SPAN、RSPAN、および ERSPAN は、分析のためにトラフィックをキャプチャおよび監視するためにネットワーキングで使用される技術です。それぞれの概要を次に示します。
SPAN (スイッチド ポート アナライザ)
目的: スイッチ上の特定のポートまたは VLAN からのトラフィックを別のポートにミラーリングして監視するために使用されます。
使用例: 単一スイッチでのローカル トラフィック分析に最適です。トラフィックは、ネットワーク アナライザーがトラフィックをキャプチャできる指定ポートにミラーリングされます。
RSPAN (リモート SPAN)
目的: ネットワーク内の複数のスイッチにわたって SPAN 機能を拡張します。
使用例: トランク リンクを介して、あるスイッチから別のスイッチへのトラフィックを監視できます。監視デバイスが別のスイッチにあるシナリオに役立ちます。
ERSPAN (カプセル化されたリモート SPAN)
目的: RSPAN と GRE (Generic Routing Encapsulation) を組み合わせて、ミラーリングされたトラフィックをカプセル化します。
使用例: ルーティングされたネットワーク全体のトラフィックの監視が可能になります。これは、トラフィックをさまざまなセグメントにわたってキャプチャする必要がある複雑なネットワーク アーキテクチャで役立ちます。
スイッチ ポート アナライザ (SPAN) は、効率的で高性能なトラフィック モニタリング システムです。送信元ポートまたは VLAN から宛先ポートにトラフィックを転送またはミラーリングします。これはセッション監視と呼ばれることもあります。 SPAN は、接続の問題のトラブルシューティング、ネットワークの使用率とパフォーマンスの計算などに使用されます。シスコ製品では 3 種類の SPAN がサポートされています…
a. SPAN またはローカル SPAN。
b.リモート SPAN (RSPAN)。
c.カプセル化されたリモート SPAN(ERSPAN)。
知るには: "SPAN、RSPAN、ERSPAN 機能を備えた Mylinking™ ネットワーク パケット ブローカー"
SPAN / トラフィック ミラーリング / ポート ミラーリングはさまざまな目的で使用されます。以下にその一部を示します。
- 無差別モードでの IDS/IPS の実装。
- VOIP通話録音ソリューション。
- トラフィックを監視および分析するセキュリティ コンプライアンスの理由。
- 接続の問題のトラブルシューティング、トラフィックの監視。
実行中の SPAN タイプに関係なく、SPAN 送信元は、ルーテッド ポート、物理スイッチ ポート、アクセス ポート、トランク、VLAN(すべてのアクティブ ポートがスイッチで監視されている)、EtherChannel(ポートまたはポート全体)など、任意のタイプのポートにすることができます。 SPAN 宛先として設定されたポートは、SPAN 送信元 VLAN の一部にはならないことに注意してください。
SPAN セッションは、入力トラフィック(入力 SPAN)、出力トラフィック(出力 SPAN)、または両方向に流れるトラフィックのモニタリングをサポートします。
- 入力 SPAN (RX) は、送信元ポートおよび VLAN によって受信されたトラフィックを宛先ポートにコピーします。 SPAN は、変更の前(たとえば、VACL または ACL フィルタ、QoS、入力または出力ポリシングの前)にトラフィックをコピーします。
- 出力 SPAN (TX) は、送信元ポートおよび VLAN から送信されたトラフィックを宛先ポートにコピーします。スイッチがトラフィックを SPAN 宛先ポートに転送する前に、VACL または ACL フィルタ、QoS、または入力または出力ポリシング アクションによる関連するフィルタリングまたは変更がすべて実行されます。
- Both キーワードを使用すると、SPAN は送信元ポートおよび VLAN によって送受信されたネットワーク トラフィックを宛先ポートにコピーします。
- SPAN/RSPAN は通常、CDP、STP BPDU、VTP、DTP、および PAgP フレームを無視します。ただし、encapsulation replicate コマンドが設定されている場合、これらのトラフィック タイプは転送できます。
SPAN またはローカル SPAN
SPAN は、スイッチ上の 1 つ以上のインターフェイスからのトラフィックを同じスイッチ上の 1 つ以上のインターフェイスにミラーリングします。したがって、SPAN は主に LOCAL SPAN と呼ばれます。
ローカル SPAN に対するガイドラインまたは制限事項:
- レイヤ 2 スイッチド ポートとレイヤ 3 ポートの両方を送信元ポートまたは宛先ポートとして設定できます。
- 送信元は 1 つ以上のポートまたは VLAN のいずれかになりますが、これらを組み合わせることはできません。
- トランク ポートは、トランク以外の送信元ポートと混合された有効な送信元ポートです。
- 最大 64 個の SPAN 宛先ポートをスイッチ上に設定できます。
- 宛先ポートを設定すると、元の設定は上書きされます。 SPAN 設定が削除されると、そのポートの元の設定が復元されます。
- 宛先ポートを設定すると、そのポートが EtherChannel バンドルの一部であった場合、そのバンドルから削除されます。ルーテッド ポートの場合、SPAN 宛先設定はルーテッド ポート設定をオーバーライドします。
- 宛先ポートは、ポート セキュリティ、802.1x 認証、またはプライベート VLAN をサポートしません。
- ポートは 1 つの SPAN セッションのみの宛先ポートとして機能できます。
- ポートがスパンセッションの送信元ポートまたは送信元 VLAN の一部である場合、ポートを宛先ポートとして設定することはできません。
- ポート チャネル インターフェイス(EtherChannel)は、SPAN の送信元ポートとして設定できますが、宛先ポートとしては設定できません。
- SPAN 送信元のトラフィック方向は、デフォルトでは「両方」です。
- 宛先ポートはスパニングツリー インスタンスに参加しません。 DTP、CDP などはサポートできません。ローカル SPAN には監視対象トラフィックに BPDU が含まれるため、宛先ポートで検出される BPDU は送信元ポートからコピーされます。したがって、ネットワーク ループが発生する可能性があるため、スイッチをこのタイプの SPAN に接続しないでください。 AIツールにより業務効率が向上し、検出不可能なAIAI ツールの品質を向上させることができるサービスです。
- VLAN が SPAN 送信元(通常は VSPAN と呼ばれる)として設定され、入力オプションと出力オプションの両方が設定されている場合、パケットが同じ VLAN 内でスイッチングされる場合にのみ、重複したパケットを送信元ポートから転送します。パケットの 1 つのコピーは入力ポートの入力トラフィックからのものであり、もう 1 つのパケットのコピーは出力ポートの出力トラフィックからのものです。
- VSPAN は、VLAN 内のレイヤ 2 ポートに出入りするトラフィックのみを監視します。
リモート SPAN (RSPAN)
リモート SPAN(RSPAN)は SPAN に似ていますが、異なるスイッチ上の送信元ポート、送信元 VLAN、および宛先ポートをサポートし、複数のスイッチに分散された送信元ポートからのリモート モニタリング トラフィックを提供し、宛先がネットワーク キャプチャ デバイスを一元化できるようにします。各 RSPAN セッションは、参加しているすべてのスイッチ内のユーザ指定の専用 RSPAN VLAN を介して SPAN トラフィックを伝送します。この VLAN は他のスイッチにトランクされ、RSPAN セッション トラフィックが複数のスイッチ間で転送され、宛先キャプチャ ステーションに配信されるようになります。 RSPAN は、RSPAN 送信元セッション、RSPAN VLAN、および RSPAN 宛先セッションで構成されます。
RSPAN のガイドラインまたは制限事項:
- 宛先ポートに向かうトランク リンクを介して中間スイッチを横断する SPAN 宛先に対して、特定の VLAN を設定する必要があります。
- 同じソース タイプ(少なくとも 1 つのポートまたは少なくとも 1 つの VLAN)を作成できますが、混合することはできません。
- セッションの宛先はスイッチの単一ポートではなく RSPAN VLAN であるため、RSPAN VLAN のすべてのポートがミラーリングされたトラフィックを受信します。
- 参加しているすべてのネットワーク デバイスが RSPAN VLAN の設定をサポートし、各 RSPAN セッションで同じ RSPAN VLAN を使用する限り、任意の VLAN を RSPAN VLAN として設定します。
- VTP は、1 ~ 1024 の番号が付いた VLAN の設定を RSPAN VLAN として伝播できますが、すべての送信元、中間、および宛先のネットワーク デバイス上で、1024 より大きい番号が付いた VLAN を RSPAN VLAN として手動で設定する必要があります。
- RSPAN VLAN では MAC アドレス学習が無効になっています。
カプセル化されたリモート SPAN(ERSPAN)
カプセル化されたリモート SPAN(ERSPAN)は、キャプチャされたすべてのトラフィックにジェネリック ルーティング カプセル化(GRE)をもたらし、レイヤ 3 ドメイン全体に拡張できるようにします。
エルスパンは、シスコ独自のこの機能は、現時点では Catalyst 6500、7600、Nexus、および ASR 1000 プラットフォームでのみ利用可能です。 ASR 1000 は、ファスト イーサネット、ギガビット イーサネット、およびポート チャネル インターフェイスでのみ ERSPAN 送信元(モニタリング)をサポートします。
ERSPAN のガイドラインまたは制限:
- ERSPAN 送信元セッションは、ERSPAN GRE でカプセル化されたトラフィックを送信元ポートからコピーしません。各 ERSPAN 送信元セッションでは、送信元としてポートまたは VLAN のいずれかを使用できますが、両方を使用することはできません。
- 設定されている MTU サイズに関係なく、ERSPAN は 9,202 バイトもの長さのレイヤ 3 パケットを作成します。 ERSPAN トラフィックは、9,202 バイト未満の MTU サイズを強制するネットワーク内のインターフェイスによってドロップされる可能性があります。
- ERSPAN はパケットのフラグメンテーションをサポートしません。 「フラグメント化禁止」ビットは、ERSPAN パケットの IP ヘッダーに設定されます。 ERSPAN 宛先セッションは、断片化された ERSPAN パケットを再構築できません。
- ERSPAN ID は、同じ宛先 IP アドレスに到着する ERSPAN トラフィックを、さまざまな異なる ERSPAN 送信元セッションから区別します。設定された ERSPAN ID は、送信元デバイスと宛先デバイスで一致する必要があります。
- 送信元ポートまたは送信元 VLAN の場合、ERSPAN は入力トラフィック、出力トラフィック、または入力トラフィックと出力トラフィックの両方を監視できます。デフォルトでは、ERSPAN はマルチキャスト フレームやブリッジ プロトコル データ ユニット(BPDU)フレームを含むすべてのトラフィックを監視します。
- ERSPAN 送信元セッションの送信元ポートとしてサポートされるトンネル インターフェイスは、GRE、IPinIP、SVTI、IPv6、IPv6 over IP トンネル、マルチポイント GRE (mGRE)、およびセキュア仮想トンネル インターフェイス (SVTI) です。
- フィルタ VLAN オプションは、WAN インターフェイス上の ERSPAN モニタリング セッションでは機能しません。
- Cisco ASR 1000 シリーズ ルータの ERSPAN は、レイヤ 3 インターフェイスのみをサポートします。イーサネット インターフェイスは、レイヤ 2 インターフェイスとして設定されている場合、ERSPAN ではサポートされません。
- セッションが ERSPAN 設定 CLI を介して設定されている場合、セッション ID とセッション タイプは変更できません。それらを変更するには、まずコンフィギュレーション コマンドの no 形式を使用してセッションを削除し、次にセッションを再設定する必要があります。
- Cisco IOS XE リリース 3.4S :- IPsec で保護されていないトンネル パケットのモニタリングは、IPv6 および IPv6 over IP トンネル インターフェイスで、ERSPAN 送信元セッションに対してのみサポートされ、ERSPAN 宛先セッションに対してはサポートされません。
- Cisco IOS XE リリース 3.5S では、送信元セッションの送信元ポートとして次のタイプの WAN インターフェイスのサポートが追加されました: シリアル (T1/E1、T3/E3、DS0)、パケット オーバー SONET (POS) (OC3、OC12)マルチリンク PPP (multilink、pos、およびserial キーワードがソース インターフェイス コマンドに追加されました)。
ERSPAN をローカル SPAN として使用する:
ERSPAN を使用して同じデバイス内の 1 つ以上のポートまたは VLAN を通過するトラフィックを監視するには、同じデバイス内に ERSPAN 送信元セッションと ERSPAN 宛先セッションを作成する必要があります。データ フローはルータ内で発生します。これはローカル SPAN の場合と同様です。
ERSPAN をローカル SPAN として使用する場合、次の要素が適用されます。
- 両方のセッションが同じ ERSPAN ID を持ちます。
- 両方のセッションが同じ IP アドレスを持ちます。この IP アドレスはルーター自体の IP アドレスです。つまり、ループバック IP アドレス、または任意のポートに設定された IP アドレスです。
投稿日時: 2024 年 8 月 28 日