CCNPآموزش شبکه

SPAN و RSPAN و ERSPAN چیست و پیاده سازی آنها در سیسکو

SPAN و RSPAN چیست و تنظیمات Port Mirror در سیسکو

SPAN و RSPAN و ERSPAN چیست؟ ما قبلا در پست “معرفی SPAN” به معرفی SPAN پرداختیم حالا در این پست توضیحات کامل تری از SPAN و RSPAN می پردازیم.

می توانید با استفاده از SPAN یا RSPAN ترافیک شبکه را که از پورت ها یا VLAN عبور می کند تجزیه و تحلیل کنید تا کپی ای از ترافیک را به پورت دیگری روی سوئیچ یا سوئیچ دیگری که به آنالیزور شبکه یا دستگاه نظارت یا امنیت دیگری متصل شده ارسال کنید.

 SPAN ترافیک دریافت شده یا ارسال شده (یا هر دو) از پورت های منبع یا VLAN منبع را برای تجزیه و تحلیل به یک پورت مقصد کپی می کند (یا آینه ای – Mirror). SPAN تأثیری در سوئیچینگ ترافیک شبکه در پورت های منبع یا VLAN ندارد. شما باید پورت مقصد را برای استفاده از SPAN اختصاص دهید به جز ترافیکی که برای SPAN یا RSPAN لازم باشد ، درگاه های مقصد ترافیک را دریافت یا منتقل نمی کنند.

فقط ترافیکی که به پورت های منبع وارد می شود یا از آن خارج می شود یا ترافیکی که به VLAN منبع می رود یا از آن خارج می شود با استفاده از SPAN قابل کنترل است ، ترافیک هدایت شده به منبع VLAN قابل کنترل نیست به عنوان مثال ، اگر ترافیک ورودی کنترل می شود ، ترافیکی که از VLAN دیگری به VLAN منبع هدایت می شود قابل کنترل نیست.

یکی دیگر از موارد ی که قابل ذکراست برای تزریق ترافیک از یک دستگاه امنیتی شبکه می توانید از پورت مقصد SPAN یا RSPAN استفاده کنید. به عنوان مثال ، اگر دستگاه حسگر سیسکو سیستم تشخیص نفوذ (IDS) را به یک درگاه مقصد وصل کنید ، دستگاه IDS می تواند بسته های تنظیم مجدد TCP را برای بستنSession TCP یک مهاجم مشکوک ارسال کند.

SPAN و RSPAN چیست؟
SPAN و RSPAN چیست؟

Local Span

Local SPAN از یک Session SPAN به طور کامل در یک سوئیچ پشتیبانی می کند ، همه درگاه های منبع یا VLAN منبع و درگاه های مقصد در یک سوئیچ یا سوئیچ Stack هستند. SPAN Local ترافیک را از یک یا چند پورت منبع در هر VLAN یا از یک یا چند VLAN به پورت مقصد برای تجزیه و تحلیل کپی می کند. مثلا، در شکل زیر تمام ترافیک در پورت 5 (پورت مبدا) به پورت 10 (در مقصد) منعکس می شود. یک تجزیه و تحلیل شبکه در پورت 10 تمام ترافیک شبکه را از پورت 5 دریافت می کند بدون اینکه به پورت 5 متصل شود.

شکل زیر نمونه ای از پیکربندی Local SPAN در یک سوئیچ را به نمایش می گذارد:

Local Span
Local Span

شکل زیرنمونه ای از SPAN Local در یک استک سوئیچ ، جایی که پورت های مبدا و مقصد روی اعضای مختلف پشته قرار دارند.

Local Span
Local Span

RSPAN یا Remote SPAN

RSPAN چیست؟

قوانینی که برای RSPAN Source وجود دارد مشابه قوانینی است که برای SPAN Source نیز وجود دارد ، یعنی Source بایستی حداقل یک پورت فیزیکی و یا یک VLAN بر روی سویچ باشد.

تفاوت اصلی که بین RSPAN و SPAN وجود دارد در مقصد یا Destination است که در RSPAN مقصد دیگر الزامی ندارد که یک پورت روی همان سویچ باشد بلکه می تواند روی یک سویچ دیگر تعریف شود. در چنین حالتی ما برای پیاده سازی RSPAN یک VLAN اختصاصی به نام RSPAN VLAN ایجاد می کنید ، این VLAN شامل پورت هایی است که در سویچ مبدا و سویچ مقصد تعریف شده اند. در چنین حالتی ترافیکی که از RSPAN VLAN بصورت Trunk ارسال می شود در مقصد قابل رویت خواهد بود.

نکته قابل توجه : برای استفاده از RSPAN ، سوئیچ باید Lan base image را اجرا کند.

LAN Base vs IP Base
LAN Base vs IP Base

RSPAN از پورت های منبع ، VLAN های منبع و درگاه های مقصد روی سوئیچ های مختلف (یا پشته های مختلف سوئیچ) پشتیبانی می کند و امکان کنترل از راه دور چندین سوئیچ را در شبکه شما فراهم می کند.

cisco switch rspan example
cisco switch rspan example

در شکل زیرکه پورت های منبع را در سوئیچ A و سوئیچ B نشان می دهد. ترافیک برای هر Session RSPAN از طریق یک RSPAN VLAN مشخص شده توسط کاربر انجام می شود که برای آن جلسه RSPAN در تمام سوئیچ های شرکت کننده اختصاص داده شده است.

RSPAN
RSPAN

Span Session

SPAN Session (محلی یا از راه دور) به شما امکان می دهد ترافیک یک یا چند پورت یا یک یا چند VLAN را کنترل کرده و ترافیک نظارت شده را به یک یا چند درگاه مقصد ارسال کنید. یک Local SPAN Session  ارتباطی از یک درگاه مقصد با پورت های منبع یا VLAN منبع است ، بدین ترتیب در یک شبکه واحد SPAN مبدا و مقصد جداگانه ای ندارد.

Local SPAN Session مجموعه ای از بسته های ورودی و خروجی مشخص شده توسط کاربر را جمع می کند و آنها را به صورت stream از داده های SPAN که به مقصد هدایت می شوند ، شکل می دهد.

RSPAN شامل حداقل یک Session  از منبع RSP و حداقل یک Session مقصد، RSPAN شما Session های منبع RSPAN و مقصد RSPAN را به طور جداگانه در دستگاه های شبکه مختلف پیکربندی می کنید.

برای پیکربندی یک Session منبع RSPAN در یک دستگاه ، شما مجموعه ای از پورت های منبع یا منبع VLAN ها را با RSPAN VLAN مرتبط می کنید. خروجی این Session  بسته های SPAN Stream است که به RSPAN VLAN ارسال می شوند. بنابراین Session های  مقصد تمام ترافیک RSPAN VLAN را جمع آوری کرده و آن را به پورت مقصد RSP ارسال می کند.

نظارت بر ترافیک در یک Session SPAN این محدودیت ها را دارد:

  • منابع می توانند پورت یا VLAN باشند ، اما نمی توانید پورت منبع و VLAN منبع را در همان Session ترکیب کنید
  • سوئیچ حداکثر از دو Session منبع جلسات منبع محلی SPAN و RSPAN پشتیبانی می کند. شما می توانید یک SPAN Local و یک Session منبع RSPAN را در همان Switch Stack اجرا کنید
  • با لاینسنس LAN Lite ، سوئیچ از پیکربندی فقط یک Session SPAN پشتیبانی می کند
  • در یک Session SPAN می توانید چندین پورت مقصد داشته باشید ، اما نه بیشتر از 64 پورت مقصد در هر Switch Stack
  • شما می توانید دو Session جداگانه منبع SPAN یا RSPAN را با مجموعه های جداگانه یا پیوسته در پورت منبع SPAN و VLAN پیکربندی کنید
  • Session SPAN در عملکرد طبیعی سوئیچ اختلال ایجاد نمی کند، هرچند یک مقصد SPAN که بیش از حد به اشتراک گذاشته  شده است، برای مثال : پورت 10 مگابایت بر ثانیه که پورت 100 مگابایت بر ثانیه را کنترل می کند ، می تواند منجر به بسته های افتاده یا گمشده شود.
  • وقتی RSPAN فعال است، هر بسته تحت نظارت دو بار منتقل می شود، یک بار به عنوان ترافیک عادی و یک بار به عنوان یک بسته نظارت شده، بنابراین نظارت بر تعداد زیادی پورت یا VLAN می تواند به طور بالقوه مقدار زیادی ترافیک شبکه ایجاد کند
  • می توانید Session  SPAN را روی درگاه های غیرفعال پیکربندی کنید، به هر حال جلسه SPAN فعال نمی شود مگر اینکه پورت مقصد و حداقل یک پورت منبع یا VLAN را برای آن Session فعال کنید
  • سوئیچ ترکیبی از SPAN Local و RSPAN را در یک Session پشتیبانی نمی کند، که جلسه منبع RSPAN نمی تواند پورت مقصد محلی داشته باشد. Session مقصد RSPAN نمی تواند پورت منبع محلی داشته باشد و یک Session مقصد RSPAN و یک Session منبع RSPAN که از همان RSPAN VLAN استفاده می کنند نمی توانند در همان Stack سوئیچ اجرا شوند.

پیکربندی SPAN و RSPAN

شکل زیر پیکربندی پیش فرض SPAN و RSPAN را نشان می دهد.

پیکربندی SPAN و RSPAN
پیکربندی SPAN و RSPAN

پیکربندی Local SPAN

دستورالعمل های پیکربندی SPAN

هنگام پیکربندی SPAN این موارد را مد نظر داشته باشید:

  • برای منابع SPAN ، می توانید میزان ترافیک را برای یک پورت یا VLAN و یا دامنه پورت VLAN برای هر Session کنترل کنید. در یک Session SPAN نمی توانید پورت منبع و VLAN منبع را ترکیب کنید
  • پورت مقصد نمی تواند یک پورت منبع باشد. یک پورت منبع نمی تواند پورت مقصد باشد
  • با استفاده از یک درگاه مقصد نمی توانید دو Session  SPAN داشته باشید
  • وقتی پورت سوئیچ را به عنوان پورت مقصد SPAN پیکربندی می کنید ، دیگر پورت سوئیچ عادی نیست. فقط ترافیک کنترل شده از پورت مقصد SPAN عبور می کند
  • با وارد کردن دستورات پیکربندی SPAN پارامترهای SPAN که قبلاً پیکربندی شده اند حذف نمی شوند. باید Session no monitor را وارد کنید {session_number |all|local|remote} دستور global پیکربندی را برای حذف پارامترهای SPAN پیکربندی شده.
  • برای SPAN Local ، بسته های خروجی از طریق درگاه مقصد SPAN ، در صورت مشخص بودن کلمات کلیدی و تطبیق داده ها با یکدیگر ، هدرهای اصلی را دارند و اگر هدرها بدون برچسب یا پروتکل IEEE 802.1Q مشخص نشده باشد ، بسته ها به صورت بومی ارسال می شوند. برای درگاه های مقصد RSPAN ، بسته های خروجی برچسب گذاری نشده اند.
  • می توانید یک پورت غیرفعال را به عنوان یک منبع یا درگاه مقصد پیکربندی کنید ، اما SPAN فعال نمی شود تا زمانی که پورت مقصد و حداقل یک پورت منبع یا منبع VLAN فعال شوند.
  • با استفاده از کلمه کلیدی filter vlan می توانید ترافیک SPAN را به VLAN های خاص محدود کنید. اگر یک پورت Trunk در حال کنترل باشد ، فقط ترافیک VLAN های مشخص شده با این کلمه کلیدی کنترل می شود. به طور پیش فرض ، تمام VLAN ها از طریق یک درگاه Trunk کنترل می شوند
  • نمی توانید VLAN را با منابع مختلف تلفیق کرده و VLAN را در یک Session SPAN فیلتر کنید.

ساختن یک Local Span Session

در حالت EXEC Mode ، برای ایجاد یک Session SPAN این مراحل را دنبال کنید و پورت های منبع (VLAN) یا ناظرو پورت مقصد (Monitor) را مشخص کنید.

Local Span Session

Local Span Session
Local Span Session

برای حذف یک session SPAN ، از دستور  monitor session session_number no  و برای حذف برای حذف یک منبع یا درگاه مقصد یا VLAN از session SPAN از دستور

no monitor session session_number source { interface interface-id | vlan vlan-id } یا no monitor

session session_number destination interface interface-id برای interface مقصد ، گزینه های نادیده گرفتن  منطبق سازی از فرمان no استفاده می شود.

در مثال نحوه تنظیم Session 1 SPAN برای نظارت بر ترافیک منبع به مقصد را نشان می دهد. ابتدا ، هرگونه پیکربندی موجود بر روی SPAN Session1 حذف شده و سپس ترافیک دو طرفه از منبع Gigabit Ethernet port 1 به مقصد Gigabit Ethernet Port 2 منعکس شده و روش منطبق سازی را حفظ می کند.

Switch(config)# no monitor session 1

Switch(config)# monitor session 1 source interface gigabitethernet0/1

Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate

Switch(config)# end

 این مثال نحوه حذف پورت 1 به عنوان منبع SPAN برای Session1 SPAN را نشان می دهد:

Switch(config)# no monitor session 1 source interfacegigabitethernet0/1

Switch(config)# end

پیکربندی RSPAN

Remote SPAN Configuration
Remote SPAN Configuration

همانطور که گفته شد ما در حالت RSPAN میخوایم اطلاعات به دستگاهی ارسال شود که داخل سوئیچی که سیستم کاربری که قرار دیتاش آنالیز شود نیست، ما یک سناریو مانند شکل بالا داریم که کانفیگ به صورت زیر بر روی سوئیچ ها زده می شود.

مواردی که روی Switch1 باید زده شود:

Switch1# config term
Switch1 (config)# vlan 100     < —This is the capturing VLAN
Switch1 (config-vlan)# remote span  
Switch1(config-vlan)# exit
Switch1 (config)# monitor session 10 source interface fa0/1
Switch1 (config)# monitor session 10 destination remote vlan 100

در دستورات بالا ما یک Vlan 100 ساختیم که آن را به عنوان remote span معرفی کردیم که در Switch1 مشخص کردیم source ما interface fa0/1 هست و سپس destination را در حالت remote برای vlan 100 مشخص کرده ایم.

مواردی که روی Switch2 باید زده شود:

Switch2_Remote# config term
Switch2_Remote (config)# vlan 100 < —This is the capturing VLAN
Switch2_Remote (config-vlan)# remote span
Switch2_Remote (config-vlan)# exit
Switch2_Remote (config)# monitor session 10 source remote vlan 100
Switch2_Remote (config)# monitor session 10 destination interface fa0/5

در سوئیچ دوم نیز باید Vlan 100 مورد نظر را ایجاد و remote span را بر روی آن فعال کنیم، حالا مشخص می کنیم که source ما vlan 100 هست و destination ما نیز interface fa0/5 که به Sniffer متصل شده است.

 

Encapsulated Remote SPAN یا ERSPAN

ERSPAN (Encapsulated Remote Switched Port Analyzer)
ERSPAN (Encapsulated Remote Switched Port Analyzer)

اگر قرار باشد که ترافیک ما از بین چندین مسیریاب و زیرساخت شبکه مختلف عبور داده شود از تکنیک دیگری به نام Encapsulated Remote SPAN یا ERSPAN استفاده می کنیم. مبدا یا Source ای که در SPAN تعریف می شود متشکل از حداقل یک پورت فیزیکی یا یک VLAN روی همان سویچی است که می خواهیم آن را مانیتور کنیم. پورت مقصد نیز بایستی بر روی همان سویچ قرار گرفته باشد، زمانیکه پیکربندی شد ترافیک SPAN Source به سمت SPAN Destination Port ارسال می شود.

در سناریوی بالا ما دوتا سوئیچ داریم که از طریق یک GRE tunnel به هم وصل شده اند، که آدرس ما سمت سوئیچ یک 172.16.10.10 (on switch1) هست و سمت سوئیچ دو 10.10.10.10 (on switch2) می باشد. ترافیک قرار است از fa0/1 سوئیچ یک دریافت و به fa0/5 سوئیچ دو ارسال شود، کانفیگ ما به صورت زیر می باشد.

Switch1

Switch1(config)# monitor session 1 type erspan-source
Switch1 (config-mon-erspan-src)# source interface fa0/1
Switch1 (config-mon-erspan-src)# destination
Switch1 (config-mon-erspan-src-dst)# erspan-id 110 < — This ID must be the same on Switch2
Switch1 (config-mon-erspan-src-dst)# ip address 10.10.10.10 < — ip address on switch2
Switch1(config-mon-erspan-src-dst)# origin ip address 172.16.10.10 < — ip address on switch 1

Switch2

Switch2_Remote (config)# monitor session 1 type erspan-destination
Switch2_Remote (config-mon-erspan-dst)# destination interface fa0/5
Switch2_Remote (config-mon-erspan-dst)# source
Switch2_Remote (config-mon-erspan-dst-src)# erspan-id 110
Switch2_Remote (config-mon-erspan-dst-src)# ip address 10.10.10.10 < — IP address on switch 2

Shares:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *