قابلیت SPAN در سوئیچ های سیسکو

قابلیت SPAN در سوئیچ های سیسکو چیست؟ بهترین روش جهت دریافت ترافیک به صورت واقعی و بدون هیچ گونه کم و کاستی از تجهیزات شبکه مخصوصا سوئیچ شبکه، استفاده از تکنیکی به نام port mirroring است. همانطور که گفتیم تکنیک port mirroring در سوئیچ های شبکه مورد استفاده قرار میگیرد. کاربران میتوانند با استفاده از این تکنیک یک کپی از تمامی داده و اطلاعاتی که در سوئیچ منتقل میشود را به صورت تمام و کمال دریافت کنند. حتی می توانند کل ترافیک شبکه LAN را که به سمت یک پورت خاص از سوئیچ هدایت می شود را دریافت کنند، لازم به ذکر است که در طرف دیگر قضیه یک نرم افزار آنالیزور ترافیک وجود دارد.

Port Monitoring و یا Port Mirroring، برای آنالیز و بررسی ترافیک شبکه توسط ابزارهای آنالیزور شبکه استفاده می شود. ابزارهای آنالیزور شبکه می تواند تجهیزات کاوشگر سیسکو (Cisco Switchprobe) یا ابزارها یا نرم افزارهای کاوشگر راه دور (Remote Monitoring Probe) باشد. از ساده ترین نرم افزارهای آنالیز شبکه می توان به Wireshark و یا Microsoft Network Monitor اشاره کنیم. همچنین به ابزارهای کاوشگر شبکه، Sniffer گفته می شود. ما در این مقاله قصد داریم در رابطه با قابلیت SPAN در سوئیچ های سیسکو صحبت کنیم، پس در ادامه همراه ما باشید.

کاربرد تکنیک port mirroring چیست:

شاید برای شما سوال پیش بیاید که این تکنیک در کجا استفاده میشود؟ باید بگوییم که تکنیک port mirroring در تجهیزات مانیتورینگ ترافیک شبکه از جمله سیستم های تشخیص نفوذ یا ID، سیستم های جلوگیری از نفوذ یا IPS، سیستم های Passive Probe، سیستم های مانیتورینگ واقعی کاربران یا Real User Monitoring که به RUM معروف هستند مورد استفاده قرار میگیرد. همچنین Port Mirroring در تجهیزاتی که برای بررسی عملکرد و کارایی نرم افزارهای کاربردی شبکه شما است نیز کاربرد دارد.

دقت داشته باشید که Port Mirroring با NetFlow تفاوت دارد ممکن است شما این دو تکنیک را باهم اشتباه بگیرید. در NetFlow شما در حقیقت meta data را از شبکه موجود دریافت کرده و اطلاعات اصلی را هیچوقت دریافت نخواهید کرد، به این معنا که اصل داده اطلاعاتی حذف میشود و برای نرم افزار مانیتورینگ ترافیک فقط Meta Data که شامل اطلاعات کلی است ارسال می شود، اما در Port Mirroring تمامی بسته های اطلاعاتی منتقل شده در تجهیزات به صورت کلی برای پورت مورد نظر ارسال می شوند و به همین علت محتوای اطلاعات نیز در چنین حالتی قابل تجزیه و تحلیل است.

در سوئیچ های سیسکو Switched Port Analyzer ،SPAN یا Remote Switched Port Analyzer RSPAN به تکنیک Port Mirroring معروف اند. در برند های تولید کننده تجهیزات شبکه دیگر مانند 3COM با اسامی مختلفی مثل Roving Analysis Port یا RAP  معروف است که با توجه به اینکه اولویت ما در سازمان ها استفاده از سویچ های شرکت سیسکو است در این مقاله در رابطه با قابلیت SPAN در سوئیچ های سیسکو با شما صحبت خواهیم کرد.

همانطور که در بخش بالا اشاره کردیم سویچ های شرکت سیسکو قابلیتی به نام قابلیت SPAN دارند که به شما این امکان را می دهد که ترافیک یک پورت فیزیکی خاص یا حتی یک VLAN خاص را Mirror کنید. این قابلیت به شدت برای اطمینان از عملکرد شبکه پیشنهاد می شود، به خصوص در فرآیند های مانیتورینگ امنیتی استفاده از SPAN یکی از پیشنهاد های اصلی یک کارشناس امنیت به کاربران جهت حفظ امنیت شبکه شما است.

SPAN چیست:

هنگامی که از SPAN صحبت می شود به این معناست که آدرس مبدا و مقصدی را که قرار است ترافیک از آن گرفته و به آن ارسال شود بر روی همان سوئیچی قرار دارد که در حال حاضر به آن متصل شده است. اگر قرار است ترافیک از سوئیچ دیگری دریافت شود  و در حقیقت مقصد ما یک سوئیچ remote باشد، از تکنیک دیگری به نام remote span استفاده میشود.

برای اینکه rspan به درستی کار کند یک vlan مخصوص باید به rspan اختصاص پیدا کند و ترافیک مانیتور شده را بین سوئیچ مبدا و مقصد عبور بدهیم. در نتیجه اگر قرار بر این باشد که ترافیک شبکه از چندین زیر ساخت شبکه گوناگون عبور کند باید از تکنیک دیگر به نام ERSPAN استفاده شود.

اگر بخواهیم SPAN را تعریف کنیم، متشکل از حداقل یک پورت فیزیکی یا یک VLAN روی همان سویچی است که می خواهیم آن را مانیتور کنیم. که البته پورت مقصد نیز بایستی بر روی همان سویچ قرار گرفته باشد. وقتی پیکربندی شد ترافیک SPAN Source به سمت SPAN Destination Port ارسال می شود.

انواع SPAN:

• SPAN یا SPAN محلی
• Remote SPAN یا RSPAN
• Remote SPAN اختصاری یا ERSPAN

صرف نظر از نوع SPAN، منبع SPAN می‌تواند در هر نوع پورتی شامل پورت مسیریابی، پورت سوئیچ فیزیکی، پورت دسترسی، ترانک، VLAN (همه پورت‌های فعال سوئیچ )، کانال اتر (یک پورت یا کل پورت)، رابط‌های کانال و غیره باشد. با این‌حال توجه داشته باشید که یک پورت پیکربندی شده برای مقصد SPAN نمی‌تواند بخشی از VLAN منبع SPAN آن باشد. با استفاده از ویژگی SPAN می‌توانید ترافیک را از یک پورت به پورت دیگری کپی کنید.

1. SPAN: اجازه دریافت اطلاعات از سوئیچ محلی (Local) را در اختیار ما قرار می دهد. برای مثال ترافیک پورت های 1 و 2 سوئیچ را به سمت پورت 6 همان سوئیچ که نرم افزار Wireshark به آن متصل می باشد ارسال می گردد. در SPAN نمی توان اطلاعات سوئیچ دیگری را مورد بررسی قرار داد و فقط دسترسی به سوئیچ محلی امکان پذیر است.
2. RSPAN: که به عنوان Remote SPAN هم شناخته می شود اجازه نظارت بر سوئیچ دیگر را در اختیار کاربران قرار می دهد. در RSPAN می توان با استفاده از پورت Trunk بین دو سوئیچ، ترافیک پورت های خاصی از یک سوئیچ را در سوئیچ دیگری مورد بررسی قرار داد.
3. ERSPAN: در این حالت می توان اطلاعات شبکه Remote را دریافت کنید. در ERSPAN می توان ترافیک پورت سوئیچ هایی که در شبکه های دیگر قرار دارند و به واسطه روتر ها مسیر یابی می شوند را مورد بررسی قرار داد. باید دقت داشت که استفاده از این قابلیت به شدت کیفیت اتصال WAN را کاهش خواهد داد چرا که تمامی ترافیک های مورد نظر به واسطه اتصال WAN انتقال خواهد یافت.

دستورالعمل های پیکربندی SPAN:

• در این مرحله پیاده سازی SPAN در یک سوئیچ به صورت محلی (Local) است. پیاده سازی SPAN به صورت تصویر زیر است:

• در تصویر بالا دو PC1 و PC2 با یکدیگر در ارتباط هستند و یک Ping بین آن ها در حال اجرا است. در اینجا می خواهیم ترافیک پورت های g 0/1 و g 0/2 را که به کامپیوتر ها متصل هستند به کمک پورت g 0/0 که به نرم افزار Wireshark متصل است را تحلیل کنیم. قبل از انجام هر کاری در سمت پورت g 0/0 نرم افزار Wireshark هیچ بسته ICMP را نمایش نخواهد داد چرا که تنظیمات SPAN انجام نگرفته است. برای تنظیمات مورد نظر دستورات زیر را در سوئیچ اجرا کنید:
• در دستور اول SPAN را در پورت های مبدا فعال کنید و در دستور بعدی پورت مقصد که قصد داریم ترافیک ها را به سمت آن ارسال و توسط Wireshark مورد بررسی قرار دهیم، مشخص کنید.

استفاده از ERSPAN به عنوان محلی SPAN:

برای استفاده از ERSPAN برای مانیتور کردن ترافیک از طریق یک یا چند پورت یا VLAN در همان دستگاه، باید یک منبع ERSPAN و یک مقصد ERSPAN را در همان دستگاه ایجاد کنیم، که در این حالت جریان داده در داخل روتر انجام می‌شود، که شبیه به SPAN محلی است.

فاکتورهای زیر هنگام استفاده از ERSPAN به عنوان یک SPAN محلی قابل اعمال هستند:

• چه منبع و چه مقصد هر دو دارای شناسه ERSPAN یکسان هستند.
• هر دو دارای آدرس IP یکسانی هستند. این آدرس IP آدرس IP خود روترها است. یعنی آدرس IP Loopback یا آدرس IP پیکربندی شده روی هر پورتی.

منبع: 

قابلیت SPAN در سوئیچ های سیسکو