzerindeki bir veya daha fazla arayüze yansıtır; bu nedenle SPAN çoğunlukla LOCAL SPAN olarak adlandırılır.

Yerel SPAN'a ilişkin yönergeler veya kısıtlamalar:

- Hem 2. Katman anahtarlı portlar hem de 3. Katman portları kaynak veya hedef port olarak yapılandırılabilir.

- Kaynak bir veya daha fazla port veya bir VLAN olabilir, ancak bunların bir karışımı olamaz.

- Trunk portları, trunk olmayan kaynak portlarıyla karışık geçerli kaynak portlarıdır.

- Bir switch üzerinde 64 adede kadar SPAN hedef portu yapılandırılabilir.

- Bir hedef portu yapılandırdığımızda, orijinal yapılandırması üzerine yazılır. SPAN yapılandırması kaldırılırsa, o porttaki orijinal yapılandırma geri yüklenir.

- Bir hedef bağlantı noktası yapılandırıldığında, bağlantı noktası bir EtherChannel paketinin parçasıysa, bu bağlantı noktası herhangi bir EtherChannel paketinden kaldırılır. Yönlendirilmiş bir bağlantı noktasıysa, SPAN hedef yapılandırması yönlendirilmiş bağlantı noktası yapılandırmasını geçersiz kılar.

- Hedef portlar port güvenliğini, 802.1x kimlik doğrulamasını veya özel VLAN'ları desteklemez.

- Bir port yalnızca bir SPAN oturumu için hedef port görevi görebilir.

- Bir port, bir span oturumunun kaynak portu veya kaynak VLAN'ın parçasıysa hedef port olarak yapılandırılamaz.

- Port kanal arayüzleri (EtherChannel) SPAN için kaynak portları olarak yapılandırılabilir ancak hedef port olarak yapılandırılamaz.

- SPAN kaynakları için trafik yönü varsayılan olarak “her ikisi”dir.

- Hedef portlar asla bir yayılan ağaç örneğine katılmaz. DTP, CDP vb. desteklenemez. Yerel SPAN, izlenen trafikte BPDU'ları içerir, bu nedenle hedef portta görülen tüm BPDU'lar kaynak porttan kopyalanır. Bu nedenle, bir ağ döngüsüne neden olabileceğinden asla bir anahtarı bu tür SPAN'a bağlamayın. AI araçları iş verimliliğini artıracaktır vetespit edilemeyen yapay zekahizmet, yapay zeka araçlarının kalitesini artırabilir.

- VLAN, hem giriş hem de çıkış seçenekleri yapılandırılmış SPAN kaynağı (çoğunlukla VSPAN olarak anılır) olarak yapılandırıldığında, yalnızca paketler aynı VLAN'da değiştirilirse kaynak bağlantı noktasından yinelenen paketleri iletin. Paketin bir kopyası giriş bağlantı noktasındaki giriş trafiğinden, paketin diğer kopyası ise çıkış bağlantı noktasındaki çıkış trafiğindendir.

- VSPAN yalnızca VLAN'daki Katman 2 portlarına giren veya çıkan trafiği izler.

İSPAN, RSPAN, ERSPAN 1

Uzaktan SPAN (RSPAN)

Uzaktan SPAN (RSPAN), SPAN'a benzerdir ancak farklı anahtarlardaki kaynak bağlantı noktalarını, kaynak VLAN'larını ve hedef bağlantı noktalarını destekler; bu da birden fazla anahtara dağıtılmış kaynak bağlantı noktalarından gelen trafiği uzaktan izlemeyi sağlar ve hedefin ağ yakalama cihazlarını merkezileştirmesine olanak tanır. Her RSPAN oturumu, SPAN trafiğini tüm katılımcı anahtarlarda kullanıcı tarafından belirtilen özel bir RSPAN VLAN'ı üzerinden taşır. Bu VLAN daha sonra diğer anahtarlara bağlanır ve RSPAN oturum trafiğinin birden fazla anahtar üzerinden taşınmasına ve hedef yakalama istasyonuna iletilmesine olanak tanır. RSPAN, bir RSPAN kaynak oturumu, bir RSPAN VLAN'ı ve bir RSPAN hedef oturumundan oluşur.

RSPAN'a ilişkin yönergeler veya kısıtlamalar:

- Ara anahtarlar üzerinden hedef porta doğru trunk bağlantıları aracılığıyla ilerleyecek olan SPAN hedefi için belirli bir VLAN yapılandırılmalıdır.

- Aynı kaynak türünü yaratabilirsiniz – en az bir port veya en az bir VLAN ancak karışım olamaz.

- Oturumun hedefi anahtardaki tek bir port yerine RSPAN VLAN'dır, bu nedenle RSPAN VLAN'daki tüm portlar yansıtılmış trafiği alacaktır.

- Tüm katılımcı ağ aygıtları RSPAN VLAN yapılandırmasını desteklediği sürece herhangi bir VLAN'ı RSPAN VLAN olarak yapılandırın ve her RSPAN oturumu için aynı RSPAN VLAN'ını kullanın

- VTP, 1'den 1024'e kadar numaralandırılmış VLAN'ların yapılandırmasını RSPAN VLAN'ları olarak yayabilir, 1024'ten daha yüksek numaralandırılmış VLAN'ları tüm kaynak, ara ve hedef ağ aygıtlarında manuel olarak RSPAN VLAN'ları olarak yapılandırmalısınız.

- RSPAN VLAN'da MAC adresi öğrenimi devre dışı bırakıldı.

İSPAN, RSPAN, ERSPAN 2

Kapsüllenmiş uzak SPAN (ERSPAN)

Kapsüllenmiş uzak SPAN (ERSPAN), yakalanan tüm trafik için genel yönlendirme kapsüllemesini (GRE) getirir ve bunun 3. Katman etki alanlarına genişletilmesine olanak tanır.

ERSPAN birCisco'ya özelözelliği ve şu ana kadar yalnızca Catalyst 6500, 7600, Nexus ve ASR 1000 platformlarında mevcuttur. ASR 1000, ERSPAN kaynağını (izleme) yalnızca Hızlı Ethernet, Gigabit Ethernet ve port-kanal arayüzlerinde destekler.

ERSPAN'a ilişkin yönergeler veya kısıtlamalar:

- ERSPAN kaynak oturumları, kaynak bağlantı noktalarından ERSPAN GRE kapsüllenmiş trafiği kopyalamaz. Her ERSPAN kaynak oturumu, kaynak olarak bağlantı noktalarına veya VLAN'lara sahip olabilir, ancak her ikisine birden sahip olamaz.

- Yapılandırılmış herhangi bir MTU boyutundan bağımsız olarak, ERSPAN 9.202 bayta kadar uzun olabilen 3. Katman paketleri oluşturur. ERSPAN trafiği, 9.202 bayttan daha küçük bir MTU boyutunu uygulayan ağdaki herhangi bir arayüz tarafından düşürülebilir.

- ERSPAN paket parçalanmasını desteklemez. "Parçalamayın" biti ERSPAN paketlerinin IP başlığında ayarlanır. ERSPAN hedef oturumları parçalanmış ERSPAN paketlerini yeniden birleştiremez.

- ERSPAN Kimliği, aynı hedef IP adresine gelen ERSPAN trafiğini çeşitli farklı ERSPAN kaynak oturumlarından ayırır; yapılandırılmış ERSPAN Kimliği, kaynak ve hedef cihazlarda eşleşmelidir.

- Bir kaynak bağlantı noktası veya kaynak VLAN için ERSPAN giriş, çıkış veya hem giriş hem de çıkış trafiğini izleyebilir. Varsayılan olarak ERSPAN, çoklu yayın ve Köprü Protokolü Veri Birimi (BPDU) çerçeveleri dahil olmak üzere tüm trafiği izler.

- ERSPAN kaynak oturumu için kaynak portları olarak desteklenen tünel arayüzleri GRE, IPinIP, SVTI, IPv6, IPv6 over IP tüneli, Çok Noktalı GRE (mGRE) ve Güvenli Sanal Tünel Arayüzleridir (SVTI).

- WAN arayüzlerinde ERSPAN izleme oturumunda VLAN filtreleme seçeneği işlevsel değildir.

- Cisco ASR 1000 Serisi Yönlendiricilerdeki ERSPAN yalnızca Katman 3 arayüzlerini destekler. Katman 2 arayüzleri olarak yapılandırıldığında ERSPAN'da Ethernet arayüzleri desteklenmez.

- Bir oturum ERSPAN yapılandırma CLI'si aracılığıyla yapılandırıldığında, oturum kimliği ve oturum türü değiştirilemez. Bunları değiştirmek için, önce oturumu kaldırmak için yapılandırma komutunun no formunu kullanmalı ve ardından oturumu yeniden yapılandırmalısınız.

- Cisco IOS XE Sürüm 3.4S :- IPv6 ve IPv6 over IP tünel arayüzlerinde yalnızca ERSPAN kaynak oturumlarına desteklenir, ERSPAN hedef oturumlarına desteklenmez.

- Cisco IOS XE Sürüm 3.5S, bir kaynak oturumu için kaynak bağlantı noktası olarak aşağıdaki WAN arayüz tipleri için destek eklendi: Seri (T1/E1, T3/E3, DS0), SONET üzerinden Paket (POS) (OC3, OC12) ve Çoklu Bağlantılı PPP (multilink, pos ve serial anahtar sözcükleri kaynak arayüzü komutuna eklendi).

İSPAN, RSPAN, ERSPAN 3

ERSPAN'ı Yerel SPAN Olarak Kullanma:

Aynı cihazdaki bir veya daha fazla port veya VLAN üzerinden trafiği izlemek için ERSPAN kullanmak için, aynı cihazda bir ERSPAN kaynak ve ERSPAN hedef oturumu oluşturmamız gerekir, veri akışı yerel SPAN'dakine benzer şekilde yönlendiricinin içinde gerçekleşir.

ERSPAN'ı yerel SPAN olarak kullanırken aşağıdaki faktörler geçerlidir:

- Her iki oturumun da ERSPAN ID'si aynıdır.

- Her iki oturumun da aynı IP adresi vardır. Bu IP adresi yönlendiricinin kendi IP adresidir; yani, geri döngü IP adresi veya herhangi bir portta yapılandırılmış IP adresidir.

(config)# oturumu izle 10 türü erspan-source
(config-mon-erspan-src)# kaynak arayüzü Gig0/0/0
(config-mon-erspan-src)# hedef
(config-mon-erspan-src-dst)# ip adresi 10.10.10.1
(config-mon-erspan-src-dst)# kaynak ip adresi 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

İSPAN, RSPAN, ERSPAN 4

Gönderi zamanı: 28-Ağu-2024
Aramak için enter'a veya kapatmak için ESC'ye basın