SPAN、RSPAN、ERSPANを理解する：ネットワークトラフィック監視のテクニック

SPAN、RSPAN、ERSPANは、ネットワークにおいてトラフィックをキャプチャ・監視し、分析を行うために使用される技術です。以下に、それぞれの概要を説明します。

SPAN (スイッチド ポート アナライザー)

目的: スイッチ上の特定のポートまたは VLAN からのトラフィックを別のポートにミラ​​ーリングして監視するために使用されます。

ユースケース：単一スイッチでのローカルトラフィック分析に最適です。トラフィックは指定ポートにミラ​​ーリングされ、ネットワークアナライザーでキャプチャできます。

RSPAN（リモートSPAN）

目的: ネットワーク内の複数のスイッチにわたって SPAN 機能を拡張します。

ユースケース：トランクリンクを介して、あるスイッチから別のスイッチへのトラフィックを監視できます。監視デバイスが別のスイッチに配置されている場合に便利です。

ERSPAN（カプセル化リモートSPAN）

目的: RSPAN と GRE (Generic Routing Encapsulation) を組み合わせて、ミラーリングされたトラフィックをカプセル化します。

ユースケース：ルーティングされたネットワーク全体のトラフィックを監視できます。これは、異なるセグメントにまたがるトラフィックをキャプチャする必要がある複雑なネットワークアーキテクチャで役立ちます。

スイッチポートアナライザ（SPAN）は、効率的で高性能なトラフィック監視システムです。送信元ポートまたはVLANからのトラフィックを宛先ポートにリダイレクトまたはミラーリングします。これはセッション監視と呼ばれることもあります。SPANは、接続の問題のトラブルシューティング、ネットワーク使用率とパフォーマンスの計算など、様々な用途に使用されます。シスコ製品では3種類のSPANがサポートされています…

a. SPAN またはローカル SPAN。

b. リモート SPAN (RSPAN)。

c. カプセル化されたリモート SPAN (ERSPAN)。

知ること："SPAN、RSPAN、ERSPAN機能を備えたMylinking™ネットワークパケットブローカー"

SPAN / トラフィック ミラーリング / ポート ミラーリングはさまざまな目的で使用されますが、以下にその一部を示します。

- IDS/IPS をプロミスキャス モードで実装します。

- VOIP 通話録音ソリューション。

- セキュリティ コンプライアンス上の理由により、トラフィックを監視および分析します。

- 接続の問題のトラブルシューティング、トラフィックの監視。

実行中の SPAN タイプに関係なく、SPAN 送信元は、ルーティングされたポート、物理スイッチ ポート、アクセス ポート、トランク、VLAN (スイッチのすべてのアクティブ ポートが監視されます)、EtherChannel (ポートまたはポート チャネル インターフェイス全体) など、任意のタイプのポートにすることができます。SPAN 宛先に設定されたポートは、SPAN 送信元 VLAN の一部にすることはできないことに注意してください。

SPAN セッションは、入力トラフィック (入力 SPAN)、出力トラフィック (出力 SPAN)、または両方向に流れるトラフィックの監視をサポートします。

- 入力 SPAN (RX) は、送信元ポートと VLAN で受信したトラフィックを宛先ポートにコピーします。SPAN は、トラフィックを変更する前（たとえば、VACL または ACL フィルタ、QoS、入力または出力ポリシングなど）にトラフィックをコピーします。

- 出力SPAN（TX）は、送信元ポートおよびVLANから送信されたトラフィックを宛先ポートにコピーします。スイッチがトラフィックをSPAN宛先ポートに転送する前に、VACLまたはACLフィルタ、QoS、または入力または出力ポリシングによる関連するフィルタリングまたは変更がすべて実行されます。

- both キーワードを使用すると、SPAN は送信元ポートと VLAN によって受信および送信されたネットワーク トラフィックを宛先ポートにコピーします。

- SPAN/RSPANは通常、CDP、STP BPDU、VTP、DTP、およびPAgPフレームを無視します。ただし、encapsulation replicationコマンドが設定されている場合は、これらのトラフィックタイプも転送できます。

SPANまたはローカルSPAN

SPAN は、スイッチ上の 1 つ以上のインターフェイスからのトラフィックを同じスイッチ上の 1 つ以上のインターフェイスにミラーリングします。そのため、SPAN は主に LOCAL SPAN と呼ばれます。

ローカル SPAN に関するガイドラインまたは制限:

- レイヤ 2 スイッチ ポートとレイヤ 3 ポートはどちらも送信元ポートまたは宛先ポートとして設定できます。

- ソースは 1 つ以上のポートまたは VLAN のいずれかになりますが、これらを混在させることはできません。

- トランク ポートは、トランク以外の送信元ポートと混在した有効な送信元ポートです。

- スイッチには最大 64 個の SPAN 宛先ポートを設定できます。

- 宛先ポートを設定すると、元の設定は上書きされます。SPAN設定が削除されると、そのポートの元の設定が復元されます。

- 宛先ポートを設定すると、そのポートがEtherChannelバンドルの一部である場合は、そのバンドルから削除されます。ルーテッドポートの場合は、SPAN宛先ポートの設定がルーテッドポートの設定をオーバーライドします。

- 宛先ポートは、ポート セキュリティ、802.1x 認証、またはプライベート VLAN をサポートしていません。

- 1 つのポートは、1 つの SPAN セッションの宛先ポートとしてのみ機能できます。

- ポートが SPAN セッションの送信元ポートまたは送信元 VLAN の一部である場合は、宛先ポートとして設定できません。

- ポート チャネル インターフェイス (EtherChannel) は、SPAN の送信元ポートとして設定できますが、宛先ポートとして設定することはできません。

- SPAN ソースの場合、トラフィックの方向はデフォルトで「両方」になります。

- 宛先ポートはスパニングツリーインスタンスに参加しません。DTP、CDPなどはサポートされません。ローカルSPANは監視対象トラフィックにBPDUを含むため、宛先ポートで確認されたBPDUは送信元ポートからコピーされます。したがって、ネットワークループを引き起こす可能性があるため、このタイプのSPANにスイッチを接続しないでください。AIツールは作業効率を向上させ、検出不可能なAIこのサービスにより、AI ツールの品質が向上します。

- VLAN が SPAN 送信元（通常は VSPAN と呼ばれます）として設定され、入力と出力の両方のオプションが設定されている場合、パケットが同じ VLAN 内でスイッチングされる場合にのみ、送信元ポートから重複パケットを転送します。パケットの 1 つのコピーは入力ポートの入力トラフィックから取得され、もう 1 つのコピーは出力ポートの出力トラフィックから取得されます。

- VSPAN は、VLAN 内のレイヤ 2 ポートを出入りするトラフィックのみを監視します。