در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Port Mirroring چیست؟ بررسی مفهوم و تکنیک SPAN و RSPAN در سیسکو

قبلا در انجمن تخصصی فناوری اطلاعات ایران در خصوص نحوه استفاده از سیستم های جلوگیری از نفوذ در سیسکو و همچنین سیستم های تشخیص نفوذ صحبت کرده ایم و حتی روش مانیتورینگ ترافیک تجهیزات در تجهیزات با استفاده از مکانیزم NetFlow را نیز برای شما تشریح کردیم. اما در همه این موارد بایستی یک نوع ترافیک به سمت نرم افزار تحلیلگر ارسال شود تا بتواند این ترافیک را تفسیر و در نهایت در خصوص آن به ما اطلاعات ارائه کند.

بهترین راهکار برای دریافت ترافیک بصورت واقعی و بدون کمی و کاستی از تجهیزات شبکه به ویژه سویچ های شبکه استفاده از تکنیکی به نام Port Mirroring می باشد. تکنیک Port Mirroring در سویچ های شبکه استفاده می شود شما با استفاده از این قابلیت یک کپی از کلیه اطلاعاتی که در سویچ رد و بدل می شود را بصورت تمام و کمال حتی بعضا کل ترافیک شبکه LAN را به سمت یک پورت خاص از سویچ هدایت می کنید که در آن سمت قضیه یک نرم افزار آنالیزور ترافیک وجود دارد.

Port Mirroring چیست

ممکن است با خود فکر کنید که این تکنیک در کجا ها استفاده می شود ؟ تقریبا در تمامی تجهیزات مانیتورینگ ترافیک شبکه از جمله سیستم های تشخیص نفوذ یا IDS ها ، سیستم های جلوگیری از نفوذ یا IPS ها ، سیستم های Passive Probe ، سیستم های مانیتورینگ واقعی کاربران یا Real User Monitoring که به RUM معروف هستند و در نهایت تجهیزاتی که برای بررسی عملکرد و کارایی نرم افزارهای کاربردی شبکه شما استفاده می شوند Port Mirroring می تواند بسیار مفید باشد.

توجه کنید که Port Mirroring با NetFlow یک تفاوت اصلی دارد و ممکن است شما ایندو را با هم اشتباه بگیرید ، در NetFlow شما در واقع Meta Data را از شبکه دریافت می کنید و اطلاعات اصلی را هرگز دریافت نمی کنید ، یعنی اصل داده اطلاعاتی حذف می شود و برای نرم افزار مانیتورینگ ترافیک فقط Meta Data که شامل اطلاعات کلی و جانبی بسته اطلاعاتی است ارسال می شود ، اما در Port Mirroring تمامی بسته های اطلاعاتی رد و بدل شده در تجهیزات بصورت تمام و کمال برای پورت مورد نظر ارسال می شوند و به همین دلیل محتوای اطلاعات نیز در چنین حالتی قابل تجزیه و تحلیل می باشد.

تکنیک Port Mirroring در سویچ های سیسکو به عنوان تکنیک( Switched Port Analyzer ( SPAN یا (Remote Switched Port Analyzer (RSPAN معروف است . در سایر برند های تولید کننده تجهیزات شبکه مانند 3COM با اسامی مختلفی مثل Roving Analysis Port یا RAP نیز معروف است که با توجه به اینکه اولویت ما در سازمان ها استفاده از سویچ های شرکت سیسکو است امروز در انجمن تخصصی فناوری اطلاعات ایران در خصوص قابلیت های موجود بر روی سویچ های سیسکو صحبت خواهیم کرد.

مهندسین و مدیران شبکه با استفاده از قابلیت Port Mirroring می توانند مشکلات شبکه را تجزیه و تحلیل و داده های مورد نظر خودشان را Debug و در نهایت مشکلاتی که در شبکه آنها وجود دارد را شناسایی و حل کنند. Port Mirroring به این افراد اجازه می دهد که بتوانند کارایی شبکه خود را مرتبا تحت کنترل داشته باشند و در صورت بروز مشکل بلافاصله برای رفع مشکل اقدام کنند. شما می توانید در تعریف کردن Port Mirroring در سویچ های خود هم ترافیک ورودی یا ingress و هم ترافیک خروجی یا egress را Mirror کنید که معمولا ما فقط برای تحلیل در بیشتر موارد فقط به ترافیک ورودی اکتفا می کنیم ، این ترافیک می تواند از یک پورت خاص سویچ یا کل interface های یک سویچ باشد.

همانطور که قبلا هم عنوان کردیم سویچ های شرکت سیسکو قابلیتی دارند به نام SPAN که به شما این امکان را می دهد که ترافیک یک پورت فیزیکی خاص یا حتی یک VLAN خاص را Mirror کنید. این قابلیت به شدت برای اطمینان از صحت عملکرد شبکه پیشنهاد می شود ، به ویژه در فرآیند های مانیتورینگ امنیتی استفاده از SPAN یکی از پیشنهاد های اصلی یک کارشناس امنیت می تواند باشد.

Port Mirroring یا SPAN در سویچ های سیسکو چیست

SPAN چیست ؟

قابلیت های تعریف کردن مقصد در تکنیک SPAN از روزی که این تکنیک معرفی شده است بسیار پیشرفت کرده است. زمانیکه صحبت از SPAN می شود یعنی آدرس مبدا و مقصدی که قرار است ترافیک از آن گرفته و به آن ارسال شوند بر روی همان سویچی قرار دارند که در حال حاضر به آن متصل شده ایم. اگر ترافیک قرار باشد از سویچ دیگری دریافت شود و در واقع مقصد ما یک سویچ Remote باشد تکنیک دیگری به نام Remote SPAN استفاده می شود. برای اینکه RSPAN به درستی کار کند یک VLAN اختصاصی باید به RSPAN اختصاص پیدا کند که ترافیک مانیتور شده بین سویچ مبدا و مقصد را از آن عبور بدهیم.

در نهایت اگر قرار باشد که ترافیک ما از بین چندین مسیریاب و زیرساخت شبکه مختلف عبور داده شود از تکنیک دیگری به نام ERSPAN استفاده می کنیم. مبدا یا Source ای که در SPAN تعریف می شود متشکل از حداقل یک پورت فیزیکی یا یک VLAN روی همان سویچی است که می خواهیم آن را مانیتور کنیم. پورت مقصد نیز بایستی بر روی همان سویچ قرار گرفته باشد. زمانیکه پیکربندی شد ترافیک SPAN Source به سمت SPAN Destination Port ارسال می شود. توپولوژی کاری SPAN را می توانید در شکل بالا مشاهده کنید.

RSPAN چیست ؟ SPAN چیست ؟

RSPAN چیست ؟

قوانینی که برای RSPAN Source وجود دارد مشابه قوانینی است که برای SPAN Source نیز وجود دارد ، یعنی Source بایستی حداقل یک پورت فیزیکی و یا یک VLAN بر روی سویچ باشد. تفاوت اصلی که بین RSPAN و SPAN وجود دارد در مقصد یا Destination است که در RSPAN مقصد دیگر الزامی ندارد که یک پورت روی همان سویچ باشد بلکه می تواند روی یک سویچ دیگر تعریف شود. در چنین حالتی ما برای پیاده سازی RSPAN یک VLAN اختصاصی به نام RSPAN VLAN ایجاد می کنید ، این VLAN شامل پورت هایی است که در سویچ مبدا و سویچ مقصد تعریف شده اند. در چنین حالتی همانطور که در تصویر بالا نیز مشاهده می کنید ترافیکی که از RSPAN VLAN بصورت Trunk ارسال می شود در مقصد قابل رویت خواهد بود.

نیازمندی های راه اندازی SPAN

SPAN ، RSPAN و ERSPAN هر سه یک سری شرایط و نیازمندی های فنی دارند تا بتوانند به درستی ترافیک را مانیتور و ارسال کنند:

  1. SPAN Source می تواند یک پورت فیزیکی یا یک VLAN باشد و نمی تواند ترکیبی از این دو باشد
  2. یک SPAN Source Port نمی تواند همزمان یک Destination Port نیز باشد و عکس این عمل نیز صادق است
  3. هر Session چه بصورت SPAN ، RSPAN و یا ERSPAN می تواند ترافیک را به فقط به یک مقصد Mirror کند و Sharing در پورت های مقصد بی معنی است
  4. زمانیکه پورت های Trunk به عنوان Source در SPAN تعریف می شوند بصورت پیشفرض همه ترافیک موجود در VLAN ها مانیتور خواهند شد. اگر می خواهید فقط ترافیک خاصی مانیتور شود بایستی VLAN مورد نظر خود را فیلتر کنید.

امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر نظرات و دیدگاه های شما عزیزان در ادامه مقاله هستیم. ITPRO باشید

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

1 نظر
صادق شعبانی

مهندس جان عالی بود ، فقط من در ادامه این مقاله 2 نکته رو برای اجرای سناریو ERSPAN اضافه کنم ، هرچند دراجرای سناریو هایی مثل ERSPAN محدود به سوئیچ 6500 شده ایم ولی میشه روی روتر CSR 1000V در GNS3 ( البته با شرایط خاص خودش ) و یا NEXUS SWITCH برای این موضوع استفاده کرد.

SPAN FAMILY

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....