SPAN, RSPAN, dan ERSPAN adalah teknik yang digunakan dalam jaringan untuk menangkap dan memantau lalu lintas untuk analisis. Berikut ini ikhtisar singkat masing-masing:
SPAN (Penganalisis Port yang Dialihkan)
Tujuan: Digunakan untuk mencerminkan lalu lintas dari port atau VLAN tertentu pada sakelar ke port lain untuk pemantauan.
Kasus Penggunaan: Ideal untuk analisis lalu lintas lokal pada satu switch. Lalu lintas dicerminkan ke port yang ditentukan tempat penganalisa jaringan dapat menangkapnya.
RSPAN (SPAN Jarak Jauh)
Tujuan: Memperluas kemampuan SPAN ke beberapa switch dalam satu jaringan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas dari satu switch ke switch lain melalui tautan trunk. Berguna untuk skenario saat perangkat pemantauan berada di switch yang berbeda.
ERSPAN (SPAN Jarak Jauh Terenkapsulasi)
Tujuan: Menggabungkan RSPAN dengan GRE (Generic Routing Encapsulation) untuk merangkum lalu lintas yang dicerminkan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas lintas jaringan yang dirutekan. Ini berguna dalam arsitektur jaringan yang kompleks di mana lalu lintas perlu direkam melalui segmen yang berbeda.
Switch Port Analyzer (SPAN) adalah sistem pemantauan lalu lintas yang efisien dan berkinerja tinggi. Sistem ini mengarahkan atau mencerminkan lalu lintas dari port sumber atau VLAN ke port tujuan. Hal ini terkadang disebut sebagai pemantauan sesi. SPAN digunakan untuk memecahkan masalah konektivitas dan menghitung pemanfaatan dan kinerja jaringan, di antara banyak hal lainnya. Ada tiga jenis SPAN yang didukung pada produk Cisco …
a. SPAN atau SPAN lokal.
b.SPAN Jarak Jauh (RSPAN).
c. SPAN jarak jauh terenkapsulasi (ERSPAN).
Untuk mengetahui: "Mylinking™ Network Packet Broker dengan Fitur SPAN, RSPAN dan ERSPAN"
SPAN / pencerminan lalu lintas / pencerminan port digunakan untuk banyak tujuan, berikut beberapa di antaranya.
- Menerapkan IDS/IPS dalam mode promiscuous.
- Solusi perekaman panggilan VOIP.
- Alasan kepatuhan keamanan untuk memantau dan menganalisis lalu lintas.
- Memecahkan masalah koneksi, memantau lalu lintas.
Apa pun jenis SPAN yang berjalan, sumber SPAN dapat berupa jenis port apa pun, yaitu port yang dirutekan, port sakelar fisik, port akses, trunk, VLAN (semua port aktif dipantau oleh sakelar), EtherChannel (baik port atau seluruh antarmuka port-saluran), dll. Perlu dicatat bahwa port yang dikonfigurasi untuk tujuan SPAN TIDAK DAPAT menjadi bagian dari VLAN sumber SPAN.
Sesi SPAN mendukung pemantauan lalu lintas masuk (ingress SPAN), lalu lintas keluar (egress SPAN), atau lalu lintas yang mengalir di kedua arah.
- Ingress SPAN (RX) menyalin lalu lintas yang diterima oleh port sumber dan VLAN ke port tujuan. SPAN menyalin lalu lintas sebelum modifikasi apa pun (misalnya sebelum filter VACL atau ACL, QoS, atau pengawasan ingress atau egress).
- Egress SPAN (TX) menyalin lalu lintas yang ditransmisikan dari port sumber dan VLAN ke port tujuan. Semua penyaringan atau modifikasi yang relevan oleh filter VACL atau ACL, QoS atau tindakan pengawasan masuk atau keluar dilakukan sebelum sakelar meneruskan lalu lintas ke port tujuan SPAN.
- Ketika kata kunci both digunakan, SPAN menyalin lalu lintas jaringan yang diterima dan dikirimkan oleh port sumber dan VLAN ke port tujuan.
- SPAN/RSPAN biasanya mengabaikan frame CDP, STP BPDU, VTP, DTP, dan PAgP. Namun, jenis lalu lintas ini dapat diteruskan jika perintah replikasi enkapsulasi dikonfigurasi.
SPAN atau SPAN Lokal
SPAN mencerminkan lalu lintas dari satu atau lebih antarmuka pada sakelar ke satu atau lebih antarmuka pada sakelar yang sama; oleh karena itu SPAN lebih dikenal sebagai SPAN LOKAL.
Pedoman atau batasan untuk SPAN lokal:
- Baik port yang dialihkan Layer 2 maupun port Layer 3 dapat dikonfigurasikan sebagai port sumber atau tujuan.
- Sumbernya dapat berupa satu atau lebih port atau satu VLAN, tetapi bukan campuran dari semuanya.
- Port trunk merupakan port sumber yang valid yang dicampur dengan port sumber non-trunk.
- Hingga 64 port tujuan SPAN dapat dikonfigurasi pada sebuah switch.
- Saat kita mengonfigurasi port tujuan, konfigurasi aslinya akan ditimpa. Jika konfigurasi SPAN dihapus, konfigurasi asli pada port tersebut akan dikembalikan.
- Saat mengonfigurasi port tujuan, port tersebut dihapus dari bundel EtherChannel mana pun jika merupakan bagian dari bundel tersebut. Jika merupakan port yang dirutekan, konfigurasi tujuan SPAN menggantikan konfigurasi port yang dirutekan.
- Port tujuan tidak mendukung keamanan port, autentikasi 802.1x, atau VLAN pribadi.
- Suatu port dapat bertindak sebagai port tujuan hanya untuk satu sesi SPAN.
- Suatu port tidak dapat dikonfigurasikan sebagai port tujuan jika port tersebut merupakan port sumber dari suatu sesi span atau bagian dari VLAN sumber.
- Antarmuka saluran port (EtherChannel) dapat dikonfigurasikan sebagai port sumber tetapi bukan port tujuan untuk SPAN.
- Arah lalu lintas adalah “keduanya” secara default untuk sumber SPAN.
- Port tujuan tidak pernah berpartisipasi dalam instance spanning tree. Tidak dapat mendukung DTP, CDP, dll. SPAN lokal menyertakan BPDU dalam lalu lintas yang dipantau, jadi semua BPDU yang terlihat di port tujuan disalin dari port sumber. Oleh karena itu, jangan pernah menghubungkan switch ke jenis SPAN ini karena dapat menyebabkan loop jaringan. Alat AI akan meningkatkan efisiensi kerja, danAI yang tidak terdeteksilayanan dapat meningkatkan kualitas alat AI.
- Bila VLAN dikonfigurasi sebagai sumber SPAN (biasa disebut VSPAN) dengan opsi ingress dan egress dikonfigurasi, teruskan paket duplikat dari port sumber hanya jika paket dialihkan dalam VLAN yang sama. Satu salinan paket berasal dari lalu lintas ingress pada port ingress, dan salinan paket lainnya berasal dari lalu lintas egress pada port egress.
- VSPAN hanya memonitor lalu lintas yang meninggalkan atau memasuki port Layer 2 di VLAN.
SPAN Jarak Jauh (RSPAN)
Remote SPAN (RSPAN) mirip dengan SPAN, tetapi mendukung port sumber, VLAN sumber, dan port tujuan pada switch yang berbeda, yang menyediakan lalu lintas pemantauan jarak jauh dari port sumber yang didistribusikan melalui beberapa switch dan memungkinkan perangkat penangkap jaringan terpusat di tujuan. Setiap sesi RSPAN membawa lalu lintas SPAN melalui VLAN RSPAN khusus yang ditentukan pengguna di semua switch yang berpartisipasi. VLAN ini kemudian disalurkan ke switch lain, yang memungkinkan lalu lintas sesi RSPAN diangkut melalui beberapa switch dan dikirim ke stasiun penangkap tujuan. RSPAN terdiri dari sesi sumber RSPAN, VLAN RSPAN, dan sesi tujuan RSPAN.
Pedoman atau batasan untuk RSPAN:
- VLAN spesifik harus dikonfigurasi untuk tujuan SPAN yang akan melintasi switch perantara melalui tautan trunk menuju port tujuan.
- Dapat membuat jenis sumber yang sama – minimal satu port atau minimal satu VLAN, tetapi tidak boleh campuran.
- Tujuan untuk sesi tersebut adalah RSPAN VLAN dan bukan satu port tunggal di switch, sehingga semua port di RSPAN VLAN akan menerima lalu lintas yang dicerminkan.
- Konfigurasikan VLAN apa pun sebagai VLAN RSPAN selama semua perangkat jaringan yang berpartisipasi mendukung konfigurasi VLAN RSPAN, dan gunakan VLAN RSPAN yang sama untuk setiap sesi RSPAN
- VTP dapat menyebarkan konfigurasi VLAN bernomor 1 hingga 1024 sebagai VLAN RSPAN, harus secara manual mengonfigurasi VLAN bernomor lebih tinggi dari 1024 sebagai VLAN RSPAN pada semua perangkat jaringan sumber, perantara, dan tujuan.
- Pembelajaran alamat MAC dinonaktifkan di RSPAN VLAN.
SPAN jarak jauh terenkapsulasi (ERSPAN)
SPAN jarak jauh terkapsulasi (ERSPAN) menghadirkan enkapsulasi perutean generik (GRE) untuk semua lalu lintas yang ditangkap dan memungkinkannya diperluas melintasi domain Layer 3.
ERSPAN adalahmilik Ciscofitur dan hanya tersedia untuk platform Catalyst 6500, 7600, Nexus, dan ASR 1000 hingga saat ini. ASR 1000 hanya mendukung sumber ERSPAN (pemantauan) pada antarmuka Fast Ethernet, Gigabit Ethernet, dan port-channel.
Pedoman atau batasan untuk ERSPAN:
- Sesi sumber ERSPAN tidak menyalin lalu lintas ERSPAN yang dienkapsulasi GRE dari port sumber. Setiap sesi sumber ERSPAN dapat memiliki port atau VLAN sebagai sumber, tetapi tidak keduanya.
- Terlepas dari ukuran MTU yang dikonfigurasi, ERSPAN membuat paket Layer 3 yang panjangnya dapat mencapai 9.202 byte. Lalu lintas ERSPAN dapat dihentikan oleh antarmuka mana pun di jaringan yang memberlakukan ukuran MTU lebih kecil dari 9.202 byte.
- ERSPAN tidak mendukung fragmentasi paket. Bit "jangan terfragmentasi" ditetapkan dalam header IP paket ERSPAN. Sesi tujuan ERSPAN tidak dapat menyusun kembali paket ERSPAN yang terfragmentasi.
- ID ERSPAN membedakan lalu lintas ERSPAN yang tiba di alamat IP tujuan yang sama dari berbagai sesi sumber ERSPAN yang berbeda; ID ERSPAN yang dikonfigurasi harus cocok pada perangkat sumber dan tujuan.
- Untuk port sumber atau VLAN sumber, ERSPAN dapat memantau lalu lintas masuk, keluar, atau keduanya. Secara default, ERSPAN memantau semua lalu lintas, termasuk frame multicast dan Bridge Protocol Data Unit (BPDU).
- Antarmuka terowongan yang didukung sebagai port sumber untuk sesi sumber ERSPAN adalah GRE, IPinIP, SVTI, IPv6, terowongan IPv6 melalui IP, Multipoint GRE (mGRE), dan Secure Virtual Tunnel Interfaces (SVTI).
- Opsi filter VLAN tidak berfungsi dalam sesi pemantauan ERSPAN pada antarmuka WAN.
- ERSPAN pada Router Cisco ASR 1000 Series hanya mendukung antarmuka Layer 3. Antarmuka Ethernet tidak didukung pada ERSPAN saat dikonfigurasi sebagai antarmuka Layer 2.
- Saat sesi dikonfigurasi melalui CLI konfigurasi ERSPAN, ID sesi dan jenis sesi tidak dapat diubah. Untuk mengubahnya, Anda harus terlebih dahulu menggunakan bentuk no dari perintah konfigurasi untuk menghapus sesi, lalu mengonfigurasi ulang sesi tersebut.
- Cisco IOS XE Rilis 3.4S :- Pemantauan paket terowongan yang tidak dilindungi-IPsec didukung pada IPv6 dan IPv6 melalui antarmuka terowongan IP hanya untuk sesi sumber ERSPAN, tidak untuk sesi tujuan ERSPAN.
- Cisco IOS XE Rilis 3.5S, dukungan ditambahkan untuk jenis antarmuka WAN berikut sebagai port sumber untuk sesi sumber: Serial (T1/E1, T3/E3, DS0), Paket melalui SONET (POS) (OC3, OC12) dan Multilink PPP (kata kunci multilink, pos, dan serial ditambahkan ke perintah antarmuka sumber).
Menggunakan ERSPAN sebagai SPAN Lokal:
Untuk menggunakan ERSPAN guna memantau lalu lintas melalui satu atau lebih port atau VLAN dalam perangkat yang sama, kita harus membuat sesi sumber ERSPAN dan sesi tujuan ERSPAN dalam perangkat yang sama, aliran data terjadi di dalam router, yang serupa dengan yang ada di SPAN lokal.
Faktor-faktor berikut ini berlaku saat menggunakan ERSPAN sebagai SPAN lokal:
- Kedua sesi memiliki ID ERSPAN yang sama.
- Kedua sesi memiliki alamat IP yang sama. Alamat IP ini adalah alamat IP router itu sendiri; yaitu, alamat IP loopback atau alamat IP yang dikonfigurasi pada port mana pun.
| (config)# monitor sesi 10 jenis erspan-source |
| (config-mon-erspan-src)# sumber antarmuka Gig0/0/0 |
| (config-mon-erspan-src)# tujuan |
| (config-mon-erspan-src-dst)# alamat ip 10.10.10.1 |
| (config-mon-erspan-src-dst)# alamat ip asal 10.10.10.1 |
| (konfigurasi-mon-erspan-src-dst)# erspan-id 100 |
Waktu posting: 28-Agu-2024
