SPAN, RSPAN 및 ERSPAN 이해: 네트워크 트래픽 모니터링 기술

SPAN, RSPAN 및 ERSPAN은 네트워킹에서 분석을 위해 트래픽을 캡처하고 모니터링하는 데 사용되는 기술입니다. 각각에 대한 간략한 개요는 다음과 같습니다.

SPAN(스위치 포트 분석기)

목적: 모니터링을 위해 스위치의 특정 포트 또는 VLAN에서 다른 포트로 트래픽을 미러링하는 데 사용됩니다.

사용 사례: 단일 스위치의 로컬 트래픽 분석에 이상적입니다. 트래픽은 네트워크 분석기가 캡처할 수 있는 지정된 포트로 미러링됩니다.

RSPAN(원격 SPAN)

목적: 네트워크의 여러 스위치에 걸쳐 SPAN 기능을 확장합니다.

사용 사례: 트렁크 링크를 통해 한 스위치에서 다른 스위치로의 트래픽을 모니터링할 수 있습니다. 모니터링 장치가 다른 스위치에 있는 시나리오에 유용합니다.

ERSPAN(캡슐화된 원격 SPAN)

목적: RSPAN을 GRE(Generic Routing Encapsulation)와 결합하여 미러링된 트래픽을 캡슐화합니다.

사용 사례: 라우팅된 네트워크 전체에서 트래픽을 모니터링할 수 있습니다. 이는 다양한 세그먼트에 걸쳐 트래픽을 캡처해야 하는 복잡한 네트워크 아키텍처에 유용합니다.

SPAN(스위치 포트 분석기)은 효율적인 고성능 트래픽 모니터링 시스템입니다. 소스 포트 또는 VLAN에서 대상 포트로 트래픽을 전달하거나 미러링합니다. 이를 세션 모니터링이라고도 합니다. SPAN은 연결 문제를 해결하고 네트워크 활용도 및 성능을 계산하는 데 사용됩니다. Cisco 제품에서는 세 가지 유형의 SPAN이 지원됩니다.

에이. SPAN 또는 로컬 SPAN.

비. 원격 SPAN(RSPAN).

기음. 캡슐화된 원격 SPAN(ERSPAN).

알아야 할 사항: "SPAN, RSPAN 및 ERSPAN 기능을 갖춘 Mylinking™ 네트워크 패킷 브로커"

스판, RSPAN, 에르스판

SPAN/트래픽 미러링/포트 미러링은 다양한 목적으로 사용되며, 아래에는 그 중 일부가 포함됩니다.

- 무차별 모드에서 IDS/IPS를 구현합니다.

- VOIP 통화 녹음 솔루션.

- 트래픽을 모니터링하고 분석하는 보안 규정 준수 이유.

- 연결 문제 해결, 트래픽 모니터링.

실행 중인 SPAN 유형에 관계없이 SPAN 소스는 라우팅된 포트, 물리적 스위치 포트, 액세스 포트, 트렁크, VLAN(모든 활성 포트가 스위치에 대해 모니터링됨), EtherChannel(포트 또는 전체 포트) 등 모든 유형의 포트일 수 있습니다. -채널 인터페이스) 등. SPAN 대상으로 구성된 포트는 SPAN 소스 VLAN의 일부가 될 수 없습니다.

SPAN 세션은 수신 트래픽(ingress SPAN), 송신 트래픽(egress SPAN) 또는 양방향 트래픽 흐름의 모니터링을 지원합니다.

- 수신 SPAN(RX)은 소스 포트와 VLAN에서 수신한 트래픽을 대상 포트로 복사합니다. SPAN은 수정 전(예: VACL 또는 ACL 필터, QoS 또는 수신 또는 송신 정책 수행 전)에 트래픽을 복사합니다.

- Egress SPAN(TX)은 소스 포트와 VLAN에서 전송된 트래픽을 대상 포트로 복사합니다. VACL 또는 ACL 필터, QoS 또는 수신/발신 정책 조치에 의한 모든 관련 필터링 또는 수정은 스위치가 트래픽을 SPAN 대상 포트로 전달하기 전에 수행됩니다.

- Both 키워드를 사용하는 경우 SPAN은 소스 포트와 VLAN에서 수신 및 전송되는 네트워크 트래픽을 대상 포트로 복사합니다.

- SPAN/RSPAN은 일반적으로 CDP, STP BPDU, VTP, DTP 및 PAgP 프레임을 무시합니다. 그러나 캡슐화 복제 명령이 구성된 경우 이러한 트래픽 유형을 전달할 수 있습니다.

SPAN 또는 로컬 SPAN

SPAN은 스위치에 있는 하나 이상의 인터페이스에서 동일한 스위치에 있는 하나 이상의 인터페이스로 트래픽을 미러링합니다. 따라서 SPAN은 대부분 LOCAL SPAN이라고 합니다.

로컬 SPAN에 대한 지침 또는 제한 사항:

- 레이어 2 스위치 포트와 레이어 3 포트 모두 소스 또는 대상 포트로 구성될 수 있습니다.

- 소스는 하나 이상의 포트 또는 VLAN일 수 있지만 이들을 혼합할 수는 없습니다.

- 트렁크 포트는 비트렁크 소스 포트와 혼합된 유효한 소스 포트입니다.

- 스위치 하나에 최대 64개의 SPAN 대상 포트를 구성할 수 있습니다.

- 대상 포트를 구성하면 원래 구성을 덮어씁니다. SPAN 구성이 제거되면 해당 포트의 원래 구성이 복원됩니다.

- 대상 포트를 구성할 때 해당 포트는 EtherChannel 번들의 일부인 경우 해당 번들에서 제거됩니다. 라우팅된 포트인 경우 SPAN 대상 구성이 라우팅된 포트 구성을 재정의합니다.

- 대상 포트는 포트 보안, 802.1x 인증 또는 사설 VLAN을 지원하지 않습니다.

- 포트는 하나의 SPAN 세션에 대해서만 대상 포트 역할을 할 수 있습니다.

- 포트가 스팬 세션의 소스 포트이거나 소스 VLAN의 일부인 경우 대상 포트로 구성할 수 없습니다.

- 포트 채널 인터페이스(EtherChannel)는 소스 포트로 구성할 수 있지만 SPAN의 대상 포트로는 구성할 수 없습니다.

- SPAN 소스의 경우 트래픽 방향은 기본적으로 "모두"입니다.

- 대상 포트는 스패닝 트리 인스턴스에 참여하지 않습니다. DTP, CDP 등을 지원할 수 없습니다. 로컬 SPAN에는 모니터링되는 트래픽에 BPDU가 포함되므로 대상 포트에 표시되는 모든 BPDU는 소스 포트에서 복사됩니다. 따라서 네트워크 루프가 발생할 수 있으므로 스위치를 이러한 유형의 SPAN에 연결하지 마십시오. AI 도구는 업무 효율성을 향상시키고,감지할 수 없는 AI서비스를 통해 AI 도구의 품질을 향상시킬 수 있습니다.

- VLAN이 수신 및 송신 옵션이 모두 구성된 SPAN 소스(주로 VSPAN이라고 함)로 구성된 경우 패킷이 동일한 VLAN에서 전환되는 경우에만 소스 포트에서 중복 패킷을 전달합니다. 패킷의 한 복사본은 수신 포트의 수신 트래픽에서 가져온 것이고, 패킷의 다른 복사본은 송신 포트의 송신 트래픽에서 가져온 것입니다.

- VSPAN은 VLAN의 레이어 2 포트에서 나가거나 들어오는 트래픽만 모니터링합니다.

스판, RSPAN, 에르스판 1

원격 스팬(RSPAN)

RSPAN(원격 SPAN)은 SPAN과 유사하지만 소스 포트, 소스 VLAN 및 서로 다른 스위치의 대상 포트를 지원합니다. 이를 통해 여러 스위치에 분산된 소스 포트의 트래픽을 원격으로 모니터링하고 대상이 네트워크 캡처 장치를 중앙 집중화할 수 있습니다. 각 RSPAN 세션은 모든 참여 스위치에서 사용자가 지정한 전용 RSPAN VLAN을 통해 SPAN 트래픽을 전달합니다. 그런 다음 이 VLAN은 다른 스위치로 트렁킹되어 RSPAN 세션 트래픽이 여러 스위치를 통해 전송되고 대상 캡처 스테이션으로 전달될 수 있습니다. RSPAN은 RSPAN 소스 세션, RSPAN VLAN 및 RSPAN 대상 세션으로 구성됩니다.

RSPAN에 대한 지침 또는 제한 사항:

- 트렁크 링크를 통해 중간 스위치를 거쳐 대상 포트로 이동하는 SPAN 대상에 대해 특정 VLAN을 구성해야 합니다.

- 동일한 소스 유형을 생성할 수 있습니다. 즉, 최소 하나의 포트 또는 최소 하나의 VLAN을 생성할 수 있지만 혼합할 수는 없습니다.

- 세션의 대상은 스위치의 단일 포트가 아닌 RSPAN VLAN이므로 RSPAN VLAN의 모든 포트는 미러링된 트래픽을 수신합니다.

- 참여하는 모든 네트워크 장치가 RSPAN VLAN 구성을 지원하는 한 모든 VLAN을 RSPAN VLAN으로 구성하고 각 RSPAN 세션에 동일한 RSPAN VLAN을 사용합니다.

- VTP는 1부터 1024까지의 VLAN 구성을 RSPAN VLAN으로 전파할 수 있으며, 1024보다 높은 번호의 VLAN을 모든 소스, 중간 및 대상 네트워크 장치에서 RSPAN VLAN으로 수동으로 구성해야 합니다.

- RSPAN VLAN에서는 MAC 주소 학습이 비활성화됩니다.

스판, RSPAN, ESPAN 2

캡슐화된 원격 SPAN(ERSPAN)

ERSPAN(Encapsulated Remote SPAN)은 캡처된 모든 트래픽에 대해 GRE(일반 라우팅 캡슐화)를 제공하고 이를 레이어 3 도메인 전체로 확장할 수 있도록 합니다.

ERSPAN은시스코 독점기능이며 현재까지 Catalyst 6500, 7600, Nexus 및 ASR 1000 플랫폼에서만 사용할 수 있습니다. ASR 1000은 고속 이더넷, 기가비트 이더넷 및 포트 채널 인터페이스에서만 ERSPAN 소스(모니터링)를 지원합니다.

ERSPAN에 대한 지침 또는 제한 사항:

- ERSPAN 소스 세션은 소스 포트에서 ERSPAN GRE 캡슐화 트래픽을 복사하지 않습니다. 각 ERSPAN 소스 세션은 포트나 VLAN 중 하나를 소스로 가질 수 있지만 둘 다 가질 수는 없습니다.

- 구성된 MTU 크기에 관계없이 ERSPAN은 최대 9,202바이트 길이의 레이어 3 패킷을 생성합니다. ERSPAN 트래픽은 9,202바이트보다 작은 MTU 크기를 적용하는 네트워크의 인터페이스에 의해 삭제될 수 있습니다.

- ERSPAN은 패킷 조각화를 지원하지 않습니다. "조각화하지 않음" 비트는 ERSPAN 패킷의 IP 헤더에 설정됩니다. ERSPAN 대상 세션은 조각화된 ERSPAN 패킷을 재조립할 수 없습니다.

- ERSPAN ID는 다양한 ERSPAN 소스 세션에서 동일한 대상 IP 주소에 도착하는 ERSPAN 트래픽을 구별합니다. 구성된 ERSPAN ID는 소스 및 대상 장치에서 일치해야 합니다.

- 소스 포트 또는 소스 VLAN의 경우 ERSPAN은 수신, 송신 또는 수신 및 송신 트래픽을 모두 모니터링할 수 있습니다. 기본적으로 ERSPAN은 멀티캐스트 및 BPDU(Bridge Protocol Data Unit) 프레임을 포함한 모든 트래픽을 모니터링합니다.

- ERSPAN 소스 세션의 소스 포트로 지원되는 터널 인터페이스는 GRE, IPinIP, SVTI, IPv6, IPv6 over IP 터널, Multipoint GRE(mGRE) 및 Secure Virtual Tunnel Interfaces(SVTI)입니다.

- WAN 인터페이스의 ERSPAN 모니터링 세션에서는 필터 VLAN 옵션이 작동하지 않습니다.

- Cisco ASR 1000 시리즈 라우터의 ERSPAN은 레이어 3 인터페이스만 지원합니다. 레이어 2 인터페이스로 구성된 경우 이더넷 인터페이스는 ERSPAN에서 지원되지 않습니다.

- ERSPAN 구성 CLI를 통해 세션을 구성하는 경우 세션 ID 및 세션 유형을 변경할 수 없습니다. 이를 변경하려면 먼저 구성 명령의 no 형식을 사용하여 세션을 제거한 다음 세션을 재구성해야 합니다.

- Cisco IOS XE 릴리스 3.4S:- IPsec으로 보호되지 않는 터널 패킷 모니터링은 ERSPAN 대상 세션이 아닌 ERSPAN 소스 세션에 대해서만 IP 터널 인터페이스를 통한 IPv6 및 IPv6에서 지원됩니다.

- Cisco IOS XE 릴리스 3.5S에는 소스 세션의 소스 포트로 다음 유형의 WAN 인터페이스에 대한 지원이 추가되었습니다. 직렬(T1/E1, T3/E3, DS0), POS(Packet over SONET)(OC3, OC12) 및 Multilink PPP(multilink, pos 및 serial 키워드가 소스 인터페이스 명령에 추가되었습니다).

스판, RSPAN, 에르스판 3

ERSPAN을 로컬 SPAN으로 사용:

ERSPAN을 사용하여 동일한 장치에 있는 하나 이상의 포트 또는 VLAN을 통해 트래픽을 모니터링하려면 동일한 장치에 ERSPAN 소스 및 ERSPAN 대상 세션을 생성해야 하며, 데이터 흐름은 로컬 SPAN과 유사하게 라우터 내부에서 발생합니다.

ERSPAN을 로컬 SPAN으로 사용하는 동안 다음 요소가 적용 가능합니다.

- 두 세션 모두 동일한 ERSPAN ID를 갖습니다.

- 두 세션 모두 동일한 IP 주소를 갖습니다. 이 IP 주소는 라우터 자체 IP 주소입니다. 즉, 루프백 IP 주소 또는 포트에 구성된 IP 주소입니다.

(config)# 모니터 세션 10 유형 ersspan-source
(config-mon-erspan-src)# 소스 인터페이스 Gig0/0/0
(config-mon-erspan-src)# 대상
(config-mon-erspan-src-dst)# IP 주소 10.10.10.1
(config-mon-erspan-src-dst)# 원본 IP 주소 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

스판, RSPAN, 에르스판 4


게시 시간: 2024년 8월 28일