SPAN, RSPAN 및 ERSPAN 이해: 네트워크 트래픽 모니터링 기술

SPAN, RSPAN, ERSPAN분석을 위해 트래픽을 캡처하고 모니터링하기 위해 네트워킹에서 사용되는 기술입니다. 각각에 대한 간략한 개요는 다음과 같습니다.

SPAN(스위치 포트 분석기)

목적: 모니터링을 위해 스위치의 특정 포트 또는 VLAN에서 다른 포트로 트래픽을 미러링하는 데 사용됩니다.

사용 사례: 단일 스위치의 로컬 트래픽 분석에 이상적입니다. 트래픽은 네트워크 분석기가 캡처할 수 있는 지정된 포트로 미러링됩니다.

RSPAN(원격 SPAN)

목적: 네트워크의 여러 스위치에 걸쳐 SPAN 기능을 확장합니다.

사용 사례: 트렁크 링크를 통해 한 스위치에서 다른 스위치로의 트래픽을 모니터링할 수 있습니다. 모니터링 장치가 다른 스위치에 있는 시나리오에 유용합니다.

ERSPAN(캡슐화된 원격 SPAN)

목적: RSPAN을 GRE(Generic Routing Encapsulation)와 결합하여 미러링된 트래픽을 캡슐화합니다.

사용 사례: 라우팅된 네트워크 전체에서 트래픽을 모니터링할 수 있습니다. 이는 다양한 세그먼트에 걸쳐 트래픽을 캡처해야 하는 복잡한 네트워크 아키텍처에 유용합니다.

스위치 포트 분석기(SPAN)효율적인 고성능 트래픽 모니터링 시스템입니다. 소스 포트 또는 VLAN에서 대상 포트로 트래픽을 전달하거나 미러링합니다. 이를 세션 모니터링이라고도 합니다. SPAN은 연결 문제를 해결하고 네트워크 활용도 및 성능을 계산하는 데 사용됩니다. Cisco 제품에는 세 가지 유형의 SPAN이 지원됩니다.

에이. SPAN 또는 로컬 SPAN.

비. 원격 SPAN(RSPAN).

기음. 캡슐화된 원격 SPAN(ERSPAN).

알아야 할 사항: "SPAN, RSPAN 및 ERSPAN 기능을 갖춘 Mylinking™ 네트워크 패킷 브로커"

SPAN/트래픽 미러링/포트 미러링은 다양한 목적으로 사용되며, 아래에는 그 중 일부가 포함됩니다.

- 무차별 모드에서 IDS/IPS를 구현합니다.

- VOIP 통화 녹음 솔루션.

- 트래픽을 모니터링하고 분석하는 보안 규정 준수 이유.

- 연결 문제 해결, 트래픽 모니터링.

실행 중인 SPAN 유형에 관계없이 SPAN 소스는 라우팅된 포트, 물리적 스위치 포트, 액세스 포트, 트렁크, VLAN(모든 활성 포트가 스위치에 대해 모니터링됨), EtherChannel(포트 또는 전체 포트) 등 모든 유형의 포트일 수 있습니다. -채널 인터페이스) 등. SPAN 대상으로 구성된 포트는 SPAN 소스 VLAN의 일부가 될 수 없습니다.

SPAN 세션은 수신 트래픽(ingress SPAN), 송신 트래픽(egress SPAN) 또는 양방향 트래픽 흐름의 모니터링을 지원합니다.

- 수신 SPAN(RX)은 소스 포트와 VLAN에서 수신한 트래픽을 대상 포트로 복사합니다. SPAN은 수정 전(예: VACL 또는 ACL 필터, QoS 또는 수신 또는 송신 정책 수행 전)에 트래픽을 복사합니다.

- Egress SPAN(TX)은 소스 포트와 VLAN에서 전송된 트래픽을 대상 포트로 복사합니다. VACL 또는 ACL 필터, QoS 또는 수신/발신 정책 조치에 의한 모든 관련 필터링 또는 수정은 스위치가 트래픽을 SPAN 대상 포트로 전달하기 전에 수행됩니다.

- Both 키워드를 사용하는 경우 SPAN은 소스 포트와 VLAN에서 수신 및 전송되는 네트워크 트래픽을 대상 포트로 복사합니다.

- SPAN/RSPAN은 일반적으로 CDP, STP BPDU, VTP, DTP 및 PAgP 프레임을 무시합니다. 그러나 캡슐화 복제 명령이 구성된 경우 이러한 트래픽 유형을 전달할 수 있습니다.

SPAN 또는 로컬 SPAN

SPAN은 스위치에 있는 하나 이상의 인터페이스에서 동일한 스위치에 있는 하나 이상의 인터페이스로 트래픽을 미러링합니다. 따라서 SPAN은 대부분 LOCAL SPAN이라고 합니다.

로컬 SPAN에 대한 지침 또는 제한 사항:

- 레이어 2 스위치 포트와 레이어 3 포트 모두 소스 또는 대상 포트로 구성될 수 있습니다.

- 소스는 하나 이상의 포트 또는 VLAN일 수 있지만 이들을 혼합할 수는 없습니다.

- 트렁크 포트는 비트렁크 소스 포트와 혼합된 유효한 소스 포트입니다.

- 스위치 하나에 최대 64개의 SPAN 대상 포트를 구성할 수 있습니다.

- 대상 포트를 구성하면 원래 구성을 덮어씁니다. SPAN 구성이 제거되면 해당 포트의 원래 구성이 복원됩니다.

- 대상 포트를 구성할 때 해당 포트는 EtherChannel 번들의 일부인 경우 해당 번들에서 제거됩니다. 라우팅된 포트인 경우 SPAN 대상 구성이 라우팅된 포트 구성을 재정의합니다.

- 대상 포트는 포트 보안, 802.1x 인증 또는 사설 VLAN을 지원하지 않습니다.

- 포트는 하나의 SPAN 세션에 대해서만 대상 포트 역할을 할 수 있습니다.

- 포트가 스팬 세션의 소스 포트이거나 소스 VLAN의 일부인 경우 대상 포트로 구성할 수 없습니다.

- 포트 채널 인터페이스(EtherChannel)는 소스 포트로 구성할 수 있지만 SPAN의 대상 포트로는 구성할 수 없습니다.

- SPAN 소스의 경우 트래픽 방향은 기본적으로 "모두"입니다.

- 대상 포트는 스패닝 트리 인스턴스에 참여하지 않습니다. DTP, CDP 등을 지원할 수 없습니다. 로컬 SPAN에는 모니터링되는 트래픽에 BPDU가 포함되므로 대상 포트에 표시되는 모든 BPDU는 소스 포트에서 복사됩니다. 따라서 네트워크 루프가 발생할 수 있으므로 스위치를 이러한 유형의 SPAN에 연결하지 마십시오.

- VLAN이 수신 및 송신 옵션이 모두 구성된 SPAN 소스(주로 VSPAN이라고 함)로 구성된 경우 패킷이 동일한 VLAN에서 전환되는 경우에만 소스 포트에서 중복 패킷을 전달합니다. 패킷의 한 복사본은 수신 포트의 수신 트래픽에서 가져온 것이고, 패킷의 다른 복사본은 송신 포트의 송신 트래픽에서 가져온 것입니다.

- VSPAN은 VLAN의 레이어 2 포트에서 나가거나 들어오는 트래픽만 모니터링합니다.

SPAN, RSPAN 및 ERSPAN은 네트워킹에서 분석을 위해 트래픽을 캡처하고 모니터링하는 데 사용되는 기술입니다. 각각에 대한 간략한 개요는 다음과 같습니다.

SPAN(스위치 포트 분석기)

• 목적: 모니터링을 위해 스위치의 특정 포트 또는 VLAN에서 다른 포트로 트래픽을 미러링하는 데 사용됩니다.
• 사용 사례: 단일 스위치의 로컬 트래픽 분석에 이상적입니다. 트래픽은 네트워크 분석기가 캡처할 수 있는 지정된 포트로 미러링됩니다.

RSPAN(원격 SPAN)

• 목적: 네트워크의 여러 스위치에 걸쳐 SPAN 기능을 확장합니다.
• 사용 사례: 트렁크 링크를 통해 한 스위치에서 다른 스위치로의 트래픽을 모니터링할 수 있습니다. 모니터링 장치가 다른 스위치에 있는 시나리오에 유용합니다.

ERSPAN(캡슐화된 원격 SPAN)

• 목적: RSPAN과 GRE(Generic Routing Encapsulation)를 결합하여 미러링된 트래픽을 캡슐화합니다.
• 사용 사례: 라우팅된 네트워크 전반의 트래픽을 모니터링할 수 있습니다. 이는 다양한 세그먼트에 걸쳐 트래픽을 캡처해야 하는 복잡한 네트워크 아키텍처에 유용합니다.