محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

SPAN چیست؟ RSPAN چیست؟ بررسی مفهوم Port Mirror در سیسکو

SPAN چیست؟ RSPAN چیست؟ Port Mirroring به چه معناست؟ قبلا در توسینسو در خصوص نحوه استفاده از سیستم های جلوگیری از نفوذ در سیسکو و همچنین سیستم های تشخیص نفوذ صحبت کرده ایم و حتی روش مانیتورینگ ترافیک تجهیزات در تجهیزات با استفاده از مکانیزم NetFlow را نیز برای شما تشریح کردیم. اما در همه این موارد بایستی یک نوع ترافیک به سمت نرم افزار تحلیلگر ارسال شود تا بتواند این ترافیک را تفسیر و در نهایت در خصوص آن به ما اطلاعات ارائه کند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بهترین راهکار برای دریافت ترافیک بصورت واقعی و بدون کمی و کاستی از تجهیزات شبکه به ویژه سویچ های شبکه استفاده از تکنیکی به نام Port Mirroring می باشد. تکنیک Port Mirroring در سویچ های شبکه استفاده می شود شما با استفاده از این قابلیت یک کپی از کلیه اطلاعاتی که در سویچ رد و بدل می شود را بصورت تمام و کمال حتی بعضا کل ترافیک شبکه LAN را به سمت یک پورت خاص از سویچ هدایت می کنید که در آن سمت قضیه یک نرم افزار آنالیزور ترافیک وجود دارد.

Port Mirroring چیست

ممکن است با خود فکر کنید که این تکنیک در کجا ها استفاده می شود ؟ تقریبا در تمامی تجهیزات مانیتورینگ ترافیک شبکه از جمله سیستم های تشخیص نفوذ یا IDS ها ، سیستم های جلوگیری از نفوذ یا IPS ها ، سیستم های Passive Probe ، سیستم های مانیتورینگ واقعی کاربران یا Real User Monitoring که به RUM معروف هستند و در نهایت تجهیزاتی که برای بررسی عملکرد و کارایی نرم افزارهای کاربردی شبکه شما استفاده می شوند Port Mirroring می تواند بسیار مفید باشد.

توجه کنید که Port Mirroring با NetFlow یک تفاوت اصلی دارد و ممکن است شما ایندو را با هم اشتباه بگیرید ، در NetFlow شما در واقع Meta Data را از شبکه دریافت می کنید و اطلاعات اصلی را هرگز دریافت نمی کنید ، یعنی اصل داده اطلاعاتی حذف می شود و برای نرم افزار مانیتورینگ ترافیک فقط Meta Data که شامل اطلاعات کلی و جانبی بسته اطلاعاتی است ارسال می شود ، اما در Port Mirroring تمامی بسته های اطلاعاتی رد و بدل شده در تجهیزات بصورت تمام و کمال برای پورت مورد نظر ارسال می شوند و به همین دلیل محتوای اطلاعات نیز در چنین حالتی قابل تجزیه و تحلیل می باشد.

تکنیک Port Mirroring در سویچ های سیسکو به عنوان تکنیک( Switched Port Analyzer ( SPAN یا (Remote Switched Port Analyzer (RSPAN معروف است . در سایر برند های تولید کننده تجهیزات شبکه مانند 3COM با اسامی مختلفی مثل Roving Analysis Port یا RAP نیز معروف است که با توجه به اینکه اولویت ما در سازمان ها استفاده از سویچ های شرکت سیسکو است امروز در انجمن تخصصی فناوری اطلاعات ایران در خصوص قابلیت های موجود بر روی سویچ های سیسکو صحبت خواهیم کرد.

مهندسین و مدیران شبکه با استفاده از قابلیت Port Mirroring می توانند مشکلات شبکه را تجزیه و تحلیل و داده های مورد نظر خودشان را Debug و در نهایت مشکلاتی که در شبکه آنها وجود دارد را شناسایی و حل کنند. Port Mirroring به این افراد اجازه می دهد که بتوانند کارایی شبکه خود را مرتبا تحت کنترل داشته باشند و در صورت بروز مشکل بلافاصله برای رفع مشکل اقدام کنند. شما می توانید در تعریف کردن Port Mirroring در سویچ های خود هم ترافیک ورودی یا ingress و هم ترافیک خروجی یا egress را Mirror کنید که معمولا ما فقط برای تحلیل در بیشتر موارد فقط به ترافیک ورودی اکتفا می کنیم ، این ترافیک می تواند از یک پورت خاص سویچ یا کل interface های یک سویچ باشد.

همانطور که قبلا هم عنوان کردیم سویچ های شرکت سیسکو قابلیتی دارند به نام SPAN که به شما این امکان را می دهد که ترافیک یک پورت فیزیکی خاص یا حتی یک VLAN خاص را Mirror کنید. این قابلیت به شدت برای اطمینان از صحت عملکرد شبکه پیشنهاد می شود ، به ویژه در فرآیند های مانیتورینگ امنیتی استفاده از SPAN یکی از پیشنهاد های اصلی یک کارشناس امنیت می تواند باشد.

Port Mirroring یا SPAN در سویچ های سیسکو چیست

SPAN چیست ؟

قابلیت های تعریف کردن مقصد در تکنیک SPAN از روزی که این تکنیک معرفی شده است بسیار پیشرفت کرده است. زمانیکه صحبت از SPAN می شود یعنی آدرس مبدا و مقصدی که قرار است ترافیک از آن گرفته و به آن ارسال شوند بر روی همان سویچی قرار دارند که در حال حاضر به آن متصل شده ایم. اگر ترافیک قرار باشد از سویچ دیگری دریافت شود و در واقع مقصد ما یک سویچ Remote باشد تکنیک دیگری به نام Remote SPAN استفاده می شود. برای اینکه RSPAN به درستی کار کند یک VLAN اختصاصی باید به RSPAN اختصاص پیدا کند که ترافیک مانیتور شده بین سویچ مبدا و مقصد را از آن عبور بدهیم.

در نهایت اگر قرار باشد که ترافیک ما از بین چندین مسیریاب و زیرساخت شبکه مختلف عبور داده شود از تکنیک دیگری به نام ERSPAN استفاده می کنیم. مبدا یا Source ای که در SPAN تعریف می شود متشکل از حداقل یک پورت فیزیکی یا یک VLAN روی همان سویچی است که می خواهیم آن را مانیتور کنیم. پورت مقصد نیز بایستی بر روی همان سویچ قرار گرفته باشد. زمانیکه پیکربندی شد ترافیک SPAN Source به سمت SPAN Destination Port ارسال می شود. توپولوژی کاری SPAN را می توانید در شکل بالا مشاهده کنید.

RSPAN چیست ؟ SPAN چیست ؟

RSPAN چیست ؟

قوانینی که برای RSPAN Source وجود دارد مشابه قوانینی است که برای SPAN Source نیز وجود دارد ، یعنی Source بایستی حداقل یک پورت فیزیکی و یا یک VLAN بر روی سویچ باشد. تفاوت اصلی که بین RSPAN و SPAN وجود دارد در مقصد یا Destination است که در RSPAN مقصد دیگر الزامی ندارد که یک پورت روی همان سویچ باشد بلکه می تواند روی یک سویچ دیگر تعریف شود. در چنین حالتی ما برای پیاده سازی RSPAN یک VLAN اختصاصی به نام RSPAN VLAN ایجاد می کنید ، این VLAN شامل پورت هایی است که در سویچ مبدا و سویچ مقصد تعریف شده اند. در چنین حالتی همانطور که در تصویر بالا نیز مشاهده می کنید ترافیکی که از RSPAN VLAN بصورت Trunk ارسال می شود در مقصد قابل رویت خواهد بود.

نیازمندی های راه اندازی SPAN

SPAN ، RSPAN و ERSPAN هر سه یک سری شرایط و نیازمندی های فنی دارند تا بتوانند به درستی ترافیک را مانیتور و ارسال کنند:

  1. SPAN Source می تواند یک پورت فیزیکی یا یک VLAN باشد و نمی تواند ترکیبی از این دو باشد
  2. یک SPAN Source Port نمی تواند همزمان یک Destination Port نیز باشد و عکس این عمل نیز صادق است
  3. هر Session چه بصورت SPAN ، RSPAN و یا ERSPAN می تواند ترافیک را به فقط به یک مقصد Mirror کند و Sharing در پورت های مقصد بی معنی است
  4. زمانیکه پورت های Trunk به عنوان Source در SPAN تعریف می شوند بصورت پیشفرض همه ترافیک موجود در VLAN ها مانیتور خواهند شد. اگر می خواهید فقط ترافیک خاصی مانیتور شود بایستی VLAN مورد نظر خود را فیلتر کنید.

در دوره آموزش نتورک پلاس و دوره آموزش CCNA هم در خصوص مفاهیم SPAN و RSPAN در مباحث مانیتورینگ صحبت کرده ایم. امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر نظرات و دیدگاه های شما عزیزان در ادامه مقاله هستیم. توسینسو باشید

  • قابلیت Port Mirror در سویچ ها چه کاری انجام می دهد؟

    این قابلیت به شما امکان این را می دهد که یک کپی از کلیه بسته های اطلاعاتی منتقل شده در سویچ از یک یا چند پورت برای تجزیه و تحلیل به یک محل خاص هدایت شوند ، معمولا اینکار برای اهداف مانیتورینگ و نظارت بر شبکه استفاده می شود
  • تفاوت Port Mirroring و NetFlow در چیست؟

    در Port Mirroring کلیه اطلاعات محتوای بسته های اطلاعاتی به سمت سرور یا نرم افزار تجزیه و تحلیل هدایت می شود و حجم داده زیادی را در بر می گیرد در حالیکه در ترافیک NetFlow صرفا متادیتا یا Metadata اطلاعات به سرور مانیتورینگ ترافیک منتقل می شود که باعث کاهش حجم و ترافیک در تجزیه و تحلیل می شود.

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات