SPAN, RSPAN, ERSPAN

Описание

Switch port Analyzer (SPAN) эффективное средство мониторинга трафика. В процессе мониторинга трафик дублируется  с порта источника на один из интерфейсов, к которому подключен анализатор трафика. Существует несколько разновидностей SPANs:

Local SPAN: Зеркалирует трафик из одного порта в другой на одном и том же коммутаторе

LocalSPAN

Remote SPAN: Зеркалирует трафик через сеть коммутаторов, тем самым позволяет иметь локальное и централизованное решение для мониторинга и анализа трафика. RSPAN зеркалирует трафик из указанных портов в определенный VLAN. Этот VLAN идет сквозь все коммутаторы в транке. На коммутаторе, который содержит порт назначения  весь трафик зеркалируется

RSPAN

Encapsulated Remote SPAN:  инкапсулирует(GRE) весь зеркалированный трафик в пакеты, которые передает через Layer 3 domains.

ERSPAN это Cisco проприетарный протокол, который доступен только на платформах Catalyst 6500, 7600, Nexus и ASR 1000. ASR 1000 поддерживает ERSPAN source (monitoring) только на интерфейсах Fast Ethernet, Gigabit Ethernet и port-channel interfaces(состоящего из 100/1000 Mbps интерфейсов).

ERSPAN

Примеры настройки

Local SPAN:

Local SPAN настраивается командой monitor session, в которой определяется порт источник и порт назначения одног ои того же коммутатора

SW# configure terminal

SW(config)# monitor session 1 source interface G0/1

SW(config)# monitor session 1 destination interface G0/2

SW(config)#end

RSPAN:

Для настройки RSPAN нужен отдельный VLAN(допустим RSPAN_VLAN), который будет передаваь трафик, порты доступа в этом VLAN нельзя делать. При настройке VLAN нужно указать командой, что это RSPAN VLAN

SW# configure terminal

SW(config)# vlan 666

SW(config-vlan)# remote-span

SW(config-vlan)# end

SW# show vlan remote-span

Remote SPAN VLANs

——————————————————————————

666

SW2# configure terminal

SW2(config)# vlan 666

SW2(config-vlan)# remote-span

SW2(config-vlan)# end

SW2# show vlan remote-span

Remote SPAN VLANs

——————————————————————————

666

Теперь настраивается RSPAN на коммутаторе, трафик с которого будет мониториться. В отличие от Local SPAN , где источник и порт назначения настраиваются на одном коммутаторе, в RSPAN эти порты настраиваются на разных коммутаторах.

SW# configure terminal

SW(config)# monitor session 1 source interface G0/1 rx

SW(config)# monitor session 1 destination remote vlan 666

SW(config)# exit

SW# show monitor

Session 1

———

Type             : Remote Source Session

Source Ports     :

   Rx  Only     : Gi0/1

Dest RSPAN VLAN   : 666

Настройка на коммутаторе, где находится порт назначения

SW2# configure terminal

SW2(config)# monitor session 1 source remote vlan 666

SW2(config)# monitor session 1 destination interface Gi0/2

SW2(config)# exit

RSPAN VLAN должен идти через все промежуточные коммутаторы в транке; Стоит обратить внимание если используется VTP и включен pruning, то необходимо удалить из списка RSPAN VLAN.

ERSPAN:

В этом примере будет настроен захват трафика с маршрутизатора Cisco Catalyst 6506E на систему Cisco Network Analysis Module. Трафик будет захвачен и инкапсулирован в GRE каталистом нативно QFP чипсетом и отправлен в систему мониторинга. Можно будет посмотреть отчет по трафику в GUI(скриншоты прилагаются).

Настройка интерфейса источник на ядре:

6506E(config)# monitor session 1 type erspan-source

6506E(config-mon-erspan-src)# source interface po 40 rx

6506E(config-mon-erspan-src)# no shutdown

6506E(config-mon-erspan-src)# destination

6506E(config-mon-erspan-src-dst)# erspan-id 101

6506E(config-mon-erspan-src-dst)# ip address 172.25.139.146

! 172.25.139.146 адрес Cisco NAM

6506E(config-mon-erspan-src-dst)# origin ip address 172.25.142.1s

! адрес коммутатора

Настройка Cisco NAM для захвата трафика:

NAM

Можно посмотреть на 6506E monitor session для проверки:

6506E#sh monitor session 1

KING&KONG#show monitor session 1
Session 1
———
Type : ERSPAN Source Session
Status : Admin Enabled
Source Ports :
RX Only : Po40
Destination IP Address : 172.25.139.146
Destination ERSPAN ID : 101
Origin IP Address : 172.25.142.1

Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Centralized (default)

NAMcollected

2 thoughts on “SPAN, RSPAN, ERSPAN

  1. Эти технологии используются только в Цисковских коммутаторах?

Leave a Reply

Your email address will not be published. Required fields are marked *