Проблемы использования SPAN для мониторинга в современной сети / Хабр
Ранее мы опубликовывали статью «TAP или SPAN? Рекомендации по зеркалированию трафика для профессионалов», в которой описаны отличия подходов по съему трафика и проведен их анализ. Опрос и комментарии показали, что многие специалисты активно используют SPAN. Данной статьей мы дополним информацию о SPAN и расскажем, почему ее нельзя использовать для мониторинга и съема трафика в современной сети.
Как работает SPAN?
SPAN – это функция коммутатора или маршрутизатора, которая позволяет копировать пакеты с указанного порта/портов (порт зеркалирования) и отправлять на выбранный порт (порт мониторинга). Порт мониторинга при этом является обычным портом, который конфигурируется для передачи трафика от зеркалируемого порта/портов. При этом зеркалировать можно пакеты и на прием, и на передачу или только в одном направлении.
Для понимания работы функции SPAN схематично изобразим коммутатор (рисунок 1).
На схеме мы оставляем только порты, коммутационную матрицу и буфер коммутационной матрицы. Как же работает коммутатор? На порт приходит пакет и поступает на коммутационную матрицу. Матрица сохраняет пакет в буфер, определяет порт назначения и передаёт в него пакет, освобождая буфер. Буфер коммутационной матрицы представляет собой память, в которую помещается пакет, ожидающий своей обработки.
Разберемся, как работает функция SPAN (рисунок 4). Для начала надо назначить зеркалируемые порты (все пакеты, поступающие с него или на него, в зависимости от конфигурации, будут копироваться) и порт мониторинга. Как только коммутационная матрица принимает или собирается передать пакет через зеркалируемые порты, она дополнительно передаёт копии пакетов на порт мониторинга. И пока пакет не будет передан на порт мониторинга, он остаётся в буфере.
Стоит отметить, когда пакет приходит на порт коммутатора/маршрутизатора, он проходит проверку целостности, а затем может быть модифицирован (добавление/замена заголовков) или отброшен.
В итоге на порт мониторинга придёт не исходный пакет, а модифицированный. Или вовсе не придёт.
Поведение SPAN при нагрузке
Как же будет себя вести коммутатор при различных нагрузках и вариантах использования порта мониторинга? Ведь зеркалируемых портов может быть как один, так и десять, а количество SPAN-портов обычно не превышает 4. Кроме того, меняется загруженность зеркалируемых портов.
Самой важной характеристикой порта мониторинга является пропускная способность: если коммутационная матрица будет подавать на порт мониторинга больше пакетов, чем он сможет передать, то они будут отбрасываться. На графике (рисунок 2) показано зеркалирование трафика с одного порта: пропускной способности порта мониторинга хватает с запасом, чтобы передать все пакеты. Но что будет, если зеркалировать трафик с нескольких портов? Трафика будет в разы больше пропускной способности порта мониторинга (рисунок 3). Пропускной способности порта мониторинга не будет хватать, и часть пакетов будет отбрасываться.
Поговорим про реализацию функции SPAN. Как мы уже упоминали, пока пакет не будет передан и на целевой порт, и на порт зеркалирования, он занимает место в буфере пакетов. Зеркалирование нескольких портов (или обоих направлений передачи одного порта) приводит к скапливанию пакетов в очереди на порт мониторинга и заполнению буфера. Некоторые производители ставят самый низкий приоритет для портов мониторинга, иными словами, оборудование под нагрузкой будет выбирать между передачей трафика на обычные порты или порты мониторинга. В таком оборудовании ситуация с превышением зеркалируемого трафика над пропускной способностью порта мониторинга будет сопровождаться отбрасыванием зеркалируемого трафика (рисунок 4). Некоторые производители делают отдельно буфер для порта мониторинга. Он необходим для того, чтобы исключить влияние порта мониторинга на работоспособность обычных портов. Но этот буфер меньше основного, и когда он переполняется, происходит такая же потеря зеркалируемых пакетов.
Влияние функции SPAN на сеть
Почему же производители оборудования ставят низкий приоритет и заранее закладывают потерю зеркалируемого трафика? Превышение объема зеркалируемого трафика над полосой пропускания портов мониторинга приводит к заполнению буфера и отбрасыванию пакетов по обычным портам (даже если они слабонагружены), ведь пакетный буфер — общий (рисунок 5). Критичный к задержкам трафик (например IP-телефония) при этом будет потерян. Переповторы остального трафика на транспортном уровне (преимущественно, это TCP) увеличат нагрузку, вызовут снижение пропускной способности и приведут к деградации производительности сети. Переповторы также передаются на порт мониторинга и усложняют анализ данных.
Рисунок 5Более того, даже с пониженным приоритетом все эти эффекты будут наблюдаться при повышенной нагрузке на коммутатор: пакетный буфер рассчитан на обычную работу устройства. Если половина буфера будет занята пакетами, ожидающими отправки на порт мониторинга, оставшейся половины для полноценный работы устройства уже не хватит.
Потери пакетов при низкой нагрузке на коммутатор
Даже в слабонагруженных сетях трафик передается неравномерно. Сетевые карты накапливают данные для передачи и затем передают их на скорости порта. Так называемые всплески трафика (Burst) вызывают эффект локальных по времени перегрузок портов (рисунок 6). Именно на их сглаживание при совпадении порта назначения закладываются ресурсы буфера в коммутаторе. Но даже в устройстве с 10G портами это единицы мегабайт, а соответственно, единицы миллисекунд превышения пропускной способности по одному порту. Назначая один из портов портом мониторинга, мы гарантируем переполнение буфера и потери, как минимум, зеркалируемых пакетов.
Рисунок 6Заключение
Функция SPAN была придумана уже давно для:
SPAN – вспомогательная функция коммутаторов или маршрутизаторов, фактически работающая в режиме «как есть». При этом в современной сети зеркалируемых трафик является уже не вспомогательным. Зеркалирование трафика необходимо для мониторинга внутрисетевой активности и одновременного подключения средств анализа и информационной безопасности.
В отличие от требований к SPAN-портам, сами порты зеркалирования за прошедшие десятилетия не изменились (если не считать возможности туннелирования, никак не решающих проблем потери трафика). В итоге дорогостоящие системы безопасности просто не получают полноценных исходных данных для корректной работы, не говоря уже о предобработке трафика для снижения нагрузки на системы DPI.
SPAN — Switch Port Analyzer. RSPAN — Remote Switch Port Analyzer. Теоретические основы. — Советы по работе с Cisco
В многих сетевых коммутаторах есть возможность зеркалировать трафик, скажем с одного порта, на другой, или например с VLAN указанного, на порт, где находится анализатор трафика, либо какое-то ПО.
В Cisco эта технология называется SPAN — Switch Port Analyzer и RSPAN — Remote Switch Port Analyzer. Также читаем о настройке SPAN/RSPAN.
Для чего эта технология может использоваться?
Ну в первую очередь, например для того, чтоб просмотреть трафик на каком-то порту, для анализа того, что передается в сети (вдруг мы что-то забыли настроить и там рассылается то, что не нужно, ну и т.
п.).
Так же может понадобиться например для записи VOIP. Берем VLAN Voice переправляем весь трафик на определенный интерфейс, ну а там ПО, записывает все разговоры.
Судя по примерам, достаточно приятная и полезная функция, не так ли?
Теперь более подробно поговорим об этой технологии.
Различают две технологии SPAN это сам по себе SPAN, который работает в пределах одного коммутатора, и RSPAN, который может зеркалировать и передавать трафик между коммутаторов. (Когда у нас в сети несколько коммутаторов в цепочке, нам не нужно идти к этому коммутатору, подключаться к нему, настраивать порт мониторинга и сливать трафик. Вместо этого мы настраиваем RSPAN и передаем трафик на порт удаленного коммутатора, в общем куда нам хочется 🙂 ).
Давайте рассмотрим графически топологию SPAN и RSPAN.
1. SPAN
2. RSPAN
Думаю что комментарии к этим топологиям излишни.
Базовые знания о SPAN и RSPAN.
Опишу тот минимум, который необходим для понимания технологии SPAN. Понимание этого позволит избежать вопросов по конфигурированию (которое будет рассмотрено немного ниже).
Для того чтоб «заставить» SPAN работать, необходимо сделать две вещи.
- Создать список источников, то есть откуда мы будем брать трафик для анализа или других целей. Здесь можно указывать порты (как минимум 1), или VLAN (минимум 1, можно больше).
- Указать куда доставлять данные с списков источников, описанных в первом пункте. То есть куда будет зеркалироваться трафик (например, порт f0/24).
Хочется отметить, что источниками трафика могут быть layer 2 порты: access port, trunk port, etherchannel; layer 3 (routed port) и так далее. Если Source указан как VLAN , то будет зеркалироваться трафик всех портов, которые включены в данный VLAN и в настоящее время активны. Можно включать или удалять из VLAN порты, и это сразу будет влиять на SPAN/RSPAN.
Что касается RSPAN, тут немного все по другому.
Source описывается так же, либо порт/порты, либо VLAN/Vlan’ы. А вот то, куда отправлять этот трафик, по другому.
Делается это на основе специального RSPAN VLAN, а не отдельный порт, как это делается в SPAN. (конкретные примеры рассмотрим ниже, когда будем настраивать все непосредственно на коммутаторах).
Порт, который сконфигурирован для приема зеркалированного трафика, не может входить в VLAN, который настроен как Source (источник трафика).
Перед тем как перейти к практике, давайте поговорим об ограничениях и некоторых условиях, связанных с SPAN/RSPAN.
Порт приемника зеркалированного трафика имеют ряд ограничений, такие как:
- При настройке порта назначения (Destination SPAN ) его конфигурация будет перезаписана. При удалении SPAN с порта, конфигурация восстанавливается.
- При настройке Destination SPAN порта, который находится в Etherchannel, он будет удален из него. Если порт был routed (L3), то будет переписаны настройки этого порта.
- Destination port SPAN не поддерживает : port security, 802.1x аутентификацию, private VLAN.
- Destination Port SPAN не поддерживает Layer 2 протоколы, такие как: CDP, Spanning Tree, VTP,DTP и другие.
Это то, что касалось ограничений, теперь давайте поговорим о условиях.
- Источником Source SPAN/RSPAN может быть один или более портов коммутатора, или VLAN, но что-то одно, т.е. или VLAN или порт/порты.
- Возможно до 64 SPAN Destination портов, которые могут сконфигурированы на коммутаторе.
- Layer 2 и Layer 3 порты могут быть сконфигурированы как Source port SPAN так и Destination port SPAN.
- Не забываем о перегрузке интерфейса, которая может произойти в случае когда суммарный трафик на source port превышает возможности порта destination.
- В пределах одной сессии SPAN, нельзя доставить трафик до dest port SPAN из source port на локальном коммутаторе и с source RSPAN на другом коммутаторе. Это ограничение связано с тем, что нельзя смешивать порты и VLAN в SPAN технологиях (а RSPAN работает по так называемому RSPAN VLAN, это было описано выше).
- Dest Port не может быть Source Port и наоборот.
- Только одна сессия SPAN/RSPAN может доставлять трафик на единственный порт destination.
- При настройке порта как destination, он перестает работать как обычный Layer 2 порт, т.е. он предназначен только для принятия зеркалированного трафика.
- Как было отмечено выше, trunk порты так же могут использоваться как Source Port, таким образом все VLAN, которые есть в этом транке мониторятся (по умолчанию). Но можно указать конкретные VLAN которые необходимо учитывать, с помощью команды filter vlan.
- Если мы используем VLAN как Source SPAN, то тут есть одно ограничение. Если трафик «пришел» с другого VLAN’а, то такой трафик в SPAN не попадет.
SPAN и RSPAN поддерживает два вида трафика: исходящий и входящий. По умолчанию в SPAN/RSPAN попадают оба типа. Но можно сконфигурировать устройство так, что будет мониториться только входящий, или только исходящий трафик.
По умолчанию Layer 2 фреймы, такие как CDP, spanning tree, BPDU, VTP,DTP и PagP игнорируются и не передаются на Destination Port, но можно настроить устройство так, чтоб эти фреймы передавались.
Для этого необходимо использовать команду encapsulation replicate.
В этой статье мы освоили теоретическую часть. В следующей статьей будем заниматься практикой SPAN/RSPAN.
Просмотров: 7 621
Линейный пролет
Марко Табога, доктор философии
Размах набора векторов, также называемый линейным размахом, — это линейное пространство, образованное всеми векторы, которые можно записать как линейные комбинации вектора, принадлежащие данному множеству.
Содержание.
Упражнение 1
Упражнение 2
Определение
Начнем с формального определения диапазона.
Определение
Позволять
быть линейным пространством. Позволять
быть
векторы. Линейный пролет из
,
обозначенный
к
это множество всех линейных комбинаций
что
можно получить произвольным выбором
скаляры
,
.
..,.
Ниже приведен очень простой пример линейного диапазона.
Пример Позволять и быть векторы-столбцы, определенные как следует: Пусть быть линейной комбинацией и с коэффициентами и . Затем, Таким образом, линейный диапазон — это набор всех векторов что можно написать как где и два произвольных скаляра.
Линейный пролет представляет собой линейное пространство
Следующее предложение, хотя и элементарное, чрезвычайно важно.
Предложение Линейная оболочка набора векторов представляет собой линейное пространство.
Доказательство
Пусть
быть линейным пролетом
векторы
.
Затем,
это множество всех векторов
которую можно представить в виде линейного
комбинацииВзять
два вектора
и
принадлежащий
.
Тогда существуют коэффициенты
и
такой
что
охватывать
является линейным пространством тогда и только тогда, когда для любых двух коэффициентов
и
,
линейный
комбинациятакже
принадлежит
.
Но, Таким образом,
линейная комбинация
может
выражаться в виде линейной комбинации векторов
с коэффициентами
,
…,
.
Как следствие, он принадлежит промежутку
.
Таким образом, мы доказали, что любая линейная комбинация векторов, принадлежащих
пролет
также принадлежит пролету
.
Это значит, что
является линейным пространством.
Решенные упражнения
Ниже вы можете найти несколько упражнений с поясненными решениями.
Упражнение 1
Определите следующее векторов:
Делает принадлежат линейному промежутку и ?
Решение
Линейный участок
и
это множество всех векторов
которые могут быть записаны в виде линейных комбинаций
и
со скалярными коэффициентами
и
:В
другие слова,
содержит все скалярные кратные
векторНо
не является скалярным кратным
.
Поэтому,
не принадлежит
.
Упражнение 2
Ноль векторпринадлежит к размаху векторов и определено выше?
Решение
Мы доказали, что пролет является линейным пространстве, а нулевой вектор всегда принадлежит линейному пространству (самым определение линейного пространства).
Как цитировать
Пожалуйста, указывайте как:
Taboga, Marco (2021). «Линейный пролет», Лекции по матричной алгебре. https://www.statlect.com/matrix-алгебра/linear-span.
Span Определение и значение — Merriam-Webster
1 из 4ˈspan
архаичное прошедшее время вращение
диапазон
2 из 4
1
: расстояние от конца большого пальца до конца мизинца растопыренной руки
также : английская единица длины, равная девяти дюймам (22,9 см)
2
: протяженность, растяжение, охват или распространение между двумя пределами: например,
а
: ограниченное пространство (на время)
специально : продолжительность жизни человека
б
: расстояние или протяженность между опорами или опорами (для моста)
также : поддерживаемая таким образом часть
с
: максимальное поперечное расстояние от кончика до конца самолета
диапазон
3 из 4
переходный глагол
1
а
: для измерения рукой или как будто рукой с вытянутыми пальцами
б
: мера
2
а
: для удлинения
карьера, которая охватила четыре десятилетия
б
: для формирования арки
небольшой мост перекинут пруд
с
: для размещения или построения пролета над
3
: для возможности выражения любого элемента при заданных операциях
набор векторов, охватывающий векторное пространство
span
4 из 4
: пара животных (например, мулов), обычно одинаковых по внешнему виду и поведению и движущихся вместе
Просмотреть все синонимы и антонимы в тезаурусе
Примеры предложений
Глагол
Его карьера певца длилась три десятилетия.
Их империя когда-то охватывала несколько континентов.
Ее академические интересы охват широкий спектр тем.
Мост пересекает реку.
Последние примеры в Интернете
С ролями официально , охватывающими консультационных услуг, брендов и маркетинговых услуг, Pinewood участвовал в проектировании, строительстве и первоначальном управлении малайзийским предприятием.
— Патрик Фратер, 9 лет.0166 Разнообразие , 6 апреля 2023 г.
Его личная коллекция исторических замков охватывает эпох и континентов: индийский замок со скульптурой Шивы и венесуэльский мотоциклетный замок, а также громоздкий советский висячий замок с двойным хранением, для открытия которого требуются два бюрократа с двумя наборами ключей.
— Хэзлитт , 5 апреля 2023 г.
Среди записей, которые, по словам прокуратуры, были сфальсифицированы, есть ваучеры в главной бухгалтерской книге Трампа, которую ведет его компания, Trump Organization, и счета-фактуры от Коэна, которые также хранятся в бизнесе Трампа 9.0166, охватывающий большую часть 2017 года.
— Розалинда С. Хелдерман, Перри Стейн, Энн Э. Маримоу, Шайна Джейкобс, The Washington Post, Anchorage Daily News , 5 апреля 2023 г.
Начиная с захода солнца, каждый ужин будет состоять из различных меню из четырех блюд, из которых включают блюд западноафриканской, северной мексиканской и других мировых кухонь.
— Даниэль Дорси, Los Angeles Times , 5 апреля 2023 г.
Открыто голосование для следующего голосования Cincinnati.com Athletes of the Week спортивного года средней школы 2022-2023 на 9 неделе.0166, охватывающий с 27 марта по 2 апреля.
— Мелани Лафман, The Enquirer , 4 апреля 2023 г.
Конечно, нельзя сравнивать Хиллари Клинтон и Дональда Трампа; одна обвиняется в многочисленных уголовных преступлениях , охватывающих несколько юрисдикций, а другая, при всей ее коррупции, обвиняется в наличии почтового сервера.
— Лаура Джедид, Новая Республика, , 4 апреля 2023 г.
Летисия Штаух была арестована в Южной Каролине и обвинена в смерти мальчика несколько недель спустя после массовых обысков, которые охватывал округов.
— CBS News , 4 апреля 2023 г.
На его веб-сайте есть более исчерпывающий список таких часто задаваемых вопросов, , охватывающих вопросов репродуктивного здоровья, психического здоровья, законности, конфиденциальности и многого другого.
— Ананья Бхаттачарья, Кварц , 4 апреля 2023 г.
Это максимальная стоимость запусков ракет SpaceX Starship в течение двух-трех лет, по оценкам Маска.
— Ана Фаги, Forbes , 20 апреля 2023 г.
Даже за 10-летний период Disney вознаграждала акционеров чуть более 6% в год, что вдвое меньше, чем у S&P, и на три пункта ниже, чем в Индексе СМИ и развлечений.
— Шон Талли, 9 лет.0166 Fortune , 20 апреля 2023 г.
Во время весенних каникул в Бирмингеме трое подростков, Джада Уайт и Калеб Уитт из городских школ Бирмингема и Камари Шондейл Филлипс из округа Джефферсон, были убиты в результате перестрелки в течение трех дней.
—Саванна Триенс-Фернандес | Stryens-fernandes@al.com, al , 19 апреля 2023 г.
Шесть гонщиков занимали второе место три или более раз в этих span , и девять сделали это как минимум дважды.
— Натан Браун, The Indianapolis Star , 18 апреля 2023 г.
В этом отрезке «Кингз» обыграли «Уорриорз» со счетом 23–11 и превратили отставание в восемь очков в преимущество в четыре очка.
— Коннор Летурно, San Francisco Chronicle , 17 апреля 2023 г.
Например, если каждый номер стоит 1000 долларов и есть 10 человек — все они приобрели один номер — в течение 10 недель span , каждый человек будет платить 100 долларов в неделю.
— Натали Арройо Камачо, , refinery29.com , 11 апреля 2023 г.
За это короткое время промежутка девочка скиталась по крайней мере между четырьмя приютами по всей Нью-Мексико и стала предметом по крайней мере восьми вызовов в полицию, как показывают записи об отправке.
— Эд Уильямс, ProPublica , 7 апреля 2023 г.
В баскетболе мужская команда участвовала в турнирах NCAA 10 раз за последние 13 лет и пять раз выигрывала чемпионат Mountain West Conference за эти 9 лет.0166 пролет .
— Джереми Клафф, , Республика Аризона, , 5 апреля 2023 г.
Узнать больше
Эти примеры программно скомпилированы из различных онлайн-источников, чтобы проиллюстрировать текущее использование слова «промежуток».
Любые мнения, выраженные в примерах, не отражают точку зрения Merriam-Webster или ее редакторов. Отправьте нам отзыв об этих примерах.
История слов
Этимология
Существительное (1)
Среднеанглийский, от древнеанглийского spann ; сродни древневерхненемецкому spanna span, среднеголландскому spannen растягиваться, сцепляться
Существительное
Голландский, от среднеголландского, от spannen до сцепки
Первое известное использование
Существительное (1)
до 12 века, в значении, определенном в смысле 1
Глагол
1560, в значении, определенном в смысле 1a
Существительное
1769, в значении, определенном выше
Путешественник во времени
Первое известное использование span было до 12 века
Посмотреть другие слова того же века
Словарные статьи Рядом с
spanспам-фильтр
охватывать
спанакопита
Посмотреть другие записи поблизости
Процитировать эту запись «Охватывать.
» Словарь Merriam-Webster.com , Merriam-Webster, https://www.merriam-webster.com/dictionary/span. Доступ 7 мая. 2023.Copy Citation
Kids Definition
span
1 из 3 существительное
ˈspan
1
: расстояние от конца большого пальца до конца мизинца растопыренной руки
также : английская единица длины, равная 9 дюймам (около 22,9 см)
2
а
: ограниченное время
пролет жизни
б
: распространение (в виде арки) от одной опоры к другой
с
: часть, поддерживающая форму пролета
диапазон
2 из 3 глагол
1
а
: для измерения рукой или как будто рукой с вытянутыми пальцами
б
: ввод измерения 2 смысл 2
2
а
: для достижения или удлинения
мост река
карьера четыре десятилетия
б
: для размещения или сооружения пролета над
пролётом
3 из 3
Этимология Старый английский spann «расстояние, измеренное вытянутой рукой»
Существительное
от голландского span «пара животных, сгоняемых вместе», производное от более раннего spannen «подцепить»
Медицинское определение
span
существительное
ˈspan
1
: протяженность расстояния или времени
специально : срок службы
2
: объем памяти
7 для говорящих на испанском языке
Britannica English: Перевод span для арабского языка Speakers
Britannica.