SPAN, RSPAN ve ERSPAN'ı Anlamak: Ağ Trafiği İzleme Teknikleri

SPAN, RSPAN ve ERSPAN, ağ trafiğini analiz amacıyla yakalamak ve izlemek için kullanılan tekniklerdir. Her birinin kısa bir özeti aşağıdadır:

SPAN (Anahtarlı Port Analizörü)

Amaç: Bir switch üzerindeki belirli portlardan veya VLAN'lardan gelen trafiği izlemek amacıyla başka bir porta yansıtmak için kullanılır.

Kullanım Örneği: Tek bir anahtar üzerinde yerel trafik analizi için idealdir. Trafik, bir ağ analizörünün yakalayabileceği belirlenmiş bir porta yansıtılır.

RSPAN (Uzaktan SPAN)

Amaç: Bir ağdaki birden fazla anahtara SPAN yeteneklerini genişletir.

Kullanım Örneği: Bir trunk bağlantısı üzerinden bir switch'ten diğerine giden trafiğin izlenmesine olanak tanır. İzleme cihazının farklı bir switch'te bulunduğu senaryolar için kullanışlıdır.

ERSPAN (Kapsüllenmiş Uzak SPAN)

Amaç: Yansıtılan trafiği kapsüllemek için RSPAN'ı GRE (Genel Yönlendirme Kapsüllemesi) ile birleştirir.

Kullanım Örneği: Yönlendirilmiş ağlar genelinde trafiğin izlenmesine olanak tanır. Bu, trafiğin farklı segmentler üzerinden yakalanması gereken karmaşık ağ mimarilerinde faydalıdır.

Anahtar Bağlantı Noktası Analizörü (SPAN), verimli ve yüksek performanslı bir trafik izleme sistemidir. Bir kaynak bağlantı noktasından veya VLAN'dan gelen trafiği bir hedef bağlantı noktasına yönlendirir veya yansıtır. Bu bazen oturum izleme olarak da adlandırılır. SPAN, bağlantı sorunlarını gidermek ve ağ kullanımını ve performansını hesaplamak gibi birçok amaç için kullanılır. Cisco ürünlerinde desteklenen üç tür SPAN vardır…

a. SPAN veya yerel SPAN.

b. Uzaktan SPAN (RSPAN).

c. Kapsüllenmiş uzak SPAN (ERSPAN).

Bilmek için: "SPAN, RSPAN ve ERSPAN Özelliklerine Sahip Mylinking™ Ağ Paket Brokeri"

SPAN / trafik yansıtma / port yansıtma birçok amaç için kullanılır, aşağıda bunlardan bazıları yer almaktadır.

- IDS/IPS'nin promiscuous modda uygulanması.

- VOIP görüşme kayıt çözümleri.

- Trafiğin izlenmesi ve analiz edilmesi için güvenlik uyumluluğu nedenleri.

- Bağlantı sorunlarının giderilmesi, trafiğin izlenmesi.

Çalışan SPAN türünden bağımsız olarak, SPAN kaynağı herhangi bir port türü olabilir; örneğin yönlendirilmiş bir port, fiziksel anahtar portu, bir erişim portu, gövde, VLAN (anahtarın tüm etkin portları izlenir), bir EtherChannel (bir port veya tüm port-kanal arayüzleri) vb. SPAN hedefi için yapılandırılmış bir portun bir SPAN kaynak VLAN'ının parçası OLAMAYACAĞINI unutmayın.

SPAN oturumları, giriş trafiğinin (giriş SPAN), çıkış trafiğinin (çıkış SPAN) veya her iki yönde akan trafiğin izlenmesini destekler.

- Giriş SPAN (RX), kaynak portları ve VLAN'lar tarafından alınan trafiği hedef porta kopyalar. SPAN, herhangi bir değişiklikten önce (örneğin herhangi bir VACL veya ACL filtresi, QoS veya giriş veya çıkış denetiminden önce) trafiği kopyalar.

- Çıkış SPAN (TX), kaynak portlarından ve VLAN'lardan iletilen trafiği hedef porta kopyalar. VACL veya ACL filtresi, QoS veya giriş/çıkış denetimi eylemleri tarafından gerçekleştirilen tüm ilgili filtreleme veya değişiklik işlemleri, anahtar trafiği hedef porta iletmeden önce gerçekleştirilir.

- Both anahtar kelimesi kullanıldığında, SPAN kaynak portlar ve VLAN'lar tarafından alınan ve iletilen ağ trafiğini hedef porta kopyalar.

- SPAN/RSPAN genellikle CDP, STP, BPDU, VTP, DTP ve PAgP çerçevelerini yok sayar. Ancak, kapsülleme çoğaltma komutu yapılandırılırsa bu trafik türleri yönlendirilebilir.

SPAN veya Yerel SPAN

SPAN, anahtardaki bir veya daha fazla arayüzden gelen trafiği aynı anahtardaki bir veya daha fazla arayüze yansıtır; bu nedenle SPAN çoğunlukla YEREL SPAN olarak adlandırılır.

Yerel SPAN'a ilişkin yönergeler veya kısıtlamalar:

- Hem 2. Katman anahtarlı portlar hem de 3. Katman portları kaynak veya hedef port olarak yapılandırılabilir.

- Kaynak bir veya birden fazla port veya bir VLAN olabilir, ancak bunların bir karışımı olamaz.

- Trunk portları, trunk olmayan kaynak portlarıyla karıştırılmış geçerli kaynak portlarıdır.

- Bir switch üzerinde 64 adede kadar SPAN hedef portu yapılandırılabilir.

- Bir hedef bağlantı noktasını yapılandırdığımızda, orijinal yapılandırmasının üzerine yazılır. SPAN yapılandırması kaldırılırsa, o bağlantı noktasındaki orijinal yapılandırma geri yüklenir.

- Bir hedef bağlantı noktası yapılandırıldığında, bağlantı noktası herhangi bir EtherChannel paketinin parçasıysa, bu bağlantı noktasından kaldırılır. Yönlendirilmiş bir bağlantı noktasıysa, SPAN hedef yapılandırması yönlendirilmiş bağlantı noktası yapılandırmasını geçersiz kılar.

- Hedef portlar port güvenliğini, 802.1x kimlik doğrulamasını veya özel VLAN'ları desteklemez.

- Bir port yalnızca bir SPAN oturumu için hedef port olarak işlev görebilir.

- Bir bağlantı noktası, bir yayılma oturumunun kaynak bağlantı noktası veya kaynak VLAN'ın bir parçasıysa hedef bağlantı noktası olarak yapılandırılamaz.

- Port kanal arayüzleri (EtherChannel) SPAN için kaynak port olarak yapılandırılabilir ancak hedef port olarak yapılandırılamaz.

- SPAN kaynakları için trafik yönü varsayılan olarak “her ikisi”dir.

- Hedef portlar asla bir yayılan ağaç örneğine katılmaz. DTP, CDP vb. desteklenemez. Yerel SPAN, izlenen trafiğe BPDU'lar ekler, bu nedenle hedef portta görülen tüm BPDU'lar kaynak porttan kopyalanır. Bu nedenle, bir ağ döngüsüne neden olabileceğinden, bir anahtarı asla bu tür bir SPAN'a bağlamayın. Yapay zeka araçları iş verimliliğini artıracak vetespit edilemeyen yapay zekahizmet, yapay zeka araçlarının kalitesini artırabilir.

- VLAN, SPAN kaynağı olarak yapılandırıldığında (çoğunlukla VSPAN olarak anılır) ve hem giriş hem de çıkış seçenekleri yapılandırıldığında, kaynak bağlantı noktasından gelen yinelenen paketleri yalnızca paketler aynı VLAN'da anahtarlanırsa iletin. Paketin bir kopyası giriş bağlantı noktasındaki giriş trafiğinden, diğer kopyası ise çıkış bağlantı noktasındaki çıkış trafiğinden gelir.

- VSPAN yalnızca VLAN'daki Katman 2 portlarından çıkan veya giren trafiği izler.