SPAN, RSPAN, ERSPAN은 네트워킹에서 트래픽을 캡처하고 모니터링하여 분석하는 데 사용되는 기술입니다. 각 기술에 대한 간략한 개요는 다음과 같습니다.
SPAN(스위치 포트 분석기)
용도: 모니터링을 위해 스위치의 특정 포트나 VLAN에서 다른 포트로 트래픽을 미러링하는 데 사용됩니다.
사용 사례: 단일 스위치의 로컬 트래픽 분석에 적합합니다. 트래픽은 네트워크 분석기가 캡처할 수 있는 지정된 포트로 미러링됩니다.
RSPAN(원격 SPAN)
목적: 네트워크 내 여러 스위치에 걸쳐 SPAN 기능을 확장합니다.
사용 사례: 트렁크 링크를 통해 한 스위치에서 다른 스위치로의 트래픽을 모니터링할 수 있습니다. 모니터링 장치가 다른 스위치에 있는 경우에 유용합니다.
ERSPAN(캡슐화된 원격 SPAN)
목적: RSPAN을 GRE(일반 라우팅 캡슐화)와 결합하여 미러링된 트래픽을 캡슐화합니다.
사용 사례: 라우팅된 네트워크 전반의 트래픽을 모니터링할 수 있습니다. 이는 여러 세그먼트에 걸쳐 트래픽을 캡처해야 하는 복잡한 네트워크 아키텍처에서 유용합니다.
스위치 포트 분석기(SPAN)는 효율적이고 고성능의 트래픽 모니터링 시스템입니다. 소스 포트 또는 VLAN에서 목적지 포트로 트래픽을 전달하거나 미러링합니다. 이를 세션 모니터링이라고도 합니다. SPAN은 연결 문제 해결, 네트워크 사용률 및 성능 계산 등 다양한 용도로 사용됩니다. 시스코 제품에서는 세 가지 유형의 SPAN을 지원합니다.
a. SPAN 또는 로컬 SPAN.
b. 원격 SPAN(RSPAN).
c. 캡슐화된 원격 SPAN(ERSPAN).
알아두세요: "SPAN, RSPAN 및 ERSPAN 기능을 갖춘 Mylinking™ 네트워크 패킷 브로커"
SPAN/트래픽 미러링/포트 미러링은 다양한 목적으로 사용되며, 아래는 그 중 일부입니다.
- IDS/IPS를 무차별 모드로 구현합니다.
- VOIP 통화 녹음 솔루션.
- 보안 규정을 준수하기 위해 트래픽을 모니터링하고 분석해야 합니다.
- 연결 문제 해결, 트래픽 모니터링.
실행 중인 SPAN 유형에 관계없이 SPAN 소스는 라우팅된 포트, 물리적 스위치 포트, 액세스 포트, 트렁크, VLAN(모든 활성 포트는 스위치에서 모니터링됨), EtherChannel(포트 또는 전체 포트 채널 인터페이스) 등 모든 유형의 포트가 될 수 있습니다. SPAN 대상에 대해 구성된 포트는 SPAN 소스 VLAN의 일부가 될 수 없습니다.
SPAN 세션은 유입 트래픽(ingress SPAN), 유출 트래픽(egress SPAN) 또는 양방향으로 흐르는 트래픽의 모니터링을 지원합니다.
- Ingress SPAN(RX)은 소스 포트와 VLAN에서 수신한 트래픽을 대상 포트로 복사합니다. SPAN은 수정 전(예: VACL 또는 ACL 필터, QoS, 수신 또는 송신 폴리싱)에 트래픽을 복사합니다.
- Egress SPAN(TX)은 소스 포트와 VLAN에서 전송되는 트래픽을 대상 포트로 복사합니다. 스위치가 트래픽을 SPAN 대상 포트로 전달하기 전에 VACL 또는 ACL 필터, QoS, 수신/송신 폴리싱 등의 모든 관련 필터링 또는 수정이 수행됩니다.
- both 키워드를 사용하면 SPAN은 소스 포트와 VLAN에서 수신 및 전송된 네트워크 트래픽을 대상 포트로 복사합니다.
- SPAN/RSPAN은 일반적으로 CDP, STP BPDU, VTP, DTP 및 PAgP 프레임을 무시합니다. 하지만 encapsulation replicate 명령이 구성된 경우 이러한 트래픽 유형을 전달할 수 있습니다.
SPAN 또는 로컬 SPAN
SPAN은 스위치의 하나 이상의 인터페이스에서 동일한 스위치의 하나 이상의 인터페이스로 트래픽을 미러링합니다. 따라서 SPAN은 주로 LOCAL SPAN이라고 합니다.
로컬 SPAN에 대한 지침 또는 제한 사항:
- 2계층 스위치 포트와 3계층 포트 모두 소스 포트 또는 대상 포트로 구성할 수 있습니다.
- 소스는 하나 이상의 포트 또는 VLAN이 될 수 있지만, 이러한 것들을 혼합한 형태는 될 수 없습니다.
- 트렁크 포트는 유효한 소스 포트와 트렁크가 아닌 소스 포트가 혼합된 것입니다.
- 스위치에는 최대 64개의 SPAN 대상 포트를 구성할 수 있습니다.
- 대상 포트를 구성하면 원래 구성이 덮어쓰여집니다. SPAN 구성이 제거되면 해당 포트의 원래 구성이 복원됩니다.
- 대상 포트를 구성할 때, 해당 포트가 EtherChannel 번들에 속해 있었다면 해당 번들에서 제거됩니다. 라우팅된 포트였다면 SPAN 대상 구성이 라우팅된 포트 구성을 재정의합니다.
- 대상 포트는 포트 보안, 802.1x 인증 또는 개인 VLAN을 지원하지 않습니다.
- 포트는 단 하나의 SPAN 세션에 대해서만 대상 포트 역할을 할 수 있습니다.
- 포트가 스팬 세션의 소스 포트이거나 소스 VLAN의 일부인 경우 대상 포트로 구성할 수 없습니다.
- 포트 채널 인터페이스(EtherChannel)는 SPAN에 대한 소스 포트로는 구성할 수 있지만 대상 포트로는 구성할 수 없습니다.
- SPAN 소스의 경우 트래픽 방향은 기본적으로 "둘 다"입니다.
- 대상 포트는 스패닝 트리 인스턴스에 참여하지 않습니다. DTP, CDP 등을 지원할 수 없습니다. 로컬 SPAN은 모니터링되는 트래픽에 BPDU를 포함하므로 대상 포트에서 확인되는 모든 BPDU는 소스 포트에서 복사됩니다. 따라서 네트워크 루프가 발생할 수 있으므로 이러한 유형의 SPAN에 스위치를 연결하지 마십시오. AI 도구는 작업 효율성을 향상시킵니다.감지할 수 없는 AI서비스는 AI 도구의 품질을 향상시킬 수 있습니다.
- VLAN이 SPAN 소스(대부분 VSPAN이라고 함)로 구성되고 수신 및 송신 옵션이 모두 설정된 경우, 패킷이 동일한 VLAN에서 스위칭되는 경우에만 소스 포트에서 중복 패킷을 전달합니다. 패킷의 한 사본은 수신 포트의 수신 트래픽에서, 다른 사본은 송신 포트의 송신 트래픽에서 생성됩니다.
- VSPAN은 VLAN의 2계층 포트에서 나가거나 들어오는 트래픽만 모니터링합니다.
원격 SPAN(RSPAN)
원격 SPAN(RSPAN)은 SPAN과 유사하지만, 서로 다른 스위치의 소스 포트, 소스 VLAN, 그리고 목적지 포트를 지원합니다. 이를 통해 여러 스위치에 분산된 소스 포트에서 원격 모니터링 트래픽을 제공하고 목적지 네트워크 캡처 장치를 중앙에서 관리할 수 있습니다. 각 RSPAN 세션은 참여하는 모든 스위치에서 사용자가 지정한 전용 RSPAN VLAN을 통해 SPAN 트래픽을 전송합니다. 이 VLAN은 다른 스위치로 트렁킹되어 RSPAN 세션 트래픽이 여러 스위치를 거쳐 목적지 캡처링 스테이션으로 전달될 수 있도록 합니다. RSPAN은 RSPAN 소스 세션, RSPAN VLAN, 그리고 RSPAN 목적지 세션으로 구성됩니다.
RSPAN에 대한 지침 또는 제한 사항:
- 트렁크 링크를 통해 중간 스위치를 거쳐 대상 포트로 이동하는 SPAN 대상에 대해 특정 VLAN을 구성해야 합니다.
- 동일한 소스 유형을 생성할 수 있습니다. 즉, 최소 1개의 포트 또는 최소 1개의 VLAN을 생성할 수 있지만 혼합할 수는 없습니다.
- 세션의 대상은 스위치의 단일 포트가 아니라 RSPAN VLAN이므로 RSPAN VLAN의 모든 포트가 미러링된 트래픽을 수신합니다.
- 모든 참여 네트워크 장치가 RSPAN VLAN 구성을 지원하고 각 RSPAN 세션에 대해 동일한 RSPAN VLAN을 사용하는 한 모든 VLAN을 RSPAN VLAN으로 구성합니다.
- VTP는 1~1024번 VLAN 구성을 RSPAN VLAN으로 전파할 수 있으며, 모든 소스, 중간 및 대상 네트워크 장치에서 1024번보다 큰 번호의 VLAN을 RSPAN VLAN으로 수동으로 구성해야 합니다.
- RSPAN VLAN에서는 MAC 주소 학습이 비활성화되어 있습니다.
캡슐화된 원격 SPAN(ERSPAN)
캡슐화된 원격 SPAN(ERSPAN)은 캡처된 모든 트래픽에 대한 일반 라우팅 캡슐화(GRE)를 제공하고 이를 3계층 도메인으로 확장할 수 있게 해줍니다.
ERSPAN은시스코 독점이 기능은 현재 Catalyst 6500, 7600, Nexus 및 ASR 1000 플랫폼에서만 사용할 수 있습니다. ASR 1000은 고속 이더넷, 기가비트 이더넷 및 포트 채널 인터페이스에서만 ERSPAN 소스(모니터링)를 지원합니다.
ERSPAN에 대한 지침 또는 제한 사항:
- ERSPAN 소스 세션은 소스 포트에서 ERSPAN GRE 캡슐화된 트래픽을 복사하지 않습니다. 각 ERSPAN 소스 세션은 포트 또는 VLAN 중 하나를 소스로 사용할 수 있지만, 둘 다를 사용할 수는 없습니다.
- 구성된 MTU 크기에 관계없이 ERSPAN은 최대 9,202바이트 길이의 레이어 3 패킷을 생성합니다. ERSPAN 트래픽은 네트워크에서 9,202바이트보다 작은 MTU 크기를 적용하는 모든 인터페이스에서 삭제될 수 있습니다.
- ERSPAN은 패킷 조각화를 지원하지 않습니다. ERSPAN 패킷의 IP 헤더에 "조각화 안 함" 비트가 설정되어 있습니다. ERSPAN 대상 세션은 조각화된 ERSPAN 패킷을 재구성할 수 없습니다.
- ERSPAN ID는 다양한 ERSPAN 소스 세션에서 동일한 대상 IP 주소에 도착한 ERSPAN 트래픽을 구별합니다. 구성된 ERSPAN ID는 소스 및 대상 장치에서 일치해야 합니다.
- 소스 포트 또는 소스 VLAN에 대해 ERSPAN은 수신, 송신, 또는 수신 및 송신 트래픽을 모두 모니터링할 수 있습니다. 기본적으로 ERSPAN은 멀티캐스트 및 BPDU(Bridge Protocol Data Unit) 프레임을 포함한 모든 트래픽을 모니터링합니다.
- ERSPAN 소스 세션의 소스 포트로 지원되는 터널 인터페이스는 GRE, IPinIP, SVTI, IPv6, IPv6 over IP 터널, 멀티포인트 GRE(mGRE) 및 보안 가상 터널 인터페이스(SVTI)입니다.
- ERSPAN 모니터링 세션에서 WAN 인터페이스의 필터 VLAN 옵션이 작동하지 않습니다.
- Cisco ASR 1000 시리즈 라우터의 ERSPAN은 3계층 인터페이스만 지원합니다. 2계층 인터페이스로 구성된 ERSPAN에서는 이더넷 인터페이스가 지원되지 않습니다.
- ERSPAN 구성 CLI를 통해 세션을 구성한 경우, 세션 ID와 세션 유형을 변경할 수 없습니다. 변경하려면 먼저 구성 명령의 no 형식을 사용하여 세션을 제거한 후 세션을 재구성해야 합니다.
- Cisco IOS XE 릴리스 3.4S: IPsec으로 보호되지 않는 터널 패킷 모니터링은 IPv6 및 IPv6 over IP 터널 인터페이스에서만 지원되며 ERSPAN 소스 세션에는 지원되지 않고 ERSPAN 대상 세션에는 지원되지 않습니다.
- Cisco IOS XE 릴리스 3.5S에서는 소스 세션의 소스 포트로 다음 유형의 WAN 인터페이스에 대한 지원이 추가되었습니다. 직렬(T1/E1, T3/E3, DS0), SONET을 통한 패킷(POS)(OC3, OC12) 및 멀티링크 PPP(소스 인터페이스 명령에 multilink, pos 및 serial 키워드가 추가됨).
ERSPAN을 로컬 SPAN으로 사용:
동일한 장치에서 하나 이상의 포트 또는 VLAN을 통해 트래픽을 모니터링하기 위해 ERSPAN을 사용하려면 동일한 장치에서 ERSPAN 소스 및 ERSPAN 대상 세션을 만들어야 합니다. 데이터 흐름은 로컬 SPAN과 유사하게 라우터 내부에서 이루어집니다.
ERSPAN을 로컬 SPAN으로 사용하는 경우 다음 요소가 적용됩니다.
- 두 세션 모두 동일한 ERSPAN ID를 가지고 있습니다.
- 두 세션 모두 동일한 IP 주소를 갖습니다. 이 IP 주소는 라우터 자체의 IP 주소, 즉 루프백 IP 주소 또는 임의의 포트에 설정된 IP 주소입니다.
| (config)# monitor session 10 type erspan-source |
| (config-mon-erspan-src)# 소스 인터페이스 Gig0/0/0 |
| (config-mon-erspan-src)# 대상 |
| (config-mon-erspan-src-dst)# IP 주소 10.10.10.1 |
| (config-mon-erspan-src-dst)# 원본 IP 주소 10.10.10.1 |
| (config-mon-erspan-src-dst)# erspan-id 100 |
게시 시간: 2024년 8월 28일
