SPAN وRSPAN وERSPAN هي تقنيات تُستخدم في الشبكات لالتقاط ومراقبة حركة البيانات لتحليلها. فيما يلي لمحة موجزة عن كل منها:
SPAN (محلل المنافذ المبدلة)
الغرض: يستخدم لعكس حركة المرور من منافذ أو شبكات VLAN محددة على مفتاح إلى منفذ آخر للمراقبة.
حالة الاستخدام: مثالية لتحليل حركة المرور المحلية على مفتاح واحد. تُنقل حركة المرور إلى منفذ مُحدد حيث يمكن لمحلل الشبكة التقاطها.
RSPAN (SPAN عن بعد)
الغرض: توسيع قدرات SPAN عبر مفاتيح متعددة في الشبكة.
حالة الاستخدام: يسمح بمراقبة حركة المرور من مفتاح إلى آخر عبر رابط رئيسي. مفيد في الحالات التي يكون فيها جهاز المراقبة موجودًا على مفتاح مختلف.
ERSPAN (شبكة SPAN البعيدة المُغلَّفة)
الغرض: دمج RSPAN مع GRE (تغليف التوجيه العام) لتغليف حركة المرور المتطابقة.
حالة الاستخدام: يسمح بمراقبة حركة المرور عبر الشبكات المُوجَّهة. يُعد هذا مفيدًا في بنى الشبكات المعقدة حيث يلزم التقاط حركة المرور عبر قطاعات مختلفة.
محلل منافذ التبديل (SPAN) هو نظام مراقبة حركة مرور فعال وعالي الأداء. يوجه أو يعكس حركة المرور من منفذ المصدر أو شبكة VLAN إلى منفذ الوجهة. يُشار إلى ذلك أحيانًا بمراقبة الجلسة. يُستخدم SPAN لاستكشاف أخطاء الاتصال وحساب استخدام الشبكة وأدائها، من بين العديد من الاستخدامات الأخرى. تدعم منتجات Cisco ثلاثة أنواع من SPANs...
أ. SPAN أو SPAN المحلي.
ب. شبكة SPAN البعيدة (RSPAN).
ج. شبكة SPAN البعيدة المُغلَّفة (ERSPAN).
لمعرفة: "وسيط حزم الشبكة Mylinking™ مع ميزات SPAN وRSPAN وERSPAN"
يتم استخدام SPAN / مرآة حركة المرور / مرآة المنفذ للعديد من الأغراض، فيما يلي بعض منها.
- تنفيذ IDS/IPS في الوضع المختلط.
- حلول تسجيل المكالمات VOIP.
- أسباب الامتثال الأمني لمراقبة وتحليل حركة المرور.
- استكشاف مشكلات الاتصال، ومراقبة حركة المرور.
بغض النظر عن نوع SPAN قيد التشغيل، يمكن أن يكون مصدر SPAN أي نوع من المنافذ، أي منفذ موجه، أو منفذ تبديل فعلي، أو منفذ وصول، أو جذع، أو VLAN (يتم مراقبة جميع المنافذ النشطة بواسطة التبديل)، أو EtherChannel (إما منفذ أو واجهات قناة منفذ كاملة) وما إلى ذلك. لاحظ أن المنفذ الذي تم تكوينه لوجهة SPAN لا يمكن أن يكون جزءًا من VLAN مصدر SPAN.
تدعم جلسات SPAN مراقبة حركة المرور الواردة (SPAN الواردة)، أو حركة المرور الخارجة (SPAN الخارجة)، أو حركة المرور المتدفقة في كلا الاتجاهين.
ينسخ بروتوكول SPAN للدخول (RX) البيانات المستلمة من منافذ المصدر وشبكات VLAN إلى منفذ الوجهة. ينسخ SPAN البيانات قبل أي تعديل (على سبيل المثال، قبل أي مرشح VACL أو ACL، أو جودة الخدمة، أو مراقبة الدخول والخروج).
ينسخ بروتوكول Egress SPAN (TX) حركة البيانات المرسلة من منافذ المصدر وشبكات VLAN إلى منفذ الوجهة. تُنفَّذ جميع عمليات التصفية أو التعديلات ذات الصلة بواسطة مرشح VACL أو ACL، أو جودة الخدمة، أو إجراءات مراقبة الدخول والخروج قبل أن يُعيد المُبدِّل توجيه حركة البيانات إلى منفذ الوجهة SPAN.
- عند استخدام الكلمة الأساسية both، يقوم SPAN بنسخ حركة المرور على الشبكة المستلمة والمرسلة من المنافذ المصدر وشبكات VLAN إلى المنفذ الوجهة.
عادةً ما يتجاهل SPAN/RSPAN إطارات CDP وSTP BPDU وVTP وDTP وPAgP. مع ذلك، يُمكن إعادة توجيه أنواع البيانات هذه إذا تم تكوين أمر تكرار التغليف.
SPAN أو SPAN المحلي
تعكس شبكة SPAN حركة المرور من واجهة واحدة أو أكثر على المفتاح إلى واجهة واحدة أو أكثر على نفس المفتاح؛ ومن ثم يشار إلى شبكة SPAN في الغالب باسم LOCAL SPAN.
المبادئ التوجيهية أو القيود المفروضة على SPAN المحلية:
- يمكن تكوين كل من المنافذ المحولة من الطبقة 2 ومنافذ الطبقة 3 كمنافذ مصدر أو وجهة.
- يمكن أن يكون المصدر إما منفذًا واحدًا أو أكثر أو شبكة VLAN، ولكن ليس مزيجًا منها.
- المنافذ الرئيسية هي منافذ مصدر صالحة مختلطة مع منافذ مصدر غير رئيسية.
- يمكن تكوين ما يصل إلى 64 منفذ وجهة SPAN على مفتاح.
عند تكوين منفذ وجهة، يُستبدل تكوينه الأصلي. إذا تمت إزالة تكوين SPAN، فسيتم استعادة التكوين الأصلي على هذا المنفذ.
عند تكوين منفذ وجهة، يُزال المنفذ من أي حزمة EtherChannel إذا كان جزءًا منها. أما إذا كان منفذًا مُوجَّهًا، فإن تكوين وجهة SPAN يُلغي تكوين المنفذ المُوجَّه.
- لا تدعم منافذ الوجهة أمان المنفذ، أو مصادقة 802.1x، أو شبكات VLAN الخاصة.
- يمكن للمنفذ أن يعمل كمنفذ وجهة لجلسة SPAN واحدة فقط.
- لا يمكن تكوين المنفذ كمنفذ وجهة إذا كان منفذ مصدر لجلسة ممتدة أو جزءًا من شبكة VLAN المصدر.
- يمكن تكوين واجهات قناة المنفذ (EtherChannel) كمنافذ مصدر ولكن ليس كمنفذ وجهة لـ SPAN.
- اتجاه حركة المرور هو "كلاهما" بشكل افتراضي لمصادر SPAN.
لا تشارك منافذ الوجهة مطلقًا في مثيلات شجرة الامتداد. لا تدعم بروتوكولات DTP وCDP وما إلى ذلك. يتضمن SPAN المحلي وحدات BPDU في حركة المرور المُراقَبة، لذا تُنسخ أي وحدات BPDU تظهر على منفذ الوجهة من منفذ المصدر. لذا، لا تُوصِل مُبدِّلًا بهذا النوع من SPAN أبدًا، فقد يُسبب حلقة شبكية. تُحسّن أدوات الذكاء الاصطناعي كفاءة العمل.الذكاء الاصطناعي غير القابل للكشفيمكن أن تعمل الخدمة على تحسين جودة أدوات الذكاء الاصطناعي.
عند تكوين شبكة VLAN كمصدر SPAN (يُشار إليها عادةً باسم VSPAN) مع ضبط خياري الدخول والخروج، لا تُرسَل الحزم المكررة من منفذ المصدر إلا إذا تم تبديل الحزم في شبكة VLAN نفسها. تكون إحدى نسخ الحزمة من حركة المرور الداخلة على منفذ الدخول، والنسخة الأخرى من حركة المرور الخارجة على منفذ الخروج.
- تقوم VSPAN فقط بمراقبة حركة المرور التي تغادر أو تدخل منافذ الطبقة 2 في شبكة VLAN.
شبكة SPAN البعيدة (RSPAN)
شبكة SPAN البعيدة (RSPAN) تشبه SPAN، إلا أنها تدعم منافذ المصدر، وشبكات VLAN المصدر، ومنافذ الوجهة على مفاتيح مختلفة، مما يوفر مراقبة عن بُعد لحركة المرور من منافذ المصدر الموزعة على مفاتيح متعددة، ويسمح لأجهزة التقاط الشبكة المركزية للوجهة. تنقل كل جلسة RSPAN حركة مرور SPAN عبر شبكة VLAN RSPAN مخصصة يحددها المستخدم في جميع المفاتيح المشاركة. ثم يتم ربط هذه الشبكة بمفاتيح أخرى، مما يسمح بنقل حركة مرور جلسة RSPAN عبر مفاتيح متعددة وتوصيلها إلى محطة التقاط الوجهة. تتكون RSPAN من جلسة مصدر RSPAN، وشبكة VLAN RSPAN، وجلسة وجهة RSPAN.
المبادئ التوجيهية أو القيود المفروضة على RSPAN:
- يجب تكوين شبكة VLAN محددة لوجهة SPAN والتي ستنتقل عبر المفاتيح الوسيطة عبر روابط الجذع نحو منفذ الوجهة.
- يمكن إنشاء نفس نوع المصدر - منفذ واحد على الأقل أو شبكة VLAN واحدة على الأقل ولكن لا يمكن أن يكون مزيجًا.
- وجهة الجلسة هي RSPAN VLAN وليس المنفذ الوحيد في المفتاح، وبالتالي ستستقبل جميع المنافذ في RSPAN VLAN حركة المرور المعكوسة.
- تكوين أي شبكة VLAN كشبكة VLAN لـ RSPAN طالما أن جميع أجهزة الشبكة المشاركة تدعم تكوين شبكات VLAN لـ RSPAN، واستخدام نفس شبكة VLAN لـ RSPAN لكل جلسة RSPAN
- يمكن لـ VTP نشر تكوين شبكات VLAN المرقمة من 1 إلى 1024 كشبكات VLAN RSPAN، ويجب تكوين شبكات VLAN المرقمة من 1024 يدويًا كشبكات VLAN RSPAN على جميع أجهزة الشبكة المصدر والوسيطة والوجهة.
- تم تعطيل تعلم عنوان MAC في RSPAN VLAN.
شبكة SPAN البعيدة المُغلَّفة (ERSPAN)
يوفر SPAN البعيد المغلف (ERSPAN) تغليف التوجيه العام (GRE) لجميع حركة المرور الملتقطة ويسمح بتمديدها عبر نطاقات الطبقة 3.
ERSPAN هيملكية سيسكوهذه الميزة متاحة فقط لمنصات Catalyst 6500 و7600 وNexus وASR 1000 حتى الآن. يدعم ASR 1000 مصدر ERSPAN (المراقبة) فقط على Fast Ethernet وGigabit Ethernet وواجهات المنافذ والقنوات.
المبادئ التوجيهية أو القيود المفروضة على ERSPAN:
لا تنسخ جلسات مصدر ERSPAN حركة البيانات المُغلّفة بـ ERSPAN GRE من منافذ المصدر. يمكن لكل جلسة مصدر ERSPAN أن تحتوي على منافذ أو شبكات VLAN كمصدر، ولكن ليس كليهما.
بغض النظر عن حجم وحدة نقل البيانات القصوى (MTU) المُهيأ، يُنشئ ERSPAN حزم بيانات من الطبقة الثالثة يصل طولها إلى 9202 بايت. قد تُقطع حركة مرور ERSPAN بواسطة أي واجهة في الشبكة تفرض حجم وحدة نقل بيانات قصوى أقل من 9202 بايت.
لا يدعم بروتوكول ERSPAN تجزئة الحزم. تم ضبط بت "عدم التجزئة" في عنوان IP لحزم ERSPAN. لا يمكن لجلسات الوجهة في ERSPAN إعادة تجميع حزم ERSPAN المجزأة.
- يميز معرف ERSPAN حركة مرور ERSPAN التي تصل إلى نفس عنوان IP الوجهة من جلسات مصدر ERSPAN المختلفة؛ يجب أن يتطابق معرف ERSPAN الذي تم تكوينه على أجهزة المصدر والوجهة.
بالنسبة لمنفذ المصدر أو شبكة VLAN المصدر، يُمكن لـ ERSPAN مراقبة حركة المرور الداخلة والخارجة، أو كليهما. افتراضيًا، يُراقب ERSPAN جميع حركة المرور، بما في ذلك إطارات البث المتعدد ووحدة بيانات بروتوكول الجسر (BPDU).
- واجهة النفق المدعومة كمنافذ مصدر لجلسة مصدر ERSPAN هي GRE و IPinIP و SVTI و IPv6 و IPv6 عبر نفق IP و Multipoint GRE (mGRE) و Secure Virtual Tunnel Interfaces (SVTI).
- خيار مرشح VLAN غير وظيفي في جلسة مراقبة ERSPAN على واجهات WAN.
يدعم ERSPAN على أجهزة توجيه Cisco ASR 1000 Series واجهات الطبقة 3 فقط. لا يدعم ERSPAN واجهات Ethernet عند تكوينه كواجهات الطبقة 2.
عند تكوين جلسة عبر واجهة سطر أوامر ERSPAN، لا يمكن تغيير معرف الجلسة ونوعها. لتغييرهما، يجب عليك أولاً استخدام صيغة "no" من أمر التكوين لإزالة الجلسة، ثم إعادة تكوينها.
- إصدار Cisco IOS XE 3.4S: - يتم دعم مراقبة حزم الأنفاق غير المحمية بـ IPsec على IPv6 وIPv6 عبر واجهات نفق IP فقط لجلسات مصدر ERSPAN، وليس لجلسات وجهة ERSPAN.
- إصدار Cisco IOS XE 3.5S، تمت إضافة الدعم لأنواع واجهات WAN التالية كمنافذ مصدر لجلسة المصدر: Serial (T1/E1، T3/E3، DS0)، Packet over SONET (POS) (OC3، OC12) وMultilink PPP (تمت إضافة الكلمات الرئيسية multilink وpos وserial إلى أمر واجهة المصدر).
استخدام ERSPAN كـ SPAN محلي:
لاستخدام ERSPAN لمراقبة حركة المرور عبر منفذ واحد أو أكثر أو شبكات VLAN في نفس الجهاز، يتعين علينا إنشاء جلسات مصدر ERSPAN ووجهة ERSPAN في نفس الجهاز، ويحدث تدفق البيانات داخل جهاز التوجيه، وهو مشابه لما هو موجود في SPAN المحلي.
العوامل التالية قابلة للتطبيق أثناء استخدام ERSPAN كشبكة محلية SPAN:
- كلتا الجلستين لهما نفس معرف ERSPAN.
كلا الجلستين لهما نفس عنوان IP. هذا العنوان هو عنوان IP الخاص بالموجه، أي عنوان IP الخاص بالحلقة الراجعة أو عنوان IP المُهيأ على أي منفذ.
| (config)# مراقبة الجلسة 10 نوع erspan-source |
| (config-mon-erspan-src)# واجهة المصدر Gig0/0/0 |
| (config-mon-erspan-src)# الوجهة |
| (config-mon-erspan-src-dst)# عنوان IP 10.10.10.1 |
| (config-mon-erspan-src-dst)# عنوان IP الأصلي 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
وقت النشر: ٢٨ أغسطس ٢٠٢٤
