Span switch port что это такое

Обновлено: 21.11.2024

Switch Port Analyzer (SPAN) — это специальный инструмент для коммутатора, который копирует кадры Ethernet, проходящие через порты коммутатора, и отправляет эти кадры на определенный порт. Сам коммутатор не анализирует эти скопированные кадры, он отправляет кадры с определенного порта на сетевой анализатор. Сетевой анализатор может быть аппаратным устройством специальной сборки или приложением, работающим на хосте. Анализ этих кадров выполняется для устранения неполадок в сети. Иногда также выполняется анализ фрейма, чтобы извлечь содержимое фрейма и найти любое вредоносное содержимое, скрытое внутри фрейма.

На самом деле, вы также можете установить на свой ПК сетевой анализатор (например, сетевой анализатор Wireshark) и начать анализировать кадры Ethernet и кадры 802.11 из сетевых адаптеров Ethernet и беспроводных сетевых адаптеров соответственно.

Работа Span:
Рассмотрите приведенный ниже рисунок, содержащий коммутатор, сервер, ПК и сетевой анализатор. До настройки SPAN на коммутаторе кадры обычно передаются с ПК на сервер и наоборот. Но после настройки SPAN на коммутаторе коммутатор начинает копировать кадры, проходящие через его порты, и отправлять их в сетевой анализатор.

Рисунок – Копирование и пересылка кадров в SPAN

Коммутатор копирует кадры после передачи кадров из порта и затем отправляет их в сетевой анализатор. Правило «с каких портов копировать кадры и куда отправлять скопированные кадры» определяется в сеансе SPAN. Вы можете определить несколько сеансов SPAN на коммутаторе.

В сеансе SPAN может быть несколько исходных портов, но только один порт назначения. Порт, из которого копируются кадры, называется исходным портом, а порт, из которого отправляются скопированные кадры, называется портом назначения. Сеанс SPAN может быть определен на портах для трафика, проходящего в обоих направлениях или в одном направлении. Сессия span также может быть определена в VLAN, тогда коммутатор будет копировать кадры со всех портов в этой vlan. Но вы не можете определить сеанс, содержащий и порты, и вланы. Сеанс Span должен содержать либо только порты, либо только виртуальные локальные сети.

Удаленный SPAN и инкапсулированный удаленный SPAN:
Рассмотрите ситуацию, если порт назначения отсутствует на коммутаторе, где настроен диапазон. Cisco предлагает два решения этой проблемы: RSPAN и ERSPAN.

RSPAN использует vlan для инкапсуляции кадров в заголовок кадра 802.1Q (заголовок, определяющий принадлежность кадра к конкретной vlan) и отправки его по сети. ERSPAN применим на коммутаторах уровня 3, он инкапсулирует трафик соединения в туннеле GRE и перенаправляет трафик в сеть.

Сетевой TAP (тестовая точка доступа) и SPAN (зеркалирование портов) — два наиболее распространенных метода доступа к сетевому трафику, используемых для мониторинга данных и анализа безопасности. Есть ли разница? Да, есть существенные отличия, влияющие на целостность анализируемого трафика, а также на производительность сетевых инструментов. На этой странице обсуждаются различия обоих вариантов в отношении мониторинга сети.

"SPAN могут увеличить нагрузку на сетевое устройство, и этот SPAN-порт часто будет отбрасывать зеркальные пакеты, если устройство будет слишком занято. Поэтому TAP - лучший вариант". -EMA [Enterprise Management Associates]

Сетевой TAP [Проверка точки доступа]

Сетевые TAP — это специально созданные аппаратные устройства, которые размещаются в сегменте сети между двумя устройствами (маршрутизатором, коммутатором или брандмауэром) и позволяют вам получать доступ к сетевому трафику и отслеживать его. TAP одновременно передают потоки данных отправки и приема по отдельным выделенным каналам, обеспечивая поступление всех данных на устройство мониторинга или безопасности в режиме реального времени.

• Сделать 100% полнодуплексную копию сетевого трафика без изменения данных.

• Разработан для поддержки 10 М/100 М/1 / 10 / 40 / 100 / 400 Гбит/с.

• Масштабируемы и могут предоставлять единую копию, несколько копий (регенерация) или консолидировать трафик (агрегация) для максимального увеличения производительности ваших инструментов мониторинга.

• Утверждено судом. TAP предоставляет криминалистически обоснованные данные/доказательства того, что собранные данные на 100 % точны с привязкой ко времени.

• Не изменяйте временные отношения кадров. Интервал и время отклика особенно важны при анализе VoIP и Triple Play, включая анализ FDX.

• Волоконно-оптические ответвители на 100 % пассивны и не имеют питания.

• Не имеют IP-адреса, MAC-адреса и не могут быть взломаны.

SPAN [Анализатор портов коммутатора]

Зеркалирование портов, также известное как SPAN (анализатор портов коммутатора), представляет собой назначенные порты на сетевом устройстве (коммутаторе), которые запрограммированы на отправку копии сетевых пакетов, обнаруженных на одном порту (или всей VLAN), на другой порт, где пакеты могут быть проанализированы.

Наблюдаемость за сетью — ключевая часть системного администрирования. Независимо от направления вашей деятельности и количества пользователей, вам необходимо знать, что происходит в вашей сети. Есть ряд веских причин инвестировать в лучшую наблюдаемость сети. Если и когда вы столкнетесь с сбоем в сети, высококачественная наблюдаемость означает, что вы сможете быстрее диагностировать проблему. Наблюдаемость за сетью дает вам инструмент для обнаружения злоумышленников в вашей среде. Регулярная проверка сетевого трафика может даже помочь вам выявить узкие места в сети и улучшить повседневную работу конечных пользователей в вашей сети.

В этом посте мы поговорим об одном из самых популярных способов наблюдения за сетью: зеркалировании портов. Мы углубимся в то, что это такое, как оно работает, чем оно хорошо, а также недостатки, а также рекомендации по использованию зеркалирования портов.

Что такое зеркалирование портов?

Идея зеркалирования портов довольно проста. При настройке коммутатора вы резервируете один порт. Затем вы настраиваете коммутатор на «зеркалирование» всего трафика, проходящего через этот зарезервированный порт. Всякий раз, когда коммутатор обрабатывает пакет, он делает копию и отправляет ее тому, кто подключен к вышеупомянутому порту. Обычно это какая-то выделенная система, настроенная для мониторинга трафика на этом коммутаторе. SPAN (Switched Port Analyzer) — это специфический для Cisco способ обработки зеркалирования портов. Для целей нашего обсуждения мы можем использовать эти термины как взаимозаменяемые, но вы должны помнить, что каждый сетевой поставщик предоставляет какой-либо вид зеркалирования портов.

Типы конфигураций SPAN

При изучении конфигураций SPAN важно понимать, что они могут, а что нет. Во-первых, они не могут сообщить вам о каком-либо трафике, который не проходит через коммутатор, который вы настраиваете. Это просто имеет смысл, верно? При настройке SPAN также важно понимать, как сетевой трафик проходит через вашу сеть. Если вы настроите SPAN на неправильном коммутаторе в вашей топографии, вы получите недостающие пакеты, которые хотите видеть. К счастью, конкретные реализации SPAN не означают, что вы ограничены одним физическим коммутатором.

Если топология вашей сети охватывает несколько коммутаторов, SPAN поможет вам. Существует два варианта SPAN, которые эффективно работают с распределенными средами: RSPAN и ERSPAN.

RSPAN

RSPAN берет нашу предыдущую конфигурацию SPAN и работает через выделенный туннель VLAN. Трафик, идущий от одного коммутатора к другому, движется по выделенному туннелю. При настройке коммутатора вы выделяете VLAN (один или несколько портов) в качестве RSPAN VLAN. Теперь весь трафик, проходящий через коммутаторы внутри этого туннеля, будет копироваться в RSPAN VLAN. Как и в традиционной конфигурации SPAN, коммутатор копирует весь трафик. Важно знать о RSPAN, что все задействованные коммутаторы должны находиться в одной физической сети. RSPAN — это конфигурация второго уровня OSI. Он не поддерживает маршрутизацию трафика через уровень 3.

ЕРСПАН

Если вы прочитали предыдущий абзац, то, вероятно, догадались, почему существует ERSPAN. В то время как RSPAN поддерживает только маршрутизацию уровня 2, ERSPAN поддерживает уровень 3. Когда вы включаете ERSPAN, вы получаете возможность маршрутизировать зеркальный трафик по нескольким физическим сетям. Это дает реальную выгоду для организаций с несколькими географически распределенными сетевыми средами. К сожалению, ERSPAN является проприетарной функцией Cisco. Он доступен только на определенных моделях. Эти ограничения лишают многих вариантов выбора, если ERSPAN нужна вашей команде.

Что хорошо делает зеркалирование портов?

Начнем с самого очевидного преимущества зеркалирования портов: эта функция доступна на вашем коммутаторе.

Начнем с самого очевидного преимущества зеркалирования портов: эта функция доступна на вашем коммутаторе. По сравнению с чем-то вроде сетевого крана, зеркалирование портов легко и дешево настроить. Вам не нужно дополнительное оборудование. Это делает зеркалирование портов особенно ценным, когда конфигурация вашей сети ограничена физическим пространством или когда вам может потребоваться только мониторинг VLAN в течение короткого периода времени. Вместо того, чтобы заходить в клетку и физически устанавливать или удалять оборудование, вам просто нужно изменить конфигурацию коммутатора.Эта простота настройки и отсутствие первоначальных затрат делают зеркалирование портов привлекательным предложением для организаций, которые делают первые шаги к наблюдению за сетью.

Дополнительным бонусом является то, что зеркалирование портов фактически невидимо в вашей сети. Если вы вводите выделенный сетевой ответвитель, это еще одно устройство, которое вам нужно обслуживать и поддерживать. Хотя выделенные сетевые ответвители редко выходят из строя, они все же являются потенциальной точкой отказа. Включение зеркалирования портов на коммутаторе снижает вероятность его сбоя по сравнению с любым другим коммутатором. И, как уже отмечалось, зеркалирование портов работает на нескольких коммутаторах. Такое устройство, как сетевой ответвитель, требует установки, подключенного к каждому коммутатору, который вы хотите контролировать. Но на сегодняшний день самым большим преимуществом зеркалирования портов является то, что его очень просто и быстро настроить.

Что плохо делает зеркалирование портов?

Хотя зеркалирование портов дешевле и быстрее настраивается, оно имеет некоторые существенные недостатки. Наиболее важным является то, что коммутатор будет относиться к зеркальному трафику как к более низкому приоритету. Несмотря на то, что накладные расходы ЦП на копирование любого отдельного пакета и зеркалирование его на порт или VLAN невелики, эти затраты складываются. Таким образом, коммутатор обрабатывает каждый зеркальный пакет как более низкий приоритет, чем обычный сетевой трафик. В периоды низкого и среднего трафика это не имеет большого значения. Коммутатор хорошо справляется как с обычным трафиком, так и с зеркальным трафиком. Однако, когда поток трафика загружается, все может стать волосатым. Коммутатор сначала отбрасывает зеркальные пакеты. Это означает, что вы, скорее всего, потеряете некоторую часть наблюдения за сетью в то время, когда вам это нужно больше всего.

Кроме того, пониженный приоритет зеркальных пакетов затрудняет достижение некоторых целей в области наблюдения за сетью. Например, если ваши цели наблюдения за сетью включают в себя такие вещи, как уменьшение сетевого дрожания или задержки, зеркалирование портов может не подойти для ваших целей. Это связано с тем, что задержка с доставкой зеркальных пакетов может затруднить обнаружение и устранение этих срочных проблем.

Еще один недостаток зеркалирования портов заключается в том, что для него требуются ресурсы на физических или виртуальных устройствах. Это может быть дорогостоящим с точки зрения аппаратного и (в случае коммерческих решений) лицензирования программного обеспечения. В результате в большинстве случаев развертывание форм зеркалирования портов в выбранных точках сети оправдано только с финансовой точки зрения.

Удобная для облачных вычислений и масштабируемая модель сочетает в себе развертывание облегченных агентов мониторинга на хосте, которые экспортируют статистику перехвата пакетов, собранную на серверах и прокси-серверах с открытым исходным кодом.

Рекомендации по зеркалированию портов

Если вы впервые приступаете к зеркалированию портов, вот несколько рекомендаций, о которых следует помнить:

• Знай свое окружение. Вам нужно знать, где проходит трафик, чтобы убедиться, что вы подключаете свой SPAN-порт к правильному коммутатору.
• Сосредоточьтесь на фильтрации. Из-за недостатков SPAN-порта вам следует убедиться, что вы не перехватываете трафик.
• Проверьте свои журналы. Наблюдаемость за сетью важна, но вы не принесете себе никакой пользы, если никогда не просматриваете трафик, который захватываете.
• Не переусердствуйте. Каждый захваченный вами пакет нужно фильтровать или анализировать. Поймите, что вы ищете, и старайтесь собирать только тот трафик, который вам нужен.

Один инструмент в наборе инструментов

Зеркальное отображение портов — это отличный недорогой вариант подключения к источнику сетевой телеметрии. Особенно, если вы только начинаете свой путь к высококачественному наблюдению за сетью, его легко настроить и включить сразу же. Нет больших первоначальных затрат, и включить зеркалирование портов — это то, что вы можете сделать на своем существующем оборудовании уже сегодня. Это не значит, что вы должны просто прыгать обеими ногами. Прежде чем приступить к работе, вы хотите хорошо понять, как проходит ваш сетевой трафик. Откуда у вас самый критический трафик? Куда это идет? Как только вы ответите на эти вопросы, вам будет проще понять, где настроить зеркалирование портов в существующей сети.

Кроме того, очень важно понимать, что зеркалирование портов — это не панацея. Как мы уже отмечали, хотя у него есть некоторые реальные преимущества, у него также есть и некоторые реальные недостатки. Учитывая это, вы хотите использовать зеркалирование портов только как один из инструментов в вашем наборе инструментов. Если ваша сеть не очень маленькая, не ожидайте, что настройка зеркалирования портов решит все ваши проблемы. Вы не можете просто установить его и забыть. Хорошие сети, как и сады, требуют ухода и обслуживания, чтобы процветать. Если вы хотите узнать, как ухаживать за своей сетью, чтобы она всегда работала наилучшим образом, мы будем рады показать вам, как мы можем вам помочь.

Доступ к данным в движении вплоть до уровня пакетов — это первый шаг к обеспечению видимости сети, поскольку ничто другое не обеспечивает такого же уровня глубины и детализации. Двумя наиболее распространенными методами извлечения этой информации являются технологии SPAN и сетевых портов TAP. Но когда дело доходит до TAP vs.Порты SPAN, как вы решаете, какой из них использовать в данной ситуации?

Основные технологии TAP и SPAN

Сетевой TAP (тестовая точка доступа) – это простое устройство, которое напрямую подключается к кабельной инфраструктуре. Вместо двух коммутаторов или маршрутизаторов, подключающихся напрямую друг к другу, сетевой TAP находится между двумя устройствами, и все данные проходят через TAP. Используя внутренний разветвитель, TAP создает копию данных для мониторинга, в то время как исходные данные беспрепятственно передаются по сети

Как видно на рисунке 1, данные из сети передаются (Tx) от устройства A к получению (Rx) устройством B. В то же время данные могут перемещаться в обратном направлении, когда устройство B передает данные на устройство. A. Большинство TAP отдельно копируют сигналы передачи от A и B и отправляют их на отдельные порты мониторинга (TxA и TxB).

Рисунок 1. Блок-схема TAP

Этот метод гарантирует, что каждый пакет любого размера будет скопирован, и исключает возможность переподписки. После прослушивания данных дубликат можно использовать для любого вида мониторинга, безопасности или анализа.

Обратите внимание, что для вставки TAP в существующую сетевую ссылку требуется кратковременное отключение кабеля, поэтому TAP обычно устанавливаются во время периода обслуживания.

SPAN

Порт SPAN (иногда называемый зеркальным портом) — это программная функция, встроенная в коммутатор или маршрутизатор, которая создает копию выбранных пакетов, проходящих через устройство, и отправляет их на указанный порт SPAN. Используя программное обеспечение, администратор может легко настроить или изменить данные, подлежащие мониторингу. Поскольку основной целью коммутатора или маршрутизатора является пересылка производственных пакетов, данные SPAN имеют более низкий приоритет на устройстве. Кроме того, SPAN использует один выходной порт для объединения нескольких каналов, поэтому его количество может быть превышено.

Рисунок 2. Почему количество SPAN-портов легко переполняется

Оба случая могут привести к потере пакетов. SPAN лучше всего подходят для оперативного мониторинга небольших объемов данных в местах, где TAP не установлены. SPAN по-прежнему представляют собой единственные средства для доступа к некоторым типам данных, например, данные, передаваемые от порта к порту на одном и том же коммутаторе.

TAP и SPAN: почему сетевые TAP предпочтительнее, чем SPAN-порты

В современных высокоскоростных сетях рекомендуется использовать сетевые TAP. Вот почему:

<р>1. TAP создают точную копию двунаправленного сетевого трафика на полной скорости линии, обеспечивая полную достоверность для сетевого мониторинга, аналитики и безопасности.

<р>2. Пассивные TAP обеспечивают непрерывный доступ к трафику и не требуют вмешательства пользователя или настройки после установки — настоящее решение «установил и забыл».

<р>3. Количество портов SPAN легко превышается, что приводит к отбрасыванию пакетов и неудовлетворительным или противоречивым результатам для целей мониторинга и безопасности.

<р>4. Трафик SPAN имеет самый низкий приоритет при пересылке и может не достигать полной скорости линии. В некоторых ситуациях низкий приоритет может привести к отбрасыванию пакетов даже на SPAN-порте, работающем с одноразрядным использованием.

<р>5. Приложение SPAN может отрицательно сказаться на производительности самого коммутатора, иногда влияя на сетевой трафик.

<р>6. Поскольку трафик SPAN легко перенастроить, выходные данные SPAN могут меняться изо дня в день или от часа к часу, что приводит к противоречивым отчетам.

<р>7. Правовые нормы или корпоративное соответствие иногда требуют, чтобы весь трафик для определенного сегмента контролировался. Это может быть гарантировано только с помощью TAP.

<р>8. Известно, что неправильно настроенные SPAN-порты влияют на производительность сети или даже вызывают сбои в работе сети.

<р>9. Количество портов SPAN ограничено по сравнению с количеством портов, которые могут требовать мониторинга, и они потребляют порты, которые в противном случае могли бы передавать рабочий трафик.

<р>10. TAP не волнует, какой протокол передается в трафике, IPv4 или IPv6. Весь трафик проходит через пассивный TAP, включая пакеты с ошибками. Активные TAP обычно блокируют ошибки, но пересылают все остальное.

Суть в том, что TAP следует использовать везде, где требуется 100-процентная видимость и достоверность трафика. В любое время, когда объемы трафика от умеренных до высоких, развертывайте сетевые TAP. Лучше всего устанавливать TAP на ранней стадии проектирования и передавать трафик непосредственно на узел видимости Gigamon. Даже если трафик еще не требуется для ежедневной проверки, он будет доступен для оперативного устранения неполадок или проверки безопасности в течение нескольких секунд и без необходимости участия в управлении изменениями.

Когда использовать SPAN-порты

Бывают ситуации, когда TAP нецелесообразен. Рассмотрите возможность использования портов SPAN для следующих исключений:

• Ограниченный специальный мониторинг в местах с возможностями SPAN, где в настоящее время нет сетевого TAP.
• Места с ограниченным световым бюджетом, где коэффициент разделения TAP может потреблять слишком много света. (Еще одна возможность — использовать активный TAP или более мощную оптику, способную работать на больших расстояниях.)
• Экстренные производственные ситуации, когда нет периода обслуживания, в течение которого можно установить TAP.
• Удаленные местоположения со скромным трафиком, которые не могут оправдать постоянный TAP по ссылке.
• Доступ к трафику, который либо остается внутри коммутатора, либо никогда не достигает физического канала, по которому можно было бы перехватывать трафик.
• Как недорогой вариант устранения неполадок, когда ссылки мало используются.

Подводя итог, можно сказать, что как сетевые TAP, так и SPAN-порты могут обеспечить действительный доступ к данным при правильном расположении.

Так что НАЖИМАЙТЕ там, где можете, и РАЗМЕЩАЙТЕ, где необходимо.

Следующий шаг: мониторинг, управление, защита

TAP и/или SPAN – это лишь первый шаг в процессе обеспечения полной видимости всей вашей сетевой инфраструктуры. После захвата трафика через порты TAP или SPAN вы можете отправить его в Gigamon Visibility and Analytics Fabric для мониторинга, управления и защиты. Также доступны приложения GigaSMART® для оптимизации трафика и предоставления соответствующих данных конкретным инструментам, на которые вы рассчитываете, чтобы повысить их производительность и эффективность.

Чтобы получить дополнительную информацию или загрузить полный PDF-файл, нажмите здесь.

Читайте также:

  
• Dsl 2640u не видит DSL
  
• Samsung a10 wifi не работает
  
• Настройка Wi-Fi Raspberry pi
  
• Как передать музыку с телефона на телефон через Bluetooth
  
• Скорость передачи данных по сети Bluetooth составляет 2 Мбит/с за сколько секунд