NetCLI

Kategoria: SPAN – Switched Port Analyzer

  • (K) Konfiguracja protokołu SPAN*

    (K) Konfiguracja protokołu SPAN*

    Local SPAN & Remote SPAN

    Konfiguracja funkcji SPAN

    (config)# monitor session numer-sesji source {interface interfejs(zakres interfejsów) / vlan vlan-ID(zakres sieci VLAN) / cpu} [rx / tx / both](both)

    Określa interfejsy lub sieci VLAN, których ruch sieciowy będzie kopiowany a następnie wysyłany do interfejsu docelowego (Monitorującego). Słowo kluczowe rx umożliwia przechwytywanie ruch wychodzącego, tx przychodzącego natomiast both przechwytuje zarówno ruch wychodzący jak i przychodzący. 
    Ruch sieciowy blokowany na podstawie listy PACL, jest nadal przechwytywany przez funkcję SPAN / RSPAN.

    (config)# monitor session numer-sesji destination interface interfejs [encapsulation replicate]

    Określa interfejs docelowy na który przysłany jest przechwycony ruch sieciowy. Dodatkowa opcja encapsulation replicate zmienia domyślne ustawienia przechwytywania ruchu sieciowego, przepuszczając cały ruch źródłowy na interfejs docelowy (Domyślnie ramki stworzone przez lokalny przełącznik nie są przechwytywane a tym samym nie dotrą do interfejsu docelowego. Do ramek tych należą wiadomości protokołu STP, VTP, CDP, LLDP czy DTP). 

    Opcjonalna konfiguracja funkcji SPAN:

    (config)# monitor session numer-sesji filter vlan vlan-ID

    Umożliwia filtrowanie monitorowanego ruchu sieciowego dla połączeń typu Trunk, względem konkretnych sieci VLAN. Jedynie określone w komendzie sieci VLAN będą monitorowane

    (config)# monitor session destination

    Nadpisuje domyślne zachowanie funkcji SPAN, RSPAN umożliwiając interfejsowi monitorującemu „Destination Port”, odpieranie jak i wysyłanie ruchu sieciowego.

    (config)# monitor session numer-sesji destination interface interfejs ingress {dot1q vlan vlan-ID / isl / untagged vlan vlan-ID}

    Określa zasadę działania interfejsu monitorującego „Destination Port” (Trunk, Access) przy aktywnej komędzie [monitor session destination].

    (config)# monitor event-trace

    Włącza funkcjonalność umożliwiającą zarządzanie przechwytywanym ruchem sieciowym.

    Konfiguracja funkcji RSPAN

    Etap pierwszy – Konfiguracja sesji źródłowej

    (config)# vlan vlan-ID

    Tworzy sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego (RSPAN VLAN).

    (config-vlan)# remote-span

    Określa funkcję VLAN-u, jako sieci przenoszącej przechwycony ruch sieciowy (RSPAN).

    (config)# monitor session numer-sesji source {interface interfejs(zakres interfejsów) / vlan vlan-ID(zakres interfejsów)} [rx / tx / both](both)

    Określa interfejsy lub sieci VLAN, których ruch sieciowy będzie kopiowany a następnie wysyłany do interfejsu docelowego (Monitorującego). Słowo kluczowe rx umożliwia przechwytywanie ruch wychodzącego, tx przychodzącego natomiast both przechwytuje zarówno ruch wychodzący jak i przychodzący. 
    Ruch sieciowy blokowany na podstawie listy PACL, jest nadal przechwytywany przez funkcję SPAN / RSPAN.

    (config)# monitor session numer-sesji destination remote vlan vlan-ID [reflector-port interfejs]

    Określa docelową sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego.

    Etap drugi – Konfiguracja sesji docelowej

    (config)# vlan vlan-ID

    Tworzy sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego (RSPAN VLAN).

    (config-vlan)# remote-span

    Określa funkcję VLAN-u, jako sieci przenoszącej przechwycony ruch sieciowy (RSPAN).

    (config)# monitor session numer-sesji source remote vlan vlan-ID

    Określa źródłową sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego.

    (config)# monitor session numer-sesji destination interface interfejs [encapsulation replicate]

    Określa interfejs docelowy na który przysłany jest przechwycony ruch sieciowy. Dodatkowa opcja encapsulation replicate zmienia domyślne ustawienia przechwytywania ruchu sieciowego, przepuszczając cały ruch źródłowy na interfejs docelowy (Domyślnie ramki stworzone przez lokalny przełącznik nie są przechwytywane a tym samym nie dotrą do interfejsu docelowego. Do ramek tych należą wiadomości protokołu STP, VTP, CDP czy DTP).  
    W przypadku funkcji RSPAN numer ID sesji nie musi być taki sam na obydwóch przełącznikach.

    Dodatkowa konfiguracja funkcji RSPAN

    (config)# monitor session numer-sesji filter vlan vlan-ID

    Umożliwia filtrowanie monitorowanego ruchu sieciowego dla połączeń typu Trunk, względem konkretnych sieci VLAN.

    (config)# monitor session destination

    Nadpisuje domyślne zachowanie funkcji SPAN, RSPAN umożliwiając interfejsowi monitorującemu „Destination Port”, odpieranie jak i wysyłanie ruchu sieciowego.

    (config)# monitor session numer-sesji destination interface interfejs ingress {dot1q vlan vlan-ID / isl / untagged vlan vlan-ID}

    Określa zasadę działania interfejsu monitorującego „Destination Port” (Trunk, Access) przy aktywnej komędzie [monitor session destination].

    (config)# monitor event-trace

    Włącza funkcjonalność umożliwiającą zarządzanie przechwytywanym ruchem sieciowym.

    Encapsulated Remote SPAN

    Konfiguracja funkcji ERSPAN

    Etap pierwszy – Konfiguracja sesji źródłowej

    (config)# monitor session numer-sesji type erspan-source

    Rozpoczyna konfigurację nowej źródłowej sesji ERSPAN.

    (config-mon-erspan-src)# source interface interfejs [rx / tx / both](both)

    Określa źródłowy interfejs sesji ERSPAN.

    (config-mon-erspan-src)# destination

    Przechodzi do poziomu konfiguracji urządzenia docelowego sesji ERSPAN.

    (config-mon-erspan-src-dst)# erspan-id ID

    Określa wartość ID dla danej sesji ERSPAN.

    (config-mon-erspan-src-dst)# ip address docelowy-adres-IP

    Określa docelowy adres IP dla danej sesji ERSPAN.

    (config-mon-erspan-src-dst)# origin ip address źródłowy-adres-IP

    Określa źródłowy adres IP dla danej sesji ERSPAN.

    (config-mon-erspan-src-dst)# no shutdown

    Aktywuje konfigurowaną sesję ERSPAN.

    Etap drugi – Konfiguracja sesji docelowej

    (config)# monitor session numer-sesji type erspan-destination

    Rozpoczyna konfigurację nowej docelowej sesji ERSPAN.

    (config-mon-erspan-dst)# destination interface interfejs

    Określa docelowy interfejs sesji ERSPAN.

    (config-mon-erspan-dst)# source

    Przechodzi do poziomu konfiguracji urządzenia źródłowego sesji ERSPAN.

    (config-mon-erspan-dst-src)# erspan-id ID

    Określa wartość ID dla danej sesji ERSPAN.

    (config-mon-erspan-dst-src)# ip address źródłowy-adres-IP

    Określa źródłowy adres IP dla danej sesji ERSPAN.

    (config-mon-erspan-dst-src)# no shutdown

    Aktywuje konfigurowaną sesję ERSPAN.

    Usuwanie sesji SPAN & RSPAN

    (config)# no monitor session {numer-sesji / range zakres-wielu-sesji}

    Usuwa sesję SPAN, RSPAN, ERSPAN.

    (config)# no monitor session numer-sesji

    Usuwa sesję SPAN, RSPAN, ERSPAN.

    (config)# no monitor session local

    Usuwa sesję RSPAN, ERSPAN.

    (config)# no monitor session remote

    Usuwa sesję RSPAN, ERSPAN.

    Export ???

     (config)# monitor capture 1 export tftp://adres-IP/ścieżka/do/pliku.pcap

    Xxx

    Komendy Show

    # show monitor

    Wyświetla informacje o konfiguracji funkcji SPAN oraz funkcji RSPAN.

    # show running-config | include monitor

    Wyświetla konfigurację funkcji SPAN oraz funkcji RSPAN.

    # show vlan remote-span

    Wyświetla aktywne sieci vlan, przenoszące ruch monitorujący RSPAN.

    Pozostałe tematy związane z protokołem SPAN

  • (Ts) Troubleshooting protokołu SPAN*

    (Ts) Troubleshooting protokołu SPAN*

    Wykorzystanie interfejsów sieciowych

    Funkcję portu źródłowego (Source Port) mogą pełnić

    • Interfejsy fizyczne (FastEthernet, GigabitEthernet …).
    • Interfejsy wirtualne (Etherchannel).
      • Monitorowanie pojedynczego interfejsu fizycznego (Należącego do grupy EtherChannel) nie jest możliwe.
      • Konfiguracja sesji SPAN winna być dokonywana względem interfejsu wirtualnego (Port-Channel).
      • Próba monitorowania pojedynczego interfejsu fizycznego, automatycznie wykluczy go z grupy EtherChannel.
    • Interfejsy należący do innej sesji SPAN & RSPAN.
    • Sieci wirtualne VLAN.
    • Połączenia współdzielone Trunk.

    Funkcję portu źródłowego (Source Port) nie mogą pełnić

    • Jednocześnie interfejsy fizyczne wraz z sieciami wirtualnymi VLAN.
    • Interfejs działający jako port docelowy dla innej sesji SPAN & RSPAN.

    Funkcję portu docelowego (Destination Port) może pełnić

    • Interfejs fizyczny (FastEthernet, GigabitEthernet …).

    Funkcję portu docelowego (Destination Port) nie może pełnić

    • Port docelowy (Destination Port) należący do innej sesji SPAN & RSPAN.
    • Interfejs źródłowy (Source Port).
    • Interfejs wirtualny (Etherchannel).

    Local SPAN & Remote SPAN

    Funkcja SPAN & RSPAN zabrania

    • Jednoczesnego monitorowania interfejsów fizycznych wraz z wirtualnymi sieciami VLAN.
    • Używania interfejsu logicznego jako interfejsu docelowego „Destination Port”.
    • Używania sieci VLAN jako obiektu docelowego „Destination Port”.
    • Używania interfejsu docelowego „Destination Port” jako interfejsu źródłowego „Source Port” dla innej sesji.
    • Używania interfejsu źródłowego „Source Port” jako interfejsu docelowego „Destination Port”.
    • Współdzielenia interfejsów docelowych „Destination Port” pomiędzy różnymi sesjami monitoringu.
    • Wykorzystywania interfejsu wirtualnego Etherchannel jako interfejsu docelowego „Destination Port”.
    Funkcja SPAN oraz RSPAN przesyła przechwycony ruch sieciowy na określony interfejs fizyczny. W tym momencie przestaję on funkcjonować jak zwykły interfejs a staje się interfejsem docelowym „Destination Port”. Blokowana jest na nim obsługa protokołu STP a dotrzeć do niego może jedynie przechwycony ruch sieciowy.
    W przypadku nadesłania na interfejs docelowy zbyt dużej ilości ruchu sieciowego, nadmiarowa ilość jest porzucana.
    • Podczas konfiguracji funkcji SPAN bądź RSPAN należy pamiętać, że docelowy interfejs monitorujący ruch sieciowy „Destination Port”, posiada ograniczoną przepustowość łącza. Tym samym przerzucanie na niego ruchu z wielu interfejsów źródłowych bądź sieci VLAN może być ponad jego możliwość, a tym samym doprowadzić do porzucania monitorowanego ruchu sieciowego. Dodatkowo należy pamiętać, aby host monitorujący ruch sieciowy, posiadał fizyczną możliwość analizy ruchu sieciowego w postaci odpowiedniej mocy procesora (CPU) oraz pamięci RAM.

    Pytania i odpowiedzi

    ? Pytanie 1: Co się stanie gdy interfejs należący do połączenie wirtualnego EtherChannel, zostanie skonfigurowany jako interfejs docelowy „Destination Port” dla funkcji SPAN?

    $ Odpowiedź 1: Interfejs zostanie usunięty z połączenia wirtualnego EtherChannel.

    Pozostałe tematy związane z protokołem SPAN

  • (T) Teoria protokołu SPAN*

    (T) Teoria protokołu SPAN*

    Local SPAN & Remote SPAN

    Nazewnictwo wykorzystywane przez funkcję SPAN & RSPAN

    • Ingress Source Port RX – Interfejs, którego ruch przychodzący jest przechwytywany przez funkcją SPAN & RSPAN.
    • Engress Source Port TX – Interfejs, którego ruch wychodzący jest przechwytywany przez funkcją SPAN & RSPAN.
    • Destination Port – Interfejs, na który przysłany jest przechwycony ruch sieciowy.
    • SPAN Session – Pojedyncza sesja umożliwiającą przechwytywanie ruchu sieciowego z interfejsów sieciowych bądź sieci VLAN „Source Port”, na jeden określony interfejs docelowy „Destination Port”. Dane przechwytywane przez sesję SPAN mogą być ukierunkowane na ruch przychodzący „Ingress Source Port”, ruch wychodzący „Engress Source Port” bądź obydwa kierunki ruchu jednocześnie (Wychodzący jak i przychodzący).
    • Source VLAN – Wirtualna sieć VLAN, której ruch sieciowy jest przechwytywany przez funkcją SPAN & RSPAN.
    • RSPAN Source Session – Sesja źródłową, której ruch sieciowy jest przechwytywany przez funkcją RSPAN.
    • RSPAN VLAN – Specjalna sieć VLAN przeznaczona do transportowania przechwyconego ruchu sieciowego, pomiędzy przełącznikiem posiadającym interfejs źródłowy „Source Port”,a przełącznikiem posiadającym interfejs docelowy „Destination Port”. Wirtualna sieć RSPAN VLAN:
      • Jest przenoszona jedynie przez połączenia Trunk-owe.
      • Może być ograniczana swoim zasięgiem, za pomocą funkcji VTP Pruning.
      • Funkcjonuje na zasadzie rozlewania „flooded” ruchu sieciowego.
      • Posiada aktywną instancję protokołu STP.
        • Ramki BPDU są wymieniane jedynie na połączeniach Trunk-owych.
        • Ruch protokołu STP jest blokowany na interfejsie docelowym „Destination Port”.
    Powyższe punkty nie dotyczą ruchu przechwyconego przez interfejs źródłowy „Source Port”.
    • RSPAN Reflector Port – Port przełącznika działający na zasadzie interfejsu Loopback dla funkcji RSPAN. Odbiera monitorowany ruch sieciowy z źródła „Source Port” by następnie przesłać go do sieci docelowej RSPAN VLAN (Niegdyś wymagany przy konfiguracji funkcji RSPAN, obecnie nie jest dostępny w nowszych wersjach systemu IOS).

    SPAN – Switch Port Analyzer

    • Powiela ruch sieciowy nadchodzący z wielu interfejsów źródłowych bądź sieci VLAN „Source Port”,kopiując go na jeden interfejs monitorujący „Destination Port” (Obydwa interfejsy muszą przynależeć do tego samego przełącznika fizycznego bądź logicznego (Stack Switching)).
    • Blokuje funkcję uczenia się adresów MAC na interfejsie docelowym „Destination Port”.

    RSPAN – Remote Switch Port Analyzer

    • Powiela ruch sieciowy nadchodzący z wielu interfejsów źródłowych bądź sieci VLAN „Source Port”,kopiując go na jeden interfejs monitorujący „Destination Port” (Obydwa interfejsy nie mogą znajdować się na tym samym fizycznym bądź logicznym przełączniku (Stack Switching)).
    • Wykorzystuje dedykowaną sieć VLAN (RSPAN VLAN) przeznaczoną do przenoszenia ruchu sieciowego pomiędzy przełącznikami (Sieć RSPAN VLAN ma zablokowaną funkcję uczenia się adresów MAC).
    • Blokuje funkcję uczenia się adresów MAC na interfejsie docelowym „Destination Port”.
    Sieć RSPAN VLAN może być dynamicznie propagowana za pomocą protokołu VTP w wersji Trzeciej.

    Cechy wspólne funkcji SPAN & RSPAN

    • Funkcja SPAN oraz RSPAN umożliwia przechwytywanie ruchu sieciowego z:
      • Interfejsu fizycznego bądź wielu interfejsów fizycznych konfigurowanego przełącznika.
      • Całej grupy portów EthernetChanel lub pojedynczego interfejsów należącego do grupy PortChanel.
      • Sieci VLAN (VSPAN „VLAN Remote Switch Port Analyzer” bądź „VLAN-based SPAN”).
      • Ruchu przychodzącego, wychodzącego jak i jednego i drugiego jednocześnie.

    Pozostałe tematy związane z protokołem SPAN