SPAN、RSPAN、およびERSPANは、分析のためにトラフィックをキャプチャおよび監視するためのネットワーキングで使用される手法です。それぞれの簡単な概要は次のとおりです。
スパン(切り替え済みポートアナライザー)
目的:監視のために別のポートへのスイッチで特定のポートまたはVLANからトラフィックをミラーリングするために使用されます。
ユースケース:単一のスイッチでのローカルトラフィック分析に最適です。トラフィックは、ネットワークアナライザーがキャプチャできる指定ポートにミラーリングされます。
rspan(リモートスパン)
目的:ネットワーク内の複数のスイッチにスパン機能を拡張します。
ユースケース:トランクリンクを介して、あるスイッチから別のスイッチへのトラフィックの監視を可能にします。監視デバイスが別のスイッチに配置されているシナリオに役立ちます。
erspan(カプセル化されたリモートスパン)
目的:RSPANとGRE(一般的なルーティングカプセル化)を組み合わせて、ミラー化されたトラフィックをカプセル化します。
ユースケース:ルーティングされたネットワーク全体のトラフィックの監視を可能にします。これは、さまざまなセグメントでトラフィックをキャプチャする必要がある複雑なネットワークアーキテクチャで役立ちます。
スイッチポートアナライザー(SPAN)は、効率的で高性能トラフィック監視システムです。ソースポートまたはVLANから宛先ポートへのトラフィックを指示または反映します。これは、セッション監視と呼ばれることもあります。 SPANは、接続性の問題のトラブルシューティングとネットワークの利用とパフォーマンスの計算に使用されます。シスコ製品には3種類のスパンがサポートされています…
a。スパンまたはローカルスパン。
b。リモートスパン(RSPAN)。
c。カプセル化されたリモートスパン(erspan)。
知るために:」SPAN、RSPAN、ERSPAN機能を備えたMyLinking™ネットワークパケットブローカー"
スパン /トラフィックミラーリング /ポートミラーリングは、多くの目的で使用されます。以下には一部が含まれています。
- 無差別モードでID/IPSを実装します。
-VoIPコール録音ソリューション。
- トラフィックを監視および分析するセキュリティコンプライアンスの理由。
- 接続の問題のトラブルシューティング、トラフィックの監視。
スパンタイプの実行に関係なく、スパンソースは、あらゆるタイプのポート、つまりルーティングポート、物理スイッチポート、アクセスポート、トランク、VLAN(すべてのアクティブポートがスイッチを監視している)、エーテルチャネル(ポートまたはポートチャネルインターフェイス全体)などです。
スパンセッションは、イングレストラフィック(イングレススパン)、出力トラフィック(出口スパン)、または両方向に流れるトラフィックの監視をサポートしています。
-Ingressスパン(RX)は、ソースポートとVLANが宛先ポートに受け取ったトラフィックをコピーします。 SPANは、変更の前にトラフィックをコピーします(たとえば、VACLまたはACLフィルター、QOSまたはイングレスまたは出力ポリシングの前)。
-Egress Span(TX)は、ソースポートとVLANから宛先ポートに送信されるトラフィックをコピーします。 vaclまたはaclフィルター、qosまたは侵入または出力ポリシングアクションによるすべての関連するフィルタリングまたは変更は、スイッチが宛先ポートにトラフィックを転送する前に行われます。
- 両方のキーワードを使用すると、SPANは、ソースポートとVLANによって受信および送信されたネットワークトラフィックを宛先ポートにコピーします。
-SPAN/RSPANは通常、CDP、STP BPDU、VTP、DTP、およびPAGPフレームを無視します。ただし、これらのトラフィックタイプは、カプセル化Replicateコマンドが構成されている場合、転送できます。
スパンまたはローカルスパン
スパンは、スイッチ上の1つ以上のインターフェイスから同じスイッチの1つ以上のインターフェイスへのトラフィックをミラーリングします。したがって、スパンは主にローカルスパンと呼ばれます。
ローカルスパンへのガイドラインまたは制限:
- レイヤー2の切り替えポートとレイヤー3ポートの両方をソースポートまたは宛先ポートとして構成できます。
- ソースは、1つ以上のポートまたはVLANのいずれかである可能性がありますが、これらの組み合わせではありません。
-Trunkポートは、非トランクソースポートと混合された有効なソースポートです。
- 最大64のスパン宛先ポートをスイッチで構成できます。
- 宛先ポートを構成すると、元の構成が上書きされます。スパン構成が削除された場合、そのポートの元の構成が復元されます。
- 宛先ポートを構成すると、ポートが任意のエーテルチャネルバンドルから削除されます。ルーティングされたポートの場合、SPAN宛先構成はルーティングされたポート構成をオーバーライドします。
- 宛先ポートは、ポートセキュリティ、802.1x認証、またはプライベートVLANをサポートしていません。
- ポートは、1つのスパンセッションのみの宛先ポートとして機能します。
- スパンセッションのソースポートまたはソースVLANの一部である場合、ポートを宛先ポートとして構成することはできません。
- ポートチャネルインターフェイス(EtherChannel)は、SPANの宛先ポートではなく、ソースポートとして構成できます。
- トラフィック方向は、スパンソースのデフォルトでは「両方」です。
- 宛先ポートは、スパニングツリーインスタンスに参加することはありません。 DTP、CDPなどをサポートできません。ローカルスパンには、監視されたトラフィックにBPDUが含まれているため、宛先ポートに表示されるBPDUはソースポートからコピーされます。したがって、ネットワークループを引き起こす可能性があるため、このタイプのスパンにスイッチを接続することはありません。 AIツールは、作業効率を向上させます検出不可能なAIサービスは、AIツールの品質を向上させることができます。
-VLANがSPANソース(主にVSPANと呼ばれる)として構成されている場合、Ingressオプションと出力オプションの両方が構成されている場合、パケットが同じVLANに切り替えられた場合にのみ、ソースポートからフォワードの複製パケットを構成します。パケットの1つのコピーは、イングレスポートのイングレストラフィックからのもので、パケットのもう1つのコピーは、出口ポートの出口トラフィックからです。
-VSPANは、VLANのレイヤー2ポートを離れるか入るトラフィックのみを監視します。
リモートスパン(rspan)
リモートスパン(RSPAN)はスパンに似ていますが、さまざまなスイッチのソースポート、ソースVLAN、および宛先ポートをサポートします。これにより、複数のスイッチに分散されたソースポートからのリモート監視トラフィックが提供され、宛先の集中ネットワークキャプチャデバイスが可能になります。各RSPANセッションでは、すべての参加スイッチでユーザー指定の専用RSPAN VLAN上のスパントラフィックを搭載しています。このVLANは他のスイッチに幹を締めて、RSPANセッションのトラフィックを複数のスイッチを越えて輸送し、宛先キャプチャステーションに届けることができます。 RSPANは、RSPANソースセッション、RSPAN VLAN、およびRSPAN宛先セッションで構成されています。
RSPANへのガイドラインまたは制限:
- 宛先ポートに向かうトランクリンクを介して中間スイッチを横切って横断するスパン宛先用に特定のVLANを構成する必要があります。
- 同じソースタイプを作成できます - 少なくとも1つのポートまたは少なくとも1つのVLANですが、ミックスにすることはできません。
- セッションの宛先は、スイッチの単一ポートではなくRSPAN VLANです。そのため、RSPAN VLANのすべてのポートには、ミラー化されたトラフィックが届きます。
- すべての参加ネットワークデバイスがRSPAN VLANの構成をサポートしている限り、すべてのVLANをRSPAN VLANとして構成し、各RSPANセッションに同じRSPAN VLANを使用します
-VTPは、RSPAN VLANとして1〜1024の番号が付けられたVLANの構成を伝播することができ、すべてのソース、中級、および宛先ネットワークデバイスでRSPAN VLANとして1024を超える数字を手動で構成する必要があります。
-Macアドレス学習は、RSPAN VLANで無効になっています。
カプセル化されたリモートスパン(erspan)
カプセル化されたリモートスパン(erspan)は、すべてのキャプチャされたトラフィックに汎用ルーティングカプセル化(GRE)をもたらし、レイヤー3ドメイン全体に拡張できるようにします。
erspanはaですシスコ専有フィーチャーであり、これまでにCatalyst 6500、7600、Nexus、およびASR 1000プラットフォームでのみ利用できます。 ASR 1000は、高速イーサネット、ギガビットイーサネット、およびポートチャネルインターフェイスでのみERSPANソース(監視)をサポートしています。
ERSPANへのガイドラインまたは制限:
-ERSPANソースセッションは、ソースポートからのARSPAN GREカプセル化されたトラフィックをコピーしません。各ERSPANソースセッションでは、ポートまたはVLANをソースとして持つことができますが、両方ではありません。
- 構成されたMTUサイズに関係なく、ERSPANは9,202バイトであるレイヤー3パケットを作成します。 ERSPANトラフィックは、9,202バイト未満のMTUサイズを実施するネットワーク内の任意のインターフェイスによって削除される場合があります。
-ERSPANはパケットの断片化をサポートしていません。 「Do Not Fragment」ビットは、ERSPANパケットのIPヘッダーに設定されています。 erspanの宛先セッションは、断片化されたerspanパケットを再構築することはできません。
-ERSPAN IDは、さまざまな異なるERSPANソースセッションから同じ宛先IPアドレスに到着するERSPANトラフィックを区別します。構成されたERSPAN IDは、ソースデバイスと宛先デバイスで一致する必要があります。
- ソースポートまたはソースVLANの場合、ERSPANは、侵入、出口、または侵入および出口の両方のトラフィックを監視できます。デフォルトでは、ERSPANは、マルチキャストおよびブリッジプロトコルデータユニット(BPDU)フレームを含むすべてのトラフィックを監視します。
-ERSPANソースセッションのソースポートとしてサポートされるトンネルインターフェイスは、GRE、IPINIP、SVTI、IPv6、IPv6オーバーIPトンネル、マルチポイントGRE(MGRE)、および安全な仮想トンネルインターフェイス(SVTI)です。
-WANインターフェイスのERSPANモニタリングセッションでは、フィルターVLANオプションは機能しません。
-Cisco ASR 1000シリーズのルーターのerspanは、レイヤー3インターフェイスのみをサポートしています。レイヤー2インターフェイスとして構成されている場合、イーサネットインターフェイスはerspanではサポートされていません。
-ARSPAN構成CLIを介してセッションが構成されている場合、セッションIDとセッションタイプを変更できません。それらを変更するには、最初にセッションを削除してからセッションを再構成するために、構成コマンドの形式を使用する必要があります。
-Cisco IOS XEリリース3.4S:-IPSECで保護されていないトンネルパケットの監視は、ERSPANの目的地セッションではなく、ERSPANソースセッションに対してのみIPトンネルインターフェイスを介してIPv6およびIPv6でサポートされています。
-Cisco IOS XEリリース3.5s、ソースセッションのソースポートとして次のタイプのWANインターフェイスのサポートが追加されました:シリアル(T1/E1、T3/E3、DS0)、SONET(POS)(OC3、OC12)およびマルチリンクPPP上のパケット(マルチリンク、POS、およびシリアルキーワードがソースインターフェースコマンドに追加されました。
ERSPANをローカルスパンとして使用:
ERSPANを使用して、同じデバイスの1つ以上のポートまたはVLANを介したトラフィックを監視するには、同じデバイスでERSPANソースとERSPANの宛先セッションを作成する必要があります。これは、ローカルスパンのルーターと同様のルーター内で行われます。
ERSPANをローカルスパンとして使用しているときに、次の要因が適用されます。
- 両方のセッションには同じerspan IDがあります。
- 両方のセッションには同じIPアドレスがあります。このIPアドレスは、ルーター独自のIPアドレスです。つまり、任意のポートで構成されているループバックIPアドレスまたはIPアドレス。
| (config)#モニターセッション10と入力しますerspan-source |
| (config-mon-erspan-src)#ソースインターフェイスgig0/0/0 |
| (config-mon-erspan-src)#宛先 |
| (config-mon-erspan-src-dst)#IPアドレス10.10.10.1 |
| (config-mon-erspan-src-dst)#origin ipアドレス10.10.10.1 |
| (config-mon-erspan-src-dst)#erspan-id 100 |
投稿時間:AUG-28-2024
