SPAN, RSPAN, dan ERSPANadalah teknik yang digunakan dalam jaringan untuk menangkap dan memantau lalu lintas untuk analisis. Berikut ini ikhtisar singkat masing-masing:
SPAN (Penganalisis Port Beralih)
Tujuan: Digunakan untuk mencerminkan lalu lintas dari port atau VLAN tertentu pada switch ke port lain untuk pemantauan.
Kasus Penggunaan: Ideal untuk analisis lalu lintas lokal pada satu saklar. Lalu lintas dicerminkan ke port yang ditentukan di mana penganalisis jaringan dapat menangkapnya.
RSPAN (SPAN Jarak Jauh)
Tujuan: Memperluas kemampuan SPAN di beberapa switch dalam jaringan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas dari satu switch ke switch lainnya melalui link trunk. Berguna untuk skenario di mana perangkat pemantauan terletak pada saklar yang berbeda.
ERSPAN (SPAN Jarak Jauh Terenkapsulasi)
Tujuan: Menggabungkan RSPAN dengan GRE (Generic Routing Encapsulation) untuk merangkum lalu lintas yang dicerminkan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas di seluruh jaringan yang dirutekan. Hal ini berguna dalam arsitektur jaringan yang kompleks di mana lalu lintas perlu ditangkap melalui segmen yang berbeda.
Penganalisis port sakelar (SPAN)adalah sistem pemantauan lalu lintas yang efisien dan berkinerja tinggi. Ini mengarahkan atau mencerminkan lalu lintas dari port sumber atau VLAN ke port tujuan. Hal ini kadang-kadang disebut sebagai pemantauan sesi. SPAN digunakan antara lain untuk memecahkan masalah konektivitas dan menghitung pemanfaatan dan kinerja jaringan. Ada tiga jenis SPAN yang didukung pada produk Cisco…
A. SPAN atau SPAN lokal.
B. SPAN Jarak Jauh (RSPAN).
C. SPAN jarak jauh yang dienkapsulasi (ERSPAN).
Untuk mengetahui: "Broker Paket Jaringan Mylinking™ dengan Fitur SPAN, RSPAN dan ERSPAN"
SPAN / traffic mirroring / port mirroring digunakan untuk banyak tujuan, di bawah ini mencakup beberapa tujuan.
- Menerapkan IDS/IPS dalam mode promiscuous.
- Solusi perekaman panggilan VOIP.
- Alasan kepatuhan keamanan untuk memantau dan menganalisis lalu lintas.
- Memecahkan masalah koneksi, memantau lalu lintas.
Terlepas dari jenis SPAN yang berjalan, sumber SPAN dapat berupa jenis port apa pun, yaitu port yang dirutekan, port switch fisik, port akses, trunk, VLAN (semua port yang aktif dipantau dari switch), sebuah EtherChannel (baik port atau seluruh port -antarmuka saluran) dll. Perhatikan bahwa port yang dikonfigurasi untuk tujuan SPAN TIDAK BISA menjadi bagian dari VLAN sumber SPAN.
Sesi SPAN mendukung pemantauan lalu lintas masuk (ingress SPAN), lalu lintas keluar (egress SPAN), atau lalu lintas yang mengalir di kedua arah.
- Ingress SPAN (RX) menyalin lalu lintas yang diterima oleh port sumber dan VLAN ke port tujuan. SPAN menyalin lalu lintas sebelum modifikasi apa pun (misalnya sebelum filter VACL atau ACL, QoS atau kebijakan masuk atau keluar).
- Egress SPAN (TX) menyalin lalu lintas yang dikirimkan dari port sumber dan VLAN ke port tujuan. Semua pemfilteran atau modifikasi yang relevan dengan filter VACL atau ACL, QoS atau tindakan kebijakan masuk atau keluar diambil sebelum peralihan meneruskan lalu lintas ke port tujuan SPAN.
- Ketika kata kunci keduanya digunakan, SPAN menyalin lalu lintas jaringan yang diterima dan dikirimkan oleh port sumber dan VLAN ke port tujuan.
- SPAN/RSPAN biasanya mengabaikan frame CDP, STP BPDU, VTP, DTP dan PAgP. Namun jenis lalu lintas ini dapat diteruskan jika perintah replikasi enkapsulasi dikonfigurasi.
SPAN atau SPAN Lokal
SPAN mencerminkan lalu lintas dari satu atau lebih antarmuka pada sakelar ke satu atau lebih antarmuka pada sakelar yang sama; oleh karena itu SPAN sering disebut sebagai SPAN LOKAL.
Pedoman atau batasan SPAN lokal:
- Port switch Layer 2 dan port Layer 3 dapat dikonfigurasi sebagai port sumber atau tujuan.
- Sumber dapat berupa satu atau lebih port atau VLAN, namun bukan campuran dari keduanya.
- Port trunk adalah port sumber valid yang dicampur dengan port sumber non-trunk.
- Hingga 64 port tujuan SPAN dapat dikonfigurasi pada sebuah switch.
- Saat kita mengkonfigurasi port tujuan, konfigurasi aslinya akan ditimpa. Jika konfigurasi SPAN dihapus, konfigurasi asli pada port tersebut dikembalikan.
- Saat mengkonfigurasi port tujuan, port tersebut dihapus dari bundel EtherChannel mana pun jika itu adalah bagian dari bundel tersebut. Jika itu adalah port yang dirutekan, konfigurasi tujuan SPAN akan menggantikan konfigurasi port yang dirutekan.
- Port tujuan tidak mendukung keamanan port, otentikasi 802.1x, atau VLAN pribadi.
- Sebuah port hanya dapat bertindak sebagai port tujuan untuk satu sesi SPAN.
- Port tidak dapat dikonfigurasi sebagai port tujuan jika port sumber dari sesi rentang atau bagian dari VLAN sumber.
- Antarmuka saluran port (EtherChannel) dapat dikonfigurasi sebagai port sumber tetapi bukan port tujuan untuk SPAN.
- Arah lalu lintas adalah “keduanya” secara default untuk sumber SPAN.
- Port tujuan tidak pernah berpartisipasi dalam instance spanning-tree. Tidak dapat mendukung DTP, CDP, dll. SPAN lokal menyertakan BPDU dalam lalu lintas yang dipantau, sehingga setiap BPDU yang terlihat di port tujuan disalin dari port sumber. Oleh karena itu, jangan pernah menghubungkan sakelar ke SPAN jenis ini karena dapat menyebabkan loop jaringan.
- Ketika VLAN dikonfigurasi sebagai sumber SPAN (kebanyakan disebut sebagai VSPAN) dengan opsi masuk dan keluar dikonfigurasi, meneruskan paket duplikat dari port sumber hanya jika paket dialihkan dalam VLAN yang sama. Satu salinan paket berasal dari lalu lintas masuk di port masuk, dan salinan paket lainnya berasal dari lalu lintas keluar di port keluar.
- VSPAN hanya memonitor lalu lintas yang keluar atau masuk ke port Layer 2 di VLAN.
SPAN, RSPAN, dan ERSPAN adalah teknik yang digunakan dalam jaringan untuk menangkap dan memantau lalu lintas untuk dianalisis. Berikut ini ikhtisar singkat masing-masing:
SPAN (Penganalisis Port Beralih)
- Tujuan: Digunakan untuk mencerminkan lalu lintas dari port atau VLAN tertentu pada switch ke port lain untuk pemantauan.
- Kasus Penggunaan: Ideal untuk analisis lalu lintas lokal pada satu saklar. Lalu lintas dicerminkan ke port yang ditentukan di mana penganalisis jaringan dapat menangkapnya.
RSPAN (SPAN Jarak Jauh)
- Tujuan: Memperluas kemampuan SPAN di beberapa switch dalam jaringan.
- Kasus Penggunaan: Memungkinkan pemantauan lalu lintas dari satu switch ke switch lainnya melalui link trunk. Berguna untuk skenario di mana perangkat pemantauan terletak pada saklar yang berbeda.
ERSPAN (SPAN Jarak Jauh Terenkapsulasi)
- Tujuan: Menggabungkan RSPAN dengan GRE (Generic Routing Encapsulation) untuk merangkum lalu lintas yang dicerminkan.
- Kasus Penggunaan: Memungkinkan pemantauan lalu lintas di seluruh jaringan yang dirutekan. Hal ini berguna dalam arsitektur jaringan yang kompleks di mana lalu lintas perlu ditangkap melalui segmen yang berbeda.
SPAN Jarak Jauh (RSPAN)
Remote SPAN (RSPAN) mirip dengan SPAN, tetapi mendukung port sumber, VLAN sumber, dan port tujuan pada switch yang berbeda, yang menyediakan lalu lintas pemantauan jarak jauh dari port sumber yang didistribusikan melalui beberapa switch dan memungkinkan perangkat penangkapan jaringan terpusat pada tujuan. Setiap sesi RSPAN membawa lalu lintas SPAN melalui VLAN RSPAN khusus yang ditentukan pengguna di semua switch yang berpartisipasi. VLAN ini kemudian dihubungkan ke switch lain, memungkinkan lalu lintas sesi RSPAN diangkut melalui beberapa switch dan dikirimkan ke stasiun penangkap tujuan. RSPAN terdiri dari sesi sumber RSPAN, VLAN RSPAN, dan sesi tujuan RSPAN.
Pedoman atau batasan RSPAN:
- VLAN tertentu harus dikonfigurasi untuk tujuan SPAN yang akan melintasi switch perantara melalui link trunk menuju port tujuan.
- Dapat membuat jenis sumber yang sama – setidaknya satu port atau setidaknya satu VLAN tetapi tidak bisa menjadi campuran.
- Tujuan sesi ini adalah RSPAN VLAN dan bukan satu port di switch, sehingga semua port di RSPAN VLAN akan menerima lalu lintas yang dicerminkan.
- Konfigurasikan VLAN apa pun sebagai VLAN RSPAN selama semua perangkat jaringan yang berpartisipasi mendukung konfigurasi VLAN RSPAN, dan gunakan VLAN RSPAN yang sama untuk setiap sesi RSPAN
- VTP dapat menyebarkan konfigurasi VLAN bernomor 1 hingga 1024 sebagai VLAN RSPAN, harus secara manual mengkonfigurasi VLAN bernomor lebih tinggi dari 1024 sebagai VLAN RSPAN di semua perangkat jaringan sumber, perantara, dan tujuan.
- Pembelajaran alamat MAC dinonaktifkan di RSPAN VLAN.
SPAN jarak jauh yang dienkapsulasi (ERSPAN)
SPAN jarak jauh yang dienkapsulasi (ERSPAN) menghadirkan enkapsulasi perutean generik (GRE) untuk semua lalu lintas yang ditangkap dan memungkinkannya diperluas ke seluruh domain Lapisan 3.
ERSPAN adalah amilik Ciscofitur dan hanya tersedia untuk platform Catalyst 6500, 7600, Nexus, dan ASR 1000 hingga saat ini. ASR 1000 mendukung sumber ERSPAN (pemantauan) hanya pada Fast Ethernet, Gigabit Ethernet, dan antarmuka saluran port.
Pedoman atau batasan ERSPAN:
- Sesi sumber ERSPAN tidak menyalin lalu lintas yang dienkapsulasi ERSPAN GRE dari port sumber. Setiap sesi sumber ERSPAN dapat memiliki port atau VLAN sebagai sumber, namun tidak keduanya.
- Terlepas dari ukuran MTU yang dikonfigurasi, ERSPAN membuat paket Layer 3 yang panjangnya bisa mencapai 9.202 byte. Lalu lintas ERSPAN mungkin dihilangkan oleh antarmuka mana pun di jaringan yang menerapkan ukuran MTU lebih kecil dari 9.202 byte.
- ERSPAN tidak mendukung fragmentasi paket. Bit "jangan terfragmentasi" diatur dalam header IP paket ERSPAN. Sesi tujuan ERSPAN tidak dapat menyusun kembali paket ERSPAN yang terfragmentasi.
- ID ERSPAN membedakan lalu lintas ERSPAN yang tiba di alamat IP tujuan yang sama dari berbagai sesi sumber ERSPAN yang berbeda; ID ERSPAN yang dikonfigurasi harus cocok pada perangkat sumber dan tujuan.
- Untuk port sumber atau VLAN sumber, ERSPAN dapat memantau lalu lintas masuk, keluar, atau lalu lintas masuk dan keluar. Secara default, ERSPAN memonitor semua lalu lintas, termasuk frame multicast dan Bridge Protocol Data Unit (BPDU).
- Antarmuka terowongan yang didukung sebagai port sumber untuk sesi sumber ERSPAN adalah GRE, IPinIP, SVTI, IPv6, IPv6 melalui terowongan IP, Multipoint GRE (mGRE) dan Secure Virtual Tunnel Interfaces (SVTI).
- Opsi filter VLAN tidak berfungsi dalam sesi pemantauan ERSPAN pada antarmuka WAN.
- ERSPAN pada Router Cisco ASR 1000 Series hanya mendukung antarmuka Layer 3. Antarmuka Ethernet tidak didukung di ERSPAN ketika dikonfigurasi sebagai antarmuka Layer 2.
- Ketika sesi dikonfigurasi melalui CLI konfigurasi ERSPAN, ID sesi dan jenis sesi tidak dapat diubah. Untuk mengubahnya, Anda harus terlebih dahulu menggunakan perintah konfigurasi tanpa bentuk untuk menghapus sesi dan kemudian mengkonfigurasi ulang sesi tersebut.
- Cisco IOS XE Rilis 3.4S: - Pemantauan paket terowongan yang tidak dilindungi IPsec didukung pada IPv6 dan IPv6 melalui antarmuka terowongan IP hanya ke sesi sumber ERSPAN, bukan ke sesi tujuan ERSPAN.
- Cisco IOS XE Rilis 3.5S, dukungan ditambahkan untuk jenis antarmuka WAN berikut sebagai port sumber untuk sesi sumber: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) dan Multilink PPP (kata kunci multilink, pos, dan serial ditambahkan ke perintah antarmuka sumber).
Menggunakan ERSPAN sebagai SPAN Lokal:
Untuk menggunakan ERSPAN untuk memonitor lalu lintas melalui satu atau lebih port atau VLAN di perangkat yang sama, kita harus membuat sumber ERSPAN dan sesi tujuan ERSPAN di perangkat yang sama, aliran data terjadi di dalam router, yang serupa dengan yang ada di SPAN lokal.
Faktor-faktor berikut ini berlaku saat menggunakan ERSPAN sebagai SPAN lokal:
- Kedua sesi memiliki ID ERSPAN yang sama.
- Kedua sesi memiliki alamat IP yang sama. Alamat IP ini adalah alamat IP milik router; yaitu alamat IP loopback atau alamat IP yang dikonfigurasi pada port mana pun.
| (config)# sesi monitor 10 ketik erspan-source |
| (config-mon-erspan-src)# antarmuka sumber Gig0/0/0 |
| (config-mon-erspan-src)# tujuan |
| (config-mon-erspan-src-dst)# alamat ip 10.10.10.1 |
| (config-mon-erspan-src-dst)# alamat ip asal 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Waktu posting: 28 Agustus-2024
