[Switch] SPAN(Switchport Analyzer) / RSPAN 개념, 구성

네트워크 구성

 

SPAN LAB

-  Client(Window7_B)가 외부 포트(f 1/1)로 패킷을 보낼 때 Admin(Window7_A)이  관리자 분석기가 연결된 포트(f 1/0)를 통해서  패킷을 복사하여 Client의 패킷 이동 경로를 확인하려고 한다.

장비 정보 및 IP 주소

 

-   3600 Router 2대 (R1, ESW)

-   Client (Window 7_A / 10.1.10.1)

-   Admin (Window 7_B / 10.1.10.2)

 

-   3600 Router 2 대중 1대를 EtherSwitch로 쓰기 위해서 스위치 포트를 추가한다.

 

 

-   ESW 스위치에서 1/0 ~ 2번 포트가 up 상태이면 정상적으로 구성된 것이다.

 

 

 

특정 포트로 송/수신되는 패킷들을 다른 장비에서 분석할 수 있는 방법

 

1.   Hub 

 

HUB

 

-   허브를 사용하는 것은 권장하지 않는다.

-   종단장치와 스위치 사이에 허브를 연결해서 오가는 패킷들을 확인할 수 있다.

 

2.   Tap Device

 

TAP Device

-   네트워크 노드 사이를 통과하는 트래픽을 미러링하는 외부 모니터링 장치이다.

-   전송하는 트래픽의 내용을 지연시키거나 교체하지 않는 특성을 가지고 있다.

 

3.   Port Mirroring (SPAN)

 

-   네트워크 노드 사이에 구성하면 네트워크 장비가 송/수신 패킷을 복사한 후 관리자에게 넘겨준다.

-   Cisco Switch에서는 Port Mirroring을 SPAN이라고 표현한다.

-   SPAN에서 분석 대상이 되는 포트를 Monitored Port 또는 Source Port라고 표현한다.

-   SPAN에서 분석을 수행하는 포트를 Monitoring Port 또는 SPAN Destination Port라고 표현한다.

-   IPS 또는 IDS 장비에게 패킷을 전달하는 목적으로 사용 되기도 한다.

-   Monuterting(SPAN Destination) 포트에 연결된 장비는 분석을 수행하는 포트이기 때문에 일반적인 통신이 불가능하다.

SPAN 구성 방식

 

1.   SPAN (Local SPAN)

 

 

-   Monitored 포트와 Monitoring 포트가 동일한 스위치에 위치한 경우에 구성된다.

-   실습 LAB은 Local SPAN으로 구성해야 한다.

 

ESW Switch 구성

 

monitor session 1 source interface fa 1/1 

-   fa 1/1으로 들어오는 패킷을 복사한다.

-   외부에서 Client로 가는 패킷을 확인하고 싶은 경우 뒤에 tx 옵션을 주면 된다.

-   Client에서 외부로 가는 패킷을 확인하고 싶은 경우는 뒤에 rx 옵션을 주면 된다
-   둘다 확인하고 싶으면 뒤에 both 옵션을 주면 된다. (default 값으로 both가 설정되어 있다.)

-   interface가 아닌 vlan설정도 가능하다. (interface vlan 10)

-   범위 지정이 가능하다. (interface fa 1/1 - 10)

 

destination interface fa 1/0:   복사한 패킷을 fa 1/0 포트로 보내준다.

 

<ESW> conf t  monitor session 1 source interface fa 1/1  monitor session 1 source interface  fa 1/10 - 14 rx monitor session 1 destination interface fa 1/0

 

-  show montor session 1 명령어를 입력하면 설정 사항들을 확인할 수 있다.

 

 

SPAN 설정 확인

 

-   show ip interface brief 명령어를 사용하면 fa 1/0 포트가 down 된 것을 확인할 수 있다.

 

 

-   show interface fa 1/0으로 확인해보면 down 된 이유가 모니터링 포트로 지정되었기 때문이다.

-   Destination으로 지정된 포트는 L2 Protocol 관련 패킷도 전송하지 않는다.(BPDU / CDP/ DTP 등)

 

 

-   Admin(Window7_A) 에서는 외부로 통신이 되지 않는것을 확인할 수 있다.

 

 

-   Client(window7_A) PC와 Admin(window7_B) PC를 동시에 확인해보면 Client 패킷을 Admin에서 감시하는 것을 확인할 수 있다.

 

 

2.   RSPAN (Remote SPAN)

 

 

-   Monitored 포트와 Monitoring 포트가 서로 다른 스위치에 위치한 경우에 구성된다.

-   EhtherSwitch Module의 경우 SPAN은 정상적으로 테스트가 가능하다. 하지만 RSPAN 명령어가 지원되지 않는다.

-   IOU의 경우 SPAN, RSPAN 모두 명령어가 지원되지만 실제 구성시 IOU가 Down 되기 때문에 정상적인 Test가 불가능하다.

-   RSAPN은 실장비 에서만 정상적인 테스트가 가능하다

 

 

RSPAN LAB

IOU Switch 구성

 

-   Admin과 Client가 다른 스위치에 위치해 있기 때문에 session번호는 같아도 달라도 상관없다. 

monitor sesstion destination remote vlan 900: 목적지 포트가 다른 스위치에 있으므로 VLAN으로 설정한다.
monitor session 2 source remote vlan 900: IOU 1에서 vlan 900번으로 보낸 패킷을 Admin PC에서 감시한다. 

 

<IOU 1> conf t  vlan 900  remote-span  exit  int e 3/3  switchport trunk encapsulation dot1q  switchport mode trunk  !  monitor session 1 source int e 0/0   monitor session 1 destination remote vlan 900    <IOU 2>   conf t  vlan 900  remote-span  exit  int e 3/3  switchport trunk encapsulation dot1q  switchport mode trunk  !  monitor session 2 source remote vlan 900  monitor session 2 destination int e 0/0

 

-   잠시 동안 구동되다가 IOU가 죽기 때문에 실장비에서 테스트해봐야 한다.