SPAN, RSPAN, dan ERSPAN adalah teknik yang digunakan dalam jaringan untuk menangkap dan memantau lalu lintas untuk analisis. Berikut ikhtisar singkat masing-masing:
SPAN (Penganalisis Port yang Dialihkan)
Tujuan: Digunakan untuk mencerminkan lalu lintas dari port atau VLAN tertentu pada sakelar ke port lain untuk pemantauan.
Contoh Penggunaan: Ideal untuk analisis lalu lintas lokal pada satu switch. Lalu lintas dicerminkan ke port tertentu yang dapat direkam oleh penganalisis jaringan.
RSPAN (SPAN Jarak Jauh)
Tujuan: Memperluas kemampuan SPAN ke beberapa switch dalam jaringan.
Contoh Penggunaan: Memungkinkan pemantauan lalu lintas dari satu switch ke switch lain melalui tautan trunk. Berguna untuk skenario di mana perangkat pemantauan berada di switch yang berbeda.
ERSPAN (SPAN Jarak Jauh Terenkapsulasi)
Tujuan: Menggabungkan RSPAN dengan GRE (Generic Routing Encapsulation) untuk merangkum lalu lintas yang dicerminkan.
Contoh Penggunaan: Memungkinkan pemantauan lalu lintas di seluruh jaringan yang dirutekan. Ini berguna dalam arsitektur jaringan yang kompleks di mana lalu lintas perlu direkam di berbagai segmen.
Switch Port Analyzer (SPAN) adalah sistem pemantauan lalu lintas yang efisien dan berkinerja tinggi. Sistem ini mengarahkan atau mencerminkan lalu lintas dari port sumber atau VLAN ke port tujuan. Hal ini terkadang disebut sebagai pemantauan sesi. SPAN digunakan untuk memecahkan masalah konektivitas dan menghitung utilisasi serta kinerja jaringan, di antara banyak hal lainnya. Ada tiga jenis SPAN yang didukung pada produk Cisco…
a. SPAN atau SPAN lokal.
b. SPAN Jarak Jauh (RSPAN).
c. SPAN jarak jauh terenkapsulasi (ERSPAN).
Untuk mengetahui: "Broker Paket Jaringan Mylinking™ dengan Fitur SPAN, RSPAN, dan ERSPAN"
SPAN / pencerminan lalu lintas / pencerminan port digunakan untuk banyak tujuan, berikut ini beberapa di antaranya.
- Menerapkan IDS/IPS dalam mode promiscuous.
- Solusi perekaman panggilan VOIP.
- Alasan kepatuhan keamanan untuk memantau dan menganalisis lalu lintas.
- Memecahkan masalah koneksi, memantau lalu lintas.
Apa pun jenis SPAN yang berjalan, sumber SPAN dapat berupa jenis port apa pun, misalnya port yang dirutekan, port fisik pada sakelar, port akses, trunk, VLAN (semua port aktif dipantau oleh sakelar), EtherChannel (baik port maupun seluruh antarmuka port-saluran), dst. Perlu dicatat bahwa port yang dikonfigurasi untuk tujuan SPAN TIDAK DAPAT menjadi bagian dari VLAN sumber SPAN.
Sesi SPAN mendukung pemantauan lalu lintas masuk (ingress SPAN), lalu lintas keluar (egress SPAN), atau lalu lintas yang mengalir di kedua arah.
- Ingress SPAN (RX) menyalin lalu lintas yang diterima oleh port sumber dan VLAN ke port tujuan. SPAN menyalin lalu lintas sebelum modifikasi apa pun (misalnya sebelum filter VACL atau ACL, QoS, atau pengawasan ingress atau egress).
- Egress SPAN (TX) menyalin lalu lintas yang ditransmisikan dari port sumber dan VLAN ke port tujuan. Semua penyaringan atau modifikasi yang relevan oleh filter VACL atau ACL, QoS, atau tindakan pengawasan ingress atau egress dilakukan sebelum switch meneruskan lalu lintas ke port tujuan SPAN.
- Ketika kata kunci both digunakan, SPAN menyalin lalu lintas jaringan yang diterima dan dikirimkan oleh port sumber dan VLAN ke port tujuan.
SPAN/RSPAN biasanya mengabaikan frame CDP, STP BPDU, VTP, DTP, dan PAgP. Namun, jenis lalu lintas ini dapat diteruskan jika perintah replikasi enkapsulasi dikonfigurasi.
SPAN atau SPAN Lokal
SPAN mencerminkan lalu lintas dari satu atau lebih antarmuka pada sakelar ke satu atau lebih antarmuka pada sakelar yang sama; oleh karena itu SPAN lebih dikenal sebagai SPAN LOKAL.
Pedoman atau batasan untuk SPAN lokal:
- Baik port yang dialihkan Layer 2 maupun port Layer 3 dapat dikonfigurasikan sebagai port sumber atau tujuan.
- Sumbernya dapat berupa satu atau lebih port atau suatu VLAN, tetapi bukan campuran dari semuanya.
- Port trunk merupakan port sumber yang valid yang dicampur dengan port sumber non-trunk.
- Hingga 64 port tujuan SPAN dapat dikonfigurasi pada sebuah switch.
Saat kita mengonfigurasi port tujuan, konfigurasi aslinya akan ditimpa. Jika konfigurasi SPAN dihapus, konfigurasi asli pada port tersebut akan dipulihkan.
Saat mengonfigurasi port tujuan, port tersebut akan dihapus dari bundel EtherChannel mana pun jika merupakan bagian dari bundel tersebut. Jika port tersebut merupakan port yang dirutekan, konfigurasi tujuan SPAN akan menggantikan konfigurasi port yang dirutekan.
- Port tujuan tidak mendukung keamanan port, autentikasi 802.1x, atau VLAN pribadi.
- Suatu port dapat bertindak sebagai port tujuan hanya untuk satu sesi SPAN.
- Suatu port tidak dapat dikonfigurasikan sebagai port tujuan jika port tersebut merupakan port sumber dari sesi span atau bagian dari VLAN sumber.
- Antarmuka saluran port (EtherChannel) dapat dikonfigurasikan sebagai port sumber tetapi bukan port tujuan untuk SPAN.
- Arah lalu lintas adalah “keduanya” secara default untuk sumber SPAN.
Port tujuan tidak pernah berpartisipasi dalam instans spanning tree. Tidak dapat mendukung DTP, CDP, dll. SPAN lokal menyertakan BPDU dalam lalu lintas yang dipantau, sehingga BPDU apa pun yang terlihat di port tujuan akan disalin dari port sumber. Oleh karena itu, jangan pernah menghubungkan switch ke jenis SPAN ini karena dapat menyebabkan loop jaringan. Alat AI akan meningkatkan efisiensi kerja, danAI yang tidak terdeteksilayanan dapat meningkatkan kualitas alat AI.
Ketika VLAN dikonfigurasi sebagai sumber SPAN (umumnya disebut VSPAN) dengan opsi ingress dan egress dikonfigurasi, teruskan paket duplikat dari port sumber hanya jika paket dialihkan dalam VLAN yang sama. Satu salinan paket berasal dari lalu lintas ingress pada port ingress, dan salinan paket lainnya berasal dari lalu lintas egress pada port egress.
- VSPAN hanya memonitor lalu lintas yang meninggalkan atau memasuki port Layer 2 di VLAN.
SPAN Jarak Jauh (RSPAN)
Remote SPAN (RSPAN) serupa dengan SPAN, tetapi mendukung port sumber, VLAN sumber, dan port tujuan pada berbagai switch. Hal ini menyediakan lalu lintas pemantauan jarak jauh dari port sumber yang didistribusikan ke beberapa switch dan memungkinkan perangkat penangkap jaringan terpusat untuk tujuan. Setiap sesi RSPAN membawa lalu lintas SPAN melalui VLAN RSPAN khusus yang ditentukan pengguna di semua switch yang berpartisipasi. VLAN ini kemudian di-trunch ke switch lain, sehingga lalu lintas sesi RSPAN dapat diangkut melintasi beberapa switch dan dikirimkan ke stasiun penangkap tujuan. RSPAN terdiri dari sesi sumber RSPAN, VLAN RSPAN, dan sesi tujuan RSPAN.
Pedoman atau batasan untuk RSPAN:
- VLAN spesifik harus dikonfigurasi untuk tujuan SPAN yang akan melintasi switch perantara melalui tautan trunk menuju port tujuan.
- Dapat membuat jenis sumber yang sama – setidaknya satu port atau setidaknya satu VLAN tetapi tidak dapat berupa campuran.
- Tujuan untuk sesi tersebut adalah RSPAN VLAN dan bukan port tunggal pada switch, sehingga semua port pada RSPAN VLAN akan menerima lalu lintas yang dicerminkan.
- Konfigurasikan VLAN apa pun sebagai VLAN RSPAN selama semua perangkat jaringan yang berpartisipasi mendukung konfigurasi VLAN RSPAN, dan gunakan VLAN RSPAN yang sama untuk setiap sesi RSPAN
- VTP dapat menyebarkan konfigurasi VLAN bernomor 1 hingga 1024 sebagai VLAN RSPAN, harus secara manual mengonfigurasi VLAN bernomor lebih tinggi dari 1024 sebagai VLAN RSPAN pada semua perangkat jaringan sumber, perantara, dan tujuan.
- Pembelajaran alamat MAC dinonaktifkan di RSPAN VLAN.
SPAN jarak jauh terenkapsulasi (ERSPAN)
SPAN jarak jauh terkapsulasi (ERSPAN) menghadirkan enkapsulasi perutean generik (GRE) untuk semua lalu lintas yang ditangkap dan memungkinkannya diperluas ke seluruh domain Lapisan 3.
ERSPAN adalahmilik CiscoFitur ini hanya tersedia untuk platform Catalyst 6500, 7600, Nexus, dan ASR 1000 hingga saat ini. ASR 1000 hanya mendukung sumber ERSPAN (pemantauan) pada antarmuka Fast Ethernet, Gigabit Ethernet, dan port-channel.
Pedoman atau batasan untuk ERSPAN:
Sesi sumber ERSPAN tidak menyalin lalu lintas ERSPAN yang dienkapsulasi GRE dari port sumber. Setiap sesi sumber ERSPAN dapat memiliki port atau VLAN sebagai sumber, tetapi tidak keduanya.
- Berapa pun ukuran MTU yang dikonfigurasi, ERSPAN menciptakan paket Layer 3 yang panjangnya bisa mencapai 9.202 byte. Lalu lintas ERSPAN dapat dihentikan oleh antarmuka mana pun di jaringan yang menerapkan ukuran MTU lebih kecil dari 9.202 byte.
- ERSPAN tidak mendukung fragmentasi paket. Bit "jangan terfragmentasi" diatur dalam header IP paket ERSPAN. Sesi tujuan ERSPAN tidak dapat menyusun kembali paket ERSPAN yang terfragmentasi.
- ID ERSPAN membedakan lalu lintas ERSPAN yang tiba di alamat IP tujuan yang sama dari berbagai sesi sumber ERSPAN yang berbeda; ID ERSPAN yang dikonfigurasi harus cocok pada perangkat sumber dan tujuan.
Untuk port sumber atau VLAN sumber, ERSPAN dapat memantau lalu lintas masuk, keluar, atau gabungan lalu lintas masuk dan keluar. Secara default, ERSPAN memantau semua lalu lintas, termasuk frame multicast dan Bridge Protocol Data Unit (BPDU).
- Antarmuka terowongan yang didukung sebagai port sumber untuk sesi sumber ERSPAN adalah GRE, IPinIP, SVTI, IPv6, terowongan IPv6 melalui IP, Multipoint GRE (mGRE) dan Secure Virtual Tunnel Interfaces (SVTI).
- Opsi filter VLAN tidak berfungsi dalam sesi pemantauan ERSPAN pada antarmuka WAN.
- ERSPAN pada Router Cisco ASR Seri 1000 hanya mendukung antarmuka Layer 3. Antarmuka Ethernet tidak didukung pada ERSPAN ketika dikonfigurasi sebagai antarmuka Layer 2.
Ketika sesi dikonfigurasi melalui CLI konfigurasi ERSPAN, ID sesi dan jenis sesi tidak dapat diubah. Untuk mengubahnya, Anda harus terlebih dahulu menggunakan perintah konfigurasi "no" untuk menghapus sesi, lalu mengonfigurasi ulang sesi tersebut.
- Cisco IOS XE Rilis 3.4S :- Pemantauan paket terowongan yang tidak dilindungi-IPsec didukung pada IPv6 dan IPv6 melalui antarmuka terowongan IP hanya untuk sesi sumber ERSPAN, bukan untuk sesi tujuan ERSPAN.
- Cisco IOS XE Rilis 3.5S, dukungan ditambahkan untuk jenis antarmuka WAN berikut sebagai port sumber untuk sesi sumber: Serial (T1/E1, T3/E3, DS0), Paket melalui SONET (POS) (OC3, OC12) dan Multilink PPP (kata kunci multilink, pos, dan serial ditambahkan ke perintah antarmuka sumber).
Menggunakan ERSPAN sebagai SPAN Lokal:
Untuk menggunakan ERSPAN guna memantau lalu lintas melalui satu atau lebih port atau VLAN dalam perangkat yang sama, kita harus membuat sesi sumber ERSPAN dan sesi tujuan ERSPAN dalam perangkat yang sama, aliran data terjadi di dalam router, yang serupa dengan yang terjadi di SPAN lokal.
Faktor-faktor berikut berlaku saat menggunakan ERSPAN sebagai SPAN lokal:
- Kedua sesi memiliki ID ERSPAN yang sama.
Kedua sesi memiliki alamat IP yang sama. Alamat IP ini adalah alamat IP router itu sendiri; yaitu, alamat IP loopback atau alamat IP yang dikonfigurasi pada port mana pun.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# sumber antarmuka Gig0/0/0 |
| (config-mon-erspan-src)# tujuan |
| (config-mon-erspan-src-dst)# alamat ip 10.10.10.1 |
| (config-mon-erspan-src-dst)# alamat ip asal 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Waktu posting: 28-Agu-2024
