SPAN, RSPAN 및 ERSPAN 이해하기: 네트워크 트래픽 모니터링 기법

SPAN, RSPAN, ERSPAN은 네트워크에서 트래픽을 캡처하고 모니터링하여 분석하는 데 사용되는 기술입니다. 각 기술에 대한 간략한 개요는 다음과 같습니다.

SPAN(스위치 포트 분석기)

목적: 스위치의 특정 포트 또는 VLAN의 트래픽을 모니터링을 위해 다른 포트로 미러링하는 데 사용됩니다.

사용 사례: 단일 스위치에서 로컬 트래픽 분석에 이상적입니다. 트래픽은 지정된 포트로 미러링되어 네트워크 분석기가 캡처할 수 있습니다.

RSPAN(원격 SPAN)

목적: 네트워크 내 여러 스위치에 걸쳐 SPAN 기능을 확장합니다.

사용 사례: 트렁크 링크를 통해 한 스위치에서 다른 스위치로의 트래픽을 모니터링할 수 있습니다. 모니터링 장치가 다른 스위치에 있는 시나리오에 유용합니다.

ERSPAN(캡슐화된 원격 SPAN)

목적: RSPAN과 GRE(Generic Routing Encapsulation)를 결합하여 미러링된 트래픽을 캡슐화합니다.

사용 사례: 라우팅된 네트워크 전반의 트래픽을 모니터링할 수 있습니다. 이는 여러 세그먼트에 걸쳐 트래픽을 캡처해야 하는 복잡한 네트워크 아키텍처에서 유용합니다.

스위치 포트 분석기(SPAN)는 효율적이고 고성능의 트래픽 모니터링 시스템입니다. 소스 포트 또는 VLAN에서 대상 포트로 트래픽을 전달하거나 미러링합니다. 이를 세션 모니터링이라고도 합니다. SPAN은 연결 문제 해결, 네트워크 사용률 및 성능 계산 등 다양한 용도로 사용됩니다. 시스코 제품에서 지원하는 SPAN 유형은 세 가지가 있습니다…

a. SPAN 또는 로컬 SPAN.

b. 원격 SPAN(RSPAN).

c. 캡슐화된 원격 SPAN(ERSPAN).

알아두면 좋은 정보:SPAN, RSPAN 및 ERSPAN 기능을 갖춘 Mylinking™ 네트워크 패킷 브로커"

SPAN/트래픽 미러링/포트 미러링은 다양한 용도로 사용되며, 아래에 몇 가지 예시가 나와 있습니다.

- 무차별 모드로 IDS/IPS 구현.

- VOIP 통화 녹음 솔루션.

- 보안 규정 준수를 위해 트래픽을 모니터링하고 분석해야 합니다.

- 연결 문제 해결 및 트래픽 모니터링.

실행 중인 SPAN 유형과 관계없이 SPAN 소스는 라우팅 포트, 물리적 스위치 포트, 액세스 포트, 트렁크, VLAN(스위치의 모든 활성 포트가 모니터링됨), EtherChannel(포트 또는 전체 포트 채널 인터페이스) 등 모든 유형의 포트가 될 수 있습니다. SPAN 대상으로 구성된 포트는 SPAN 소스 VLAN에 속할 수 없습니다.

SPAN 세션은 수신 트래픽(수신 SPAN), 송신 트래픽(송신 SPAN) 또는 양방향으로 흐르는 트래픽 모니터링을 지원합니다.

- Ingress SPAN(RX)은 소스 포트와 VLAN에서 수신된 트래픽을 대상 포트로 복사합니다. SPAN은 트래픽을 수정하기 전(예: VACL 또는 ACL 필터, QoS 또는 인그레스/이그레스 폴리싱 적용 전)에 복사합니다.

- 이그레스 SPAN(TX)은 소스 포트 및 VLAN에서 전송된 트래픽을 대상 포트로 복사합니다. 스위치가 트래픽을 SPAN 대상 포트로 전달하기 전에 VACL 또는 ACL 필터, QoS 또는 인그레스/이그레스 폴리싱 조치에 의한 모든 관련 필터링 또는 수정이 수행됩니다.

- both 키워드를 사용하면 SPAN은 소스 포트와 VLAN에서 수신 및 전송된 네트워크 트래픽을 대상 포트로 복사합니다.

- SPAN/RSPAN은 일반적으로 CDP, STP BPDU, VTP, DTP 및 PAgP 프레임을 무시합니다. 그러나 캡슐화 복제 명령이 구성된 경우 이러한 트래픽 유형을 전달할 수 있습니다.

SPAN 또는 로컬 SPAN

SPAN은 스위치의 하나 이상의 인터페이스에서 동일한 스위치의 하나 이상의 인터페이스로 트래픽을 미러링합니다. 따라서 SPAN은 주로 로컬 SPAN이라고도 합니다.

현지 SPAN에 대한 지침 또는 제한 사항:

- 레이어 2 스위칭 포트와 레이어 3 포트 모두 소스 또는 대상 포트로 구성할 수 있습니다.

- 소스는 하나 이상의 포트 또는 VLAN일 수 있지만, 이 둘을 혼합해서 사용할 수는 없습니다.

- 트렁크 포트는 비트렁크 소스 포트와 혼합된 유효한 소스 포트입니다.

- 스위치에는 최대 64개의 SPAN 대상 포트를 구성할 수 있습니다.

- 대상 포트를 구성하면 기존 구성이 덮어쓰여집니다. SPAN 구성을 제거하면 해당 포트의 기존 구성이 복원됩니다.

- 대상 포트를 구성하면 해당 포트가 EtherChannel 번들에 속해 있었다면 해당 번들에서 제거됩니다. 라우팅 포트였던 경우 SPAN 대상 구성이 라우팅 포트 구성을 재정의합니다.

- 대상 포트는 포트 보안, 802.1x 인증 또는 프라이빗 VLAN을 지원하지 않습니다.

- 포트는 하나의 SPAN 세션에 대해서만 목적지 포트 역할을 할 수 있습니다.

- 스팬 세션의 소스 포트이거나 소스 VLAN의 일부인 포트는 대상 포트로 구성할 수 없습니다.

- 포트 채널 인터페이스(EtherChannel)는 SPAN의 소스 포트로 구성할 수 있지만 대상 포트로는 구성할 수 없습니다.

- SPAN 소스의 경우 트래픽 방향은 기본적으로 "양방향"입니다.

- 대상 포트는 스패닝 트리 인스턴스에 참여하지 않습니다. DTP, CDP 등을 지원하지 않습니다. 로컬 SPAN은 모니터링되는 트래픽에 BPDU를 포함하므로 대상 포트에서 보이는 모든 BPDU는 소스 포트에서 복사된 것입니다. 따라서 스위치를 이러한 유형의 SPAN에 연결하면 네트워크 루프가 발생할 수 있으므로 절대 연결하지 마십시오. AI 도구는 업무 효율성을 향상시켜 줄 것입니다.감지 불가능한 AI이 서비스는 AI 도구의 품질을 향상시킬 수 있습니다.

- VLAN이 SPAN 소스(주로 VSPAN이라고 함)로 구성되고 수신 및 송신 옵션이 모두 설정된 경우, 소스 포트에서 중복 패킷은 동일한 VLAN 내에서 스위칭되는 경우에만 전달됩니다. 패킷의 하나는 수신 포트의 수신 트래픽이고, 다른 하나는 송신 포트의 송신 트래픽입니다.

- VSPAN은 VLAN의 레이어 2 포트를 통해 나가거나 들어오는 트래픽만 모니터링합니다.