SPAN, RSPAN 및 ERSPAN은 분석을 위해 트래픽을 캡처하고 모니터링하는 데 네트워킹에 사용되는 기술입니다. 다음은 각각에 대한 간단한 개요입니다.
스팬 (스위치 포트 분석기)
목적 : 모니터링을 위해 다른 포트로의 스위치에서 특정 포트 또는 VLAN의 트래픽을 반영하는 데 사용됩니다.
유스 케이스 : 단일 스위치의 로컬 트래픽 분석에 이상적입니다. 트래픽은 네트워크 분석기가이를 캡처 할 수있는 지정된 포트로 미러링됩니다.
RSPAN (원격 범위)
목적 : 네트워크의 여러 스위치에서 범위 기능을 확장합니다.
유스 케이스 : 한 스위치에서 다른 스위치에서 다른 스위치로 트래픽을 모니터링 할 수 있습니다. 모니터링 장치가 다른 스위치에있는 시나리오에 유용합니다.
Erspan (캡슐화 된 원격 범위)
목적 : RSPAN과 GRE (일반 라우팅 캡슐화)를 결합하여 미러 트래픽을 캡슐화합니다.
사용 사례 : 라우팅 된 네트워크에서 트래픽을 모니터링 할 수 있습니다. 이것은 다른 세그먼트에 트래픽을 캡처 해야하는 복잡한 네트워크 아키텍처에서 유용합니다.
SPAN (Switch Port Analyzer)은 효율적인 고성능 트래픽 모니터링 시스템입니다. 소스 포트 또는 VLAN에서 대상 포트로 트래픽을 지시하거나 반영합니다. 이것은 때때로 세션 모니터링이라고도합니다. SPAN은 연결 문제를 해결하고 네트워크 활용 및 성능을 계산하는 데 사용됩니다. Cisco 제품에 지원되는 세 가지 유형의 범위가 있습니다.
에이. 스팬 또는 로컬 스팬.
비. 원격 범위 (RSPAN).
기음. 캡슐화 된 원격 범위 (ERSPAN).
알아두기 : "SPAN, RSPAN 및 ERSPAN 기능이있는 MyLinking ™ 네트워크 패킷 브로커"
스팬 / 트래픽 미러링 / 포트 미러링은 여러 목적으로 사용됩니다. 아래에는 일부가 포함됩니다.
- 무차별 모드에서 ID/IP를 구현합니다.
-VoIP 통화 녹음 솔루션.
- 보안 준수 트래픽을 모니터링하고 분석 해야하는 이유.
- 연결 문제 해결, 트래픽 모니터링 문제.
스팬 유형 실행에 관계없이 스팬 소스는 모든 유형의 포트, 즉 라우팅 된 포트, 물리적 스위치 포트, 액세스 포트, 트렁크, VLAN (모든 활성 포트가 스위치를 모니터링 함), 에테르 채널 (포트 또는 전체 포트 채널 인터페이스) 등의 유형 일 수 있습니다. 스팬 대상을 위해 구성된 포트는 SPAN 소스 VLAN의 일부가 될 수 없습니다.
SPAN 세션은 수신 트래픽 (수신 범위), 추방 트래픽 (Egress Span) 또는 양방향으로 흐르는 트래픽 모니터링을 지원합니다.
-Senress Span (RX)은 소스 포트 및 VLAN이 수신 한 트래픽을 대상 포트에 복사합니다. 스팬 수정 전에 트래픽을 복사합니다 (예 : VACL 또는 ACL 필터, QOS 또는 Egress Policing 이전).
-Egress Span (TX)은 소스 포트 및 VLAN에서 대상 포트로 전송 된 트래픽을 복사합니다. VACL 또는 ACL 필터, QOS 또는 Egress Policing Caction에 의한 모든 관련 필터링 또는 수정은 스위치가 트래픽을 대상 포트로 전달하기 전에 수행됩니다.
- 두 키워드를 모두 사용하는 경우 소스 포트 및 VLAN이 대상 포트로 수신하고 전송 한 네트워크 트래픽을 사본합니다.
-SPAN/RSPAN은 일반적으로 CDP, STP BPDU, VTP, DTP 및 PAGP 프레임을 무시합니다. 그러나 캡슐화 복제 명령이 구성되면 이러한 트래픽 유형을 전달할 수 있습니다.
스팬 또는 로컬 스팬
스팬 스팬 스위치의 하나 이상의 인터페이스에서 동일한 스위치의 하나 이상의 인터페이스로 트래픽을 반영합니다. 따라서 스팬은 주로 국소 범위라고합니다.
로컬 스팬에 대한 지침 또는 제한 :
- 레이어 2 스위치 포트와 레이어 3 포트 모두 소스 또는 대상 포트로 구성 할 수 있습니다.
- 소스는 하나 이상의 포트 또는 VLAN 일 수 있지만 이들은 혼합 할 수 없습니다.
- 트렁크 포트는 트렁크 소스 포트와 혼합 된 유효한 소스 포트입니다.
- 스위치에서 최대 64 개의 스팬 대상 포트를 구성 할 수 있습니다.
- 대상 포트를 구성하면 원래 구성이 덮어 씁니다. SPAN 구성이 제거되면 해당 포트의 원래 구성이 복원됩니다.
- 대상 포트를 구성하면 포트가 하나의 일부인 경우 에테르 채널 번들에서 포트가 제거됩니다. 라우팅 된 포트 인 경우 스팬 대상 구성은 라우팅 된 포트 구성을 대체합니다.
- 대상 포트는 포트 보안, 802.1 배인 인증 또는 개인 VLAN을 지원하지 않습니다.
- 포트는 단 하나의 스팬 세션의 대상 포트 역할을 할 수 있습니다.
- 포트는 SPAN 세션의 소스 포트 또는 소스 VLAN의 일부인 경우 대상 포트로 구성 할 수 없습니다.
- 포트 채널 인터페이스 (EtherChannel)는 소스 포트로 구성 할 수 있지만 스팬 용 대상 포트는 아닙니다.
- 교통 방향은 기본적으로 스팬 소스에 대해 "둘 다"입니다.
- 대상 포트는 스패닝 트리 인스턴스에 참여하지 않습니다. DTP, CDP 등을 지원할 수 없습니다. 로컬 스팬에는 모니터링 된 트래픽에 BPDU가 포함되어 있으므로 대상 포트에서 볼 수있는 모든 BPDU가 소스 포트에서 복사됩니다. 따라서 네트워크 루프를 유발할 수 있으므로 스위치를 이러한 유형의 범위에 연결하지 마십시오. AI 도구는 작업 효율성을 향상시킬 것입니다감지 할 수없는 ai서비스는 AI 도구의 품질을 향상시킬 수 있습니다.
-VLAN이 패킷이 동일한 VLAN으로 전환되는 경우에만 소스 포트의 전진 중복 패킷을 포함하여 SPAN 소스 (주로 VSPAN이라고 함)로 구성된 경우. 패킷의 한 사본은 Ingress 포트의 Ingress 트래픽에서 나오고 패킷의 다른 사본은 Egress 포트의 Egress 트래픽에서 나온 것입니다.
-VSPAN은 VLAN의 레이어 2 포트를 떠나거나 들어가는 트래픽 만 모니터링합니다.
원격 범위 (RSPAN)
원격 범위 (RSPAN)는 SPAN과 유사하지만 다양한 스위치의 소스 포트, 소스 VLAN 및 대상 포트를 지원하므로 여러 스위치에 분산 된 소스 포트의 원격 모니터링 트래픽을 제공하며 대상 중앙 집중식 네트워크 캡처 장치를 제공합니다. 각 RSPAN 세션은 모든 참여 스위치에서 사용자 지정 전용 RSPAN VLAN을 통해 스팬 트래픽을 전달합니다. 이 VLAN은 다른 스위치로 트렁크하여 RSPAN 세션 트래픽을 여러 스위치에서 전송하고 대상 캡처 스테이션으로 전달할 수 있습니다. RSPAN은 RSPAN 소스 세션, RSPAN VLAN 및 RSPAN 대상 세션으로 구성됩니다.
RSPAN에 대한 지침 또는 제한 :
- 특정 VLAN은 스팬 대상에 대해 대상 포트를 향한 트렁크 링크를 통해 중간 스위치를 가로 질러 통과하는 스팬 대상에 대해 구성해야합니다.
- 동일한 소스 유형을 생성 할 수 있습니다 - 하나 이상의 포트 또는 하나 이상의 VLAN이지만 믹스가 될 수는 없습니다.
- 세션의 대상은 스위치의 단일 포트가 아닌 RSPAN VLAN이므로 RSPAN VLAN의 모든 포트는 미러 트래픽을받습니다.
- 모든 참여 네트워크 장치가 RSPAN VLAN의 구성을 지원하고 각 RSPAN 세션에 동일한 RSPAN VLAN을 사용하는 한 VLAN을 RSPAN VLAN으로 구성하십시오.
-VTP는 RSPAN VLAN으로서 1 ~ 1024의 VLAN의 구성을 전파 할 수 있으며 모든 소스, 중간 및 대상 네트워크 장치에서 RSPAN VLAN으로 1024보다 높은 VLAN을 수동으로 구성해야합니다.
-RSPAN VLAN에서 MAC 주소 학습이 비활성화되었습니다.
캡슐화 된 원격 스팬 (ERSPAN)
캡슐화 된 원격 범위 (ERSPAN)는 모든 캡처 된 트래픽에 대한 일반 라우팅 캡슐화 (GRE)를 가져오고 레이어 3 도메인에서 확장 할 수 있습니다.
Erspan은 aCisco 독점기능 및 현재까지 Catalyst 6500, 7600, Nexus 및 ASR 1000 플랫폼에서만 사용할 수 있습니다. ASR 1000은 빠른 이더넷, 기가비트 이더넷 및 포트 채널 인터페이스에서만 ERSPAN 소스 (모니터링)를 지원합니다.
ERSPAN에 대한 지침 또는 제한 :
-ERSPAN 소스 세션은 소스 포트에서 esrpan gre 캡슐화 트래픽을 복사하지 않습니다. 각 ERSPAN 소스 세션은 포트 또는 VLAN을 소스로 가질 수 있지만 둘 다를 가질 수는 없습니다.
- 구성된 MTU 크기에 관계없이 ERSPAN은 9,202 바이트 일 수있는 레이어 3 패킷을 만듭니다. ERSPAN 트래픽은 네트워크의 모든 인터페이스에 의해 9,202 바이트보다 작은 MTU 크기를 시행 할 수 있습니다.
-Erspan은 패킷 조각화를 지원하지 않습니다. "Do Not Fragment"비트는 ERSPAN 패킷의 IP 헤더에 설정됩니다. ERSPAN 대상 세션은 조각난 ERSPAN 패킷을 재 조립할 수 없습니다.
-ERSPAN ID는 다양한 ERSPAN 소스 세션과 동일한 대상 IP 주소에 도착하는 ERSPAN 트래픽을 차별화합니다. 구성된 ERSPAN ID는 소스 및 대상 장치와 일치해야합니다.
- 소스 포트 또는 소스 VLAN의 경우, ERSPAN은 입학, egress 또는 egress 트래픽을 모두 모니터링 할 수 있습니다. 기본적으로 ERSPAN은 멀티 캐스트 및 브리지 프로토콜 데이터 장치 (BPDU) 프레임을 포함한 모든 트래픽을 모니터링합니다.
- ERSPAN 소스 세션의 소스 포트로 지원되는 터널 인터페이스는 GRE, IPINIP, SVTI, IPv6, IP 터널을 통한 IPv6, MGRE (Multipoint Gre) 및 보안 가상 터널 인터페이스 (SVTI)입니다.
-WAN 인터페이스의 ERSPAN 모니터링 세션에서 필터 VLAN 옵션이 작동하지 않습니다.
-Cisco ASR 1000 시리즈 라우터의 Erspan은 레이어 3 인터페이스 만 지원합니다. 이더넷 인터페이스는 레이어 2 인터페이스로 구성된 경우 ERSPAN에서 지원되지 않습니다.
- ERSPAN 구성 CLI를 통해 세션이 구성되면 세션 ID 및 세션 유형을 변경할 수 없습니다. 이를 변경하려면 먼저 NO 형식의 구성 명령을 사용하여 세션을 제거한 다음 세션을 재구성해야합니다.
-Cisco iOS XE 릴리스 3.4S :- 비 IPSEC 보호 터널 패킷의 모니터링은 IPv6 및 IPv6에서 IP 터널 인터페이스를 통해 ERSPAN 소스 세션에 대해서만 IPv6 및 IPv6에서 지원됩니다.
-Cisco iOS XE 릴리스 3.5s, 소스 세션의 소스 포트로 다음 유형의 WAN 인터페이스에 대한 지원이 추가되었습니다 : Serial (T1/E1, T3/E3, DS0), SONET (POS) (POS) (OC3, OC12) 및 Multilink PPP (Multilink, POS 및 Serial Keywords)에 추가되었습니다.
Erspan 사용은 로컬 스팬으로 사용 :
ERSPAN을 사용하여 동일한 장치에서 하나 이상의 포트 또는 VLAN을 통해 트래픽을 모니터링하려면 동일한 장치에서 ERSPAN 소스 및 ERSPAN 대상 세션을 작성해야합니다. 데이터 흐름은 라우터 내부에서 발생하며 로컬 스팬과 유사합니다.
ERSPAN을 로컬 스팬으로 사용하는 동안 다음 요소가 적용됩니다.
- 두 세션 모두 동일한 ERSPAN ID를 가지고 있습니다.
- 두 세션 모두 동일한 IP 주소가 있습니다. 이 IP 주소는 라우터 자체 IP 주소입니다. 즉, 루프백 IP 주소 또는 모든 포트에서 구성된 IP 주소입니다.
| (config)# 모니터 세션 10 Eerspan-Source 타입 |
| (config-mon-erspan-src)# 소스 인터페이스 gig0/0/0 |
| (config-mon-erspan-src)# 대상 |
| (config-mon-erspan-src-dst)# IP 주소 10.10.10.1 |
| (config-mon-erspan-src-dst)# Origin IP 주소 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
후 시간 : 8 월 28-2024 년
