گاها نیاز به مانتیور کردن پورتی از سوئیچ را به علتی (مانند رفع ایراد، بررسی مشکلات امنیتی و …) داریم. این کار را میتوان به روشهای مختلفی مانند نصب نرم افزارهای third party مانند wireshark بروی سرویس دهنده، انجام تست از سمت کاربر و ایجاد بار ترافیکی تحیلی یا امنیتی یا مانتیور کردن پورت با SPAN انجام داد. مشکل دو روش اول، درگیر شدن سرور است، در حالی که در روش سوم، سوئیچ به وسیله ویژگیهایی کپی ایی از ترافیک پورت مورد نظر را ایجاد کرده و برای پورت مقصد به منظور آنالیز ارسال میکند.
مانتیور کردن پورت با SPAN به روش Local
در SPAN یا Switch Port Analyze، ترافیک پورت مورد نظر بروی پورت دوم کپی میشود. اگر پورت دوم که ترافیک برویش کپی میشود، در همان سوئیچ باشد، روش LSPAN یا Local SPAN میباشد.
برای انجام این کار باید ملاحظاتی رعایت شوند. میتوان کپی ترافیک چند پورت را برای یک پورت ارسال کرد، به شرطی که مجموع ترافیکی که قرار است مانیتور شود به اندازه throughput پورت باشد. از دیگر موارد این است که نباید بروی پورتی که ترافیک ها را ارسال میکنیم، ترافیک دیگری وجود داشته باشد تا مانیتورینگ دقیق انجام شود. به صورت پیش فرض ترافیک خود پورت غیر فعال است اما میتوان آنرا فعال نمود.
RSPAN
در صورتیکه به هر علتی، امکان قرار دادن سیستمی در همان سوئیچ برای مانیتور کردن و کار به صورت LSPAN نباشد، میتوانیم ترافیک رو برای پورت سوئیچ دیگری ارسال کنیم. به این روش Remote SPAN یا RSPAN گفته میشود. برای انتقال ترافیک RSPAN به یک VLAN که وظیفهاش انتقال ترافیک SPAN است نیاز داریم که به آن Remote SPAN VLAN گفته میشود.
در بسیاری از موارد، این کپی کردن برای راهاندازی IDS – IPS در شبکه با نرم افزارهایی مانند snort است.
ERSPAN
زمانی که RSPAN را انجام میدهیم، انتقال ترافیک به صورت لایه دویی (عبور ترافیک بروی VLAN) انجام میشود. روش انتقال میتواند به صورت لایه 3 و براساس IP نیز انجام شود. نام این روش ERSPAN است. در ERSPAN یک پورت را در محیط لایه 3 برای یک جای دیگر کپی کرده و انتقال میدهد. این روش در ایران به دلیل محدودیت های پهنای باندی مناسب نیست. برای انجام این کار بین مبدا و مقصد یک tunnel ایجاد میشود. همه سوئیچها ERSPAN را پشتیبانی نمیکنند.
نحوه انجام تنظمیات
انجام تنظیمات با دستور monitor session انجام میشود. ترافیکی از یک source کپی میشود یک session است و شماره منحصر به فرد خود را دارد. از این شماره برای مشخص ترافیک و مقصد نیز استفاده میشود. اگر source دیگری نیز برای کپی کردن مد نظر باشد شماره session اش بایستی با sourceهای قبلی متفاوت باشد.
Source یک پورت است که میخواهیم از آن کپی بگیریم، Rx و Tx نیز مشخص کننده ی این موضوع هستند که دریافت یا ارسال ترافیک پورت مورد نظر یا هر دو کپی شود.
مثال از monitor کردن در LSPAN و RSAPN
در تنظیمات RSAPN بایستی Remote SPAN VLAN را نیز تعیین کنیم. برای اینکه مشخص کنیم VLAN ایی برای انتقال ترافیک SPAN است باید از دستور remote-vlan در محیط VLAN استفاده کنیم. بدیهی است که تمام سوئیچ های شبکه باید بدانند کدام VLAN یا VLAN ها مسئول انتقال ترافیک VLAN هستند، برای اینکار یا از STP استفاده میکنیم یا در تمام سوئیچ های درگیر انتقال از دستور remote-span در VLAN مربوط استفاده میشود.
در این مثال VLAN 99 برای انتقال ترافیک monitoring است. برای هر سه سوئیچی که در سناریو مشخص است VLAN انتقال دهنده ترافیک باید وجود داشته باشد.
به علت متفاوت بودن remote-span vlan با VLAN های دیگر، کسی نمیتواند در این VLAN باشد.