مانتیور کردن پورت با SPAN

0
2471

گاها نیاز به مانتیور کردن پورتی از سوئیچ را به علتی (مانند رفع ایراد، بررسی مشکلات امنیتی و …) داریم. این کار را می‌توان به روش‌های مختلفی مانند نصب نرم افزارهای third party مانند wireshark بروی سرویس دهنده، انجام تست از سمت کاربر و ایجاد بار ترافیکی تحیلی یا امنیتی یا مانتیور کردن پورت با SPAN انجام داد. مشکل دو روش اول، درگیر شدن سرور است، در حالی که در روش سوم، سوئیچ به وسیله ویژگی‌هایی کپی ایی از ترافیک پورت مورد نظر را ایجاد کرده و برای پورت مقصد به منظور آنالیز ارسال می‌کند.

مانتیور کردن پورت با SPAN به روش Local

در SPAN یا Switch Port Analyze، ترافیک پورت مورد نظر بروی پورت دوم کپی می‌شود. اگر پورت دوم که ترافیک برویش کپی می‌شود، در همان سوئیچ باشد، روش LSPAN یا Local SPAN می‌باشد.

برای انجام این کار باید ملاحظاتی رعایت شوند. می‌توان کپی ترافیک چند پورت را برای یک پورت ارسال کرد، به شرطی که مجموع ترافیکی که قرار است مانیتور شود به اندازه throughput پورت باشد. از دیگر موارد این است که نباید بروی پورتی که ترافیک ها را ارسال می‌کنیم، ترافیک دیگری وجود داشته باشد تا مانیتورینگ دقیق انجام شود. به صورت پیش فرض ترافیک خود پورت غیر فعال است اما می‌توان آنرا فعال نمود.

RSPAN

در صورتیکه به هر علتی، امکان قرار دادن سیستمی در همان سوئیچ برای مانیتور کردن و کار به صورت LSPAN نباشد، می‌توانیم ترافیک رو برای پورت سوئیچ دیگری ارسال کنیم. به این روش Remote SPAN یا RSPAN گفته می‌شود. برای انتقال ترافیک RSPAN به یک VLAN که وظیفه‌اش انتقال ترافیک SPAN است نیاز داریم که به آن Remote SPAN VLAN گفته می‌شود.

در بسیاری از موارد، این کپی کردن برای راه‌اندازی IDS – IPS در شبکه با نرم افزارهایی مانند snort است.

ERSPAN

زمانی که RSPAN را انجام می‌دهیم، انتقال ترافیک به صورت لایه دویی (عبور ترافیک بروی VLAN) انجام می‌شود. روش انتقال می‌تواند به صورت لایه 3 و براساس IP نیز انجام شود. نام این روش ERSPAN است. در ERSPAN یک پورت را در محیط لایه 3 برای یک جای دیگر کپی کرده و انتقال می‌دهد. این روش در ایران به دلیل محدودیت های پهنای باندی مناسب نیست. برای انجام این کار بین مبدا و مقصد یک tunnel ایجاد می‌شود. همه سوئیچ‌ها ERSPAN را پشتیبانی نمی‌کنند.

نحوه انجام تنظمیات

انجام تنظیمات با دستور monitor session انجام می‌شود. ترافیکی از یک source کپی می‌شود یک session است و شماره منحصر به فرد خود را دارد. از این شماره برای مشخص ترافیک و مقصد نیز استفاده می‌شود. اگر source دیگری نیز برای کپی کردن مد نظر باشد شماره session اش بایستی با sourceهای قبلی متفاوت باشد.

Source یک پورت است که می‌خواهیم از آن کپی بگیریم، Rx و Tx نیز مشخص کننده ی این موضوع هستند که دریافت یا ارسال ترافیک پورت مورد نظر یا هر دو کپی شود.

مثال از monitor کردن در LSPAN و RSAPN

در تنظیمات RSAPN بایستی Remote SPAN VLAN را نیز تعیین کنیم. برای اینکه مشخص کنیم VLAN ایی برای انتقال ترافیک SPAN است باید از دستور remote-vlan در محیط VLAN استفاده کنیم. بدیهی است که تمام سوئیچ های شبکه باید بدانند کدام VLAN یا VLAN ها مسئول انتقال ترافیک VLAN هستند، برای اینکار یا از STP استفاده می‌کنیم یا در تمام سوئیچ های درگیر انتقال از دستور remote-span در VLAN مربوط استفاده می‌شود.

در این مثال VLAN 99 برای انتقال ترافیک monitoring است. برای هر سه سوئیچی که در سناریو مشخص است VLAN انتقال دهنده ترافیک باید وجود داشته باشد.

به علت متفاوت بودن remote-span vlan با VLAN های دیگر، کسی نمی‌تواند در این VLAN باشد.

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید