SPAN, RSPAN, dan ERSPAN adalah teknik yang digunakan dalam jaringan untuk menangkap dan memantau lalu lintas untuk analisis. Berikut ringkasan singkat masing-masing:
SPAN (Switched Port Analyzer)
Tujuan: Digunakan untuk mencerminkan lalu lintas dari port atau VLAN tertentu pada switch ke port lain untuk keperluan pemantauan.
Kasus Penggunaan: Ideal untuk analisis lalu lintas lokal pada satu switch. Lalu lintas dicerminkan ke port yang ditentukan di mana penganalisis jaringan dapat menangkapnya.
RSPAN (SPAN Jarak Jauh)
Tujuan: Memperluas kemampuan SPAN di beberapa switch dalam jaringan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas dari satu switch ke switch lain melalui tautan trunk. Berguna untuk skenario di mana perangkat pemantauan terletak pada switch yang berbeda.
ERSPAN (Encapsulated Remote SPAN)
Tujuan: Menggabungkan RSPAN dengan GRE (Generic Routing Encapsulation) untuk mengenkapsulasi lalu lintas yang dicerminkan.
Kasus Penggunaan: Memungkinkan pemantauan lalu lintas di seluruh jaringan yang dirutekan. Ini berguna dalam arsitektur jaringan yang kompleks di mana lalu lintas perlu ditangkap di berbagai segmen.
Switch Port Analyzer (SPAN) adalah sistem pemantauan lalu lintas yang efisien dan berkinerja tinggi. Sistem ini mengarahkan atau mencerminkan lalu lintas dari port sumber atau VLAN ke port tujuan. Hal ini terkadang disebut sebagai pemantauan sesi. SPAN digunakan untuk memecahkan masalah konektivitas dan menghitung pemanfaatan dan kinerja jaringan, di antara banyak kegunaan lainnya. Terdapat tiga jenis SPAN yang didukung pada produk Cisco…
a. SPAN atau SPAN lokal.
b. SPAN Jarak Jauh (RSPAN).
c. SPAN jarak jauh terenkapsulasi (ERSPAN).
Yang perlu diketahui: "Mylinking™ Network Packet Broker dengan Fitur SPAN, RSPAN, dan ERSPAN"
SPAN / pencermian lalu lintas / pencermian port digunakan untuk berbagai tujuan, beberapa di antaranya tercantum di bawah ini.
- Menerapkan IDS/IPS dalam mode promiscuous.
- Solusi perekaman panggilan VoIP.
- Alasan kepatuhan keamanan untuk memantau dan menganalisis lalu lintas.
- Memecahkan masalah koneksi, memantau lalu lintas.
Terlepas dari tipe SPAN yang dijalankan, sumber SPAN dapat berupa port apa pun, yaitu port yang dirouting, port switch fisik, port akses, trunk, VLAN (semua port aktif dipantau pada switch), EtherChannel (baik port atau seluruh antarmuka port-channel), dll. Perlu dicatat bahwa port yang dikonfigurasi untuk tujuan SPAN TIDAK DAPAT menjadi bagian dari VLAN sumber SPAN.
Sesi SPAN mendukung pemantauan lalu lintas masuk (ingress SPAN), lalu lintas keluar (egress SPAN), atau lalu lintas yang mengalir ke kedua arah.
- Ingress SPAN (RX) menyalin lalu lintas yang diterima oleh port sumber dan VLAN ke port tujuan. SPAN menyalin lalu lintas sebelum modifikasi apa pun (misalnya sebelum filter VACL atau ACL, QoS, atau pembatasan lalu lintas masuk atau keluar).
- Egress SPAN (TX) menyalin lalu lintas yang ditransmisikan dari port sumber dan VLAN ke port tujuan. Semua pemfilteran atau modifikasi yang relevan oleh filter VACL atau ACL, QoS, atau tindakan policing ingress atau egress dilakukan sebelum switch meneruskan lalu lintas ke port tujuan SPAN.
- Saat kata kunci both digunakan, SPAN menyalin lalu lintas jaringan yang diterima dan dikirim oleh port sumber dan VLAN ke port tujuan.
- SPAN/RSPAN biasanya mengabaikan frame CDP, STP BPDU, VTP, DTP, dan PAgP. Namun, jenis lalu lintas ini dapat diteruskan jika perintah replikasi enkapsulasi dikonfigurasi.
SPAN atau SPAN Lokal
SPAN mencerminkan lalu lintas dari satu atau lebih antarmuka pada switch ke satu atau lebih antarmuka pada switch yang sama; oleh karena itu SPAN sebagian besar disebut sebagai LOCAL SPAN.
Pedoman atau batasan untuk SPAN lokal:
- Baik port switch Layer 2 maupun port Layer 3 dapat dikonfigurasi sebagai port sumber atau tujuan.
- Sumbernya bisa berupa satu atau lebih port atau VLAN, tetapi tidak bisa berupa campuran dari ketiganya.
- Port trunk adalah port sumber yang valid yang bercampur dengan port sumber non-trunk.
- Hingga 64 port tujuan SPAN dapat dikonfigurasi pada sebuah switch.
- Saat kita mengkonfigurasi port tujuan, konfigurasi aslinya akan ditimpa. Jika konfigurasi SPAN dihapus, konfigurasi asli pada port tersebut akan dipulihkan.
- Saat mengkonfigurasi port tujuan, port tersebut akan dihapus dari bundel EtherChannel mana pun jika sebelumnya merupakan bagian dari bundel tersebut. Jika itu adalah port yang dirutekan, konfigurasi tujuan SPAN akan menimpa konfigurasi port yang dirutekan.
- Port tujuan tidak mendukung keamanan port, otentikasi 802.1x, atau VLAN pribadi.
- Sebuah port hanya dapat bertindak sebagai port tujuan untuk satu sesi SPAN.
- Sebuah port tidak dapat dikonfigurasi sebagai port tujuan jika port tersebut merupakan port sumber dari sesi span atau bagian dari VLAN sumber.
- Antarmuka port channel (EtherChannel) dapat dikonfigurasi sebagai port sumber tetapi bukan port tujuan untuk SPAN.
- Arah lalu lintas secara default adalah "keduanya" untuk sumber SPAN.
- Port tujuan tidak pernah berpartisipasi dalam instance spanning-tree. Tidak dapat mendukung DTP, CDP, dll. SPAN lokal menyertakan BPDU dalam lalu lintas yang dipantau, sehingga BPDU apa pun yang terlihat pada port tujuan disalin dari port sumber. Oleh karena itu, jangan pernah menghubungkan switch ke jenis SPAN ini karena dapat menyebabkan loop jaringan. Alat AI akan meningkatkan efisiensi kerja, danAI yang tidak terdeteksiLayanan ini dapat meningkatkan kualitas alat AI.
- Saat VLAN dikonfigurasi sebagai sumber SPAN (biasanya disebut VSPAN) dengan opsi ingress dan egress yang dikonfigurasi, teruskan paket duplikat dari port sumber hanya jika paket tersebut dialihkan dalam VLAN yang sama. Satu salinan paket berasal dari lalu lintas ingress pada port ingress, dan salinan paket lainnya berasal dari lalu lintas egress pada port egress.
- VSPAN hanya memantau lalu lintas yang keluar atau masuk ke port Layer 2 di VLAN.
Remote SPAN (RSPAN)
Remote SPAN (RSPAN) mirip dengan SPAN, tetapi mendukung port sumber, VLAN sumber, dan port tujuan pada switch yang berbeda, yang menyediakan pemantauan lalu lintas jarak jauh dari port sumber yang didistribusikan di beberapa switch dan memungkinkan perangkat penangkap jaringan terpusat di tujuan. Setiap sesi RSPAN membawa lalu lintas SPAN melalui VLAN RSPAN khusus yang ditentukan pengguna di semua switch yang berpartisipasi. VLAN ini kemudian di-trunking ke switch lain, memungkinkan lalu lintas sesi RSPAN untuk diangkut melintasi beberapa switch dan dikirim ke stasiun penangkap tujuan. RSPAN terdiri dari sesi sumber RSPAN, VLAN RSPAN, dan sesi tujuan RSPAN.
Pedoman atau batasan untuk RSPAN:
- VLAN khusus harus dikonfigurasi untuk tujuan SPAN yang akan melewati switch perantara melalui tautan trunk menuju port tujuan.
- Dapat membuat tipe sumber yang sama – setidaknya satu port atau setidaknya satu VLAN, tetapi tidak dapat berupa campuran keduanya.
- Tujuan sesi tersebut adalah VLAN RSPAN, bukan port tunggal di switch, sehingga semua port di VLAN RSPAN akan menerima lalu lintas yang dicerminkan.
- Konfigurasikan VLAN apa pun sebagai VLAN RSPAN selama semua perangkat jaringan yang berpartisipasi mendukung konfigurasi VLAN RSPAN, dan gunakan VLAN RSPAN yang sama untuk setiap sesi RSPAN.
- VTP dapat menyebarkan konfigurasi VLAN bernomor 1 hingga 1024 sebagai VLAN RSPAN, VLAN bernomor lebih tinggi dari 1024 harus dikonfigurasi secara manual sebagai VLAN RSPAN pada semua perangkat jaringan sumber, perantara, dan tujuan.
- Pembelajaran alamat MAC dinonaktifkan di VLAN RSPAN.
SPAN jarak jauh terenkapsulasi (ERSPAN)
Encapsulated remote SPAN (ERSPAN) menghadirkan enkapsulasi routing generik (GRE) untuk semua traffic yang ditangkap dan memungkinkannya untuk diperluas melintasi domain Layer 3.
ERSPAN adalah sebuahMilik CiscoFitur ini hanya tersedia untuk platform Catalyst 6500, 7600, Nexus, dan ASR 1000 hingga saat ini. ASR 1000 hanya mendukung sumber ERSPAN (pemantauan) pada antarmuka Fast Ethernet, Gigabit Ethernet, dan port-channel.
Pedoman atau batasan untuk ERSPAN:
- Sesi sumber ERSPAN tidak menyalin lalu lintas terenkapsulasi GRE ERSPAN dari port sumber. Setiap sesi sumber ERSPAN dapat memiliki port atau VLAN sebagai sumber, tetapi tidak keduanya.
- Terlepas dari ukuran MTU yang dikonfigurasi, ERSPAN membuat paket Layer 3 yang panjangnya bisa mencapai 9.202 byte. Lalu lintas ERSPAN mungkin akan dibuang oleh antarmuka mana pun di jaringan yang memberlakukan ukuran MTU lebih kecil dari 9.202 byte.
- ERSPAN tidak mendukung fragmentasi paket. Bit "jangan fragmentasi" diatur dalam header IP paket ERSPAN. Sesi tujuan ERSPAN tidak dapat menyusun kembali paket ERSPAN yang terfragmentasi.
- ID ERSPAN membedakan lalu lintas ERSPAN yang tiba di alamat IP tujuan yang sama dari berbagai sesi sumber ERSPAN yang berbeda; ID ERSPAN yang dikonfigurasi harus cocok pada perangkat sumber dan tujuan.
- Untuk port sumber atau VLAN sumber, ERSPAN dapat memantau lalu lintas masuk (ingress), keluar (egress), atau keduanya. Secara default, ERSPAN memantau semua lalu lintas, termasuk multicast dan frame Bridge Protocol Data Unit (BPDU).
- Antarmuka terowongan yang didukung sebagai port sumber untuk sesi sumber ERSPAN adalah GRE, IPinIP, SVTI, IPv6, terowongan IPv6 melalui IP, Multipoint GRE (mGRE) dan Secure Virtual Tunnel Interfaces (SVTI).
- Opsi filter VLAN tidak berfungsi dalam sesi pemantauan ERSPAN pada antarmuka WAN.
- ERSPAN pada router Cisco ASR 1000 Series hanya mendukung antarmuka Layer 3. Antarmuka Ethernet tidak didukung pada ERSPAN jika dikonfigurasi sebagai antarmuka Layer 2.
- Saat sesi dikonfigurasi melalui CLI konfigurasi ERSPAN, ID sesi dan tipe sesi tidak dapat diubah. Untuk mengubahnya, Anda harus terlebih dahulu menggunakan bentuk "no" dari perintah konfigurasi untuk menghapus sesi, lalu mengkonfigurasi ulang sesi tersebut.
- Cisco IOS XE Rilis 3.4S :- Pemantauan paket terowongan yang tidak dilindungi IPsec didukung pada antarmuka terowongan IPv6 dan IPv6 melalui IP hanya untuk sesi sumber ERSPAN, bukan untuk sesi tujuan ERSPAN.
- Cisco IOS XE Release 3.5S, dukungan ditambahkan untuk jenis antarmuka WAN berikut sebagai port sumber untuk sesi sumber: Serial (T1/E1, T3/E3, DS0), Packet over SONET (POS) (OC3, OC12) dan Multilink PPP (kata kunci multilink, pos, dan serial ditambahkan ke perintah antarmuka sumber).
Menggunakan ERSPAN sebagai SPAN Lokal:
Untuk menggunakan ERSPAN guna memantau lalu lintas melalui satu atau lebih port atau VLAN pada perangkat yang sama, kita harus membuat sesi sumber ERSPAN dan sesi tujuan ERSPAN pada perangkat yang sama, aliran data terjadi di dalam router, yang mirip dengan yang terjadi pada SPAN lokal.
Faktor-faktor berikut berlaku saat menggunakan ERSPAN sebagai SPAN lokal:
- Kedua sesi memiliki ID ERSPAN yang sama.
- Kedua sesi memiliki alamat IP yang sama. Alamat IP ini adalah alamat IP router itu sendiri; yaitu, alamat IP loopback atau alamat IP yang dikonfigurasi pada port mana pun.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# source interface Gig0/0/0 |
| (config-mon-erspan-src)# tujuan |
| (config-mon-erspan-src-dst)# alamat ip 10.10.10.1 |
| (config-mon-erspan-src-dst)# alamat IP asal 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
Waktu posting: 28 Agustus 2024
