RSPAN چیست؟ آموزش پیکربندی Remote SPAN -

در یک تعریف کلی RSPAN به مجوزی گفته می‌شود که برای مانیتورینگ تمام منابع روی یک سوئیچ به‌ویژه پورت‌ها به‌کار می‌رود. اگرچه این قابلیت در برخی از سری سوئیچ‌های کاتالیست سیسکو (مانند سری 4000/45000/6000 و …) اضافه شده اما در عملکرد منظم و هدفمند ترافیک شبکه بسیار تاثیرگذار است. برای اینکه بیشتر با این ویژگی آشنا شوید بیایید ابتدا بررسی کنیم که RSPAN یا Remote SPAN چیست و سپس به‌طور دقیق نحوه‌ی پیکربندی آن را آموزش دهیم.

⏲ زمان تخمینی مطالعه: 20 دقیقه

فهرست موضوعات

RSPAN یا Remote SPAN چیست؟

RSPAN مخفف Remote Switched Port Analyzer و به اصطلاح با نام Remote SPAN نیز شناخته می‌شود، امکان نظارت از راه دور را برای سوئیچ‌های سیسکو در سراسر شبکه فراهم می‌سازد. هنگامی‎‌که RSPAN فعال است، یک کپی از هر بسته ورودی یا خروجی از یک پورت در سوئیچ شبکه به پورت دیگری در همان سوئیچ که در آن بسته قابل تجزیه و تحلیل است، ارسال می‌شود. در نتیجه این ویژگی می‌تواند به عنوان یک ابزار تشخیصی برای جلوگیری از حملات شبکه نیز استفاده شود.

خرید سرور hp

همچنین RSPAN ترافیک بر پورت‌های منبع توزیع شده (source ports distributed) روی سوئیچ‌های متعدد نظارت می‌کند تا باعث ایجاد تمرکز در دستگاه‌های ضبط شبکه (network capture) شوند. این قابلیت باعث می‌شود تا پورت یا پورت‌های منبع پیکربندی شده به وضعیت RSPAN VLAN منعکس شوند (mirrored) و پورت‌هایی که عضو این VLAN هستند ترافیک آینه‌ای یا منعکس شده را دریافت کنند.

سپس این VLAN به سوئیچ‌های دیگر ترانک (trunked) می‎‌شود و به ترافیک RSPAN اجازه می‌دهد تا از طریق سوئیچ‌های متعدد به پورت مقصد منتقل شود، همان‌طور که در شکل 1 نشان داده شده است، RSPAN می‌تواند انتقال، دریافت یا هر دو جهت ترافیک را به رابط مقصد منعکس کند.

شکل1. نظارت بر ترافیک با استفاده از RSPAN

برای بهره‌مندی از این ویژگی همه‌ی دستگاه‌های موجود باید توسط ترانک‌های لایه 2 (2Layer trunks) به‌هم متصل شوند و همچنین VLAN راه دور باید روی همه دستگاه‌های شرکت‌کننده در جلسه، RSPAN پیکربندی شوند.

در شکل 2 یک RSPAN VLAN را نشان می‌دهد که ترافیک آینه‌ای را به پورت مقصد حمل می‌کند. S1 دستگاه میزبان است، که با رابط اترنت 1/1/1 به‌عنوان پورت منبع پیکربندی شده است. از طریق این پورت ترافیک ورودی RSPAN VLAN 4000 از طریق دستگاه میانی S2 به Ss تونل می‌شود. جایی‌که رابط اترنت 1/1/2 پیکربندی شده است.

سوئیچ سیسکو 3750g-24ts-s

شکل 2. نمونه پیکربندی RSPAN

Span در سیسکو

سوئیچ‌های کاتالیست سیسکو دارای یک ویژگی به نام SPAN هستند. “SPAN مخفف Switch port Analyzer” و به معنای تحلیل‌گر یا آنالیز پورت سوئیچ است. ویژگی SPAN استفاده شده در شبکه‌های لایه 2 ابزار بسیار خوبی برای عیب‌یابی جریان ترافیک بلادرنگ است. این ویژگی که گاهی اوقات با نام‌های Port Mirroring یا Session Monitoring نیز شناخته می‌شود، با هدف افزایش کارآمدی و کارآیی بالای ترافیک بر روند جریان آن نظارت دارد. این ترافیک می‌تواند از یک پورت مبدا یا VLAN به یک درگاه مقصد هدایت یا منعکس شود. به‌طورکلی SPAN برای عیب‌یابی مشکلات اتصال، محاسبه میزان استفاده از ترافیک در شبکه استفاده می‌شود. با این‌حال برخی دیگر از موارد استفاده از SPAN عبارتند از:

پیاده‌سازی IDS/IPS در حالت بی‌قاعده
رعایت امنیت برای نظارت و تجزیه و تحلیل ترافیک
نظارت بر ترافیک ورودی (ingress SPAN)، ترافیک خروجی (Egress SPAN) یا ترافیک در هر دو جهت
هدایت همه تماس‌های VoIP از یک VLAN برای ضبط آن‌ها

سه نوع SPAN در محصولات سیسکو ارائه می‌شود:

SPAN یا SPAN محلی
Remote SPAN یا = RSPAN
Remote SPAN اختصاری یا ERSPAN

صرف نظر از نوع SPAN در حال اجرا، منبع SPAN می‌تواند در هر نوع پورتی شامل پورت مسیریابی، پورت سوئیچ فیزیکی، پورت دسترسی، ترانک، VLAN (همه پورت‌های فعال سوئیچ نظارت می‌شوند)، کانال اتر (یک پورت یا کل پورت)، رابط‌های کانال و غیره باشد. با این‌حال توجه داشته باشید که یک پورت پیکربندی شده برای مقصد SPAN نمی‌تواند بخشی از VLAN منبع SPAN باشد.

با استفاده از ویژگی SPAN می‌توان ترافیک را از یک پورت به پورت دیگری کپی کرد، جایی که یک تحلیل‌گر شبکه پیش‌تر به آن متصل است تا بسته‌ها را برای عیب‌یابی، تجزیه و تحلیل عملکرد شبکه در نظر بگیرد.

قیمت ws-c2960s-48fps-l

تفاوت بین Span و RSPAN چیست؟

تفاوت اصلی بین SPAN و RSPAN، روابط بین قرارگیری پورت‌های SPAN Source و پورت مقصد SPAN است که دستگاه نظارت بر شبکه شما (IDS و IPS، لپ‌‎تاپ Wireshark و غیره) به آن متصل است. هنگام استفاده از ویژگی SPAN (که SPAN محلی نیز نامیده می‌شود) دستگاه نظارت بر شبکه شما (یک لپ‌تاپ یا رایانه شخصی که دارای Wireshark یا سایر نرم‌افزارهای ضبط بسته است) به طور فیزیکی به همان شاسی متصل می شود که پورت های SPAN Source شما روی آن شناسایی شده‌اند. این در حالی است که RSPAN به شما امکان می‌دهد مقصد SPAN را از پورت‌های SPAN Source جدا کنید.

شکل 3. تفاوت اصلی SPAN و RSPAN

پیکربندی RSPAN

برای پیکربندی RSPAN باید یک RSPAN VLAN داشته باشید، آن VLAN‌ها دارای ویژگی‌های خاصی هستند که نمی‌توانید آن‌ها را به هیچ پورت دسترسی اختصاص داد. برای ایجاد یک VLAN برای RSPAN در Cisco IOS، (برخلاف استفاده از حالت پیکربندی پایگاه داده VLAN قدیمی) باید VLAN را از طریق حالت پیکربندی config-vlan ایجاد کنید. همچنین در طول فرآیند تعریف پارامترهای VLAN، باید فرمان پیکربندی VLAN از راه دور را که یک RSPAN VLAN جدید نیز است، را مشخص کنید:

Switch1# configure terminal

Switch1(config)# vlan 200

Switch1(config-vlan)# remote-span

Switch1(config-vlan)# end

Switch1# show vlan remote-span

Remote SPAN VLANs

Switch2# configure terminal

Switch2(config)# vlan 200

Switch2(config-vlan)# remote-span

Switch2(config-vlan)# end

Switch2# show vlan remote-span

Remote SPAN VLANs

در ادامه پیکربندی اولیه باید سوئیچ RSPAN را روی Source پیکربندی کنید. برخلاف SPAN که در آن پورت‌های مبدا و مقصد روی یک سوئیچ وجود دارند، پورت‌های مبدا و مقصد برای یک جلسه RSPAN روی سوئیچ‌های مختلف قرار می‌گیرد. برای دستیابی به این ویژگی، نیاز به دو پیکربندی برای جلسه منبع RSPAN جداگانه و همچنین جلسه مقصد جداگانه RSPAN دارید:

Switch1# configure terminal

Switch1(config)# monitor session 1 source interface fastEthernet0/2 rx

Switch1(config)# monitor session 1 destination remote vlan 200

reflector-port fastEthernet0/24

Switch1(config)# exit

Switch1# show monitor

Session 1

در مرحله آخر باید RSPAN را روی سوئیچ مقصد پیکربندی کنید:

Switch2# configure terminal

Switch2(config)# monitor session 1 source remote vlan 200

Switch2(config)# monitor session 1 destination interface fastEthernet0/3

Switch2(config)# exit

سوئیچ ws-c2960x-48ts-l

پیکربندی RSPAN با VMware

روش دیگری که از طریق آن می‌توانید RSPAN را پیکربندی کنید با VMware است. مراحل زیر مراحل کلیدی مورد نیاز برای پیکربندی RSPAN با VMware است که برای حس‌گر ExtraHop را تشریح می‌شود. توجه داشته باشید که روند این مراحل ممکن است براساس نسخه‌های VMware متفاوت باشد.

نکته دیگری که باید در نظر بگیرید این است که اگرچه تمام مراحل زیر برای پیکربندی RSPAN مورد نیاز است، اما بیشتر پیاده‌سازی‌ها چهار مرحله اول را قبل از نصب سنسور تکمیل کرده‌اند. بنابراین اگر یک سوئیچ توزیع شده مجازی دارید، باید با مرحله 5 پیکربندی را شروع کنید.

مراحل پیکربندی RSPAN با VMwar شامل موارد زیر است:

ساختن یک سوئیچ توزیع شده مجازی (VDS)
اضافه کردن گروه‌های پورت به VDS
اضافه کردن یک میزبان (host) به VDS
اضافه کردن یک پورت آپ‌لینک (uplink ports ) به VDS
پیکربندی یک پورت آینه‌ای RSPAN روی VDS

خرید کابل فیبر نوری

ساختن یک سوئیچ توزیع شده مجازی (VDS)

مراحل زیر را برای ساخت یک سوئیچ توزیع شده مجازی (VDS) انجام دهید. VDS ترافیک را از ماشین‌های مجازی (VM) به شبکه فیزیکی و سایر ماشین‌های مجازی انتقال می‌دهد.

1- وارد vSphere Web Client شوید.

2- روی گزینه‎‌ی vCenter Inventory Lists کلیک کنید. (شکل 4)

شکل 4

3- در پنل سمت چپ، روی کلیدهای توزیع شده کلیک کنید. (شکل 5)

شکل 5

4 – در بالای لیست سوئیچ ها، روی گزینه‌ی Create a new distributed switch کلیک کنید. (شکل 6)

شکل 6

5- در پنجره New Distributed Switch، یک نام برای سوئیچ انتخاب و تایپ کنید. سپس مرکز داده مقصد یا پوشه شبکه را انتخاب و روی Next کلیک کنید. (شکل 7)

شکل 7

6- ورژن سوئیچ توزیع شده را انتخاب و روی Next کلیک کنید. (شکل 8)

شکل 8

7- در قسمت Edit Settings باید تنظیمات اولیه را انجام دهید. (شکل 9)

شکل 9

اگر ترافیک SPAN شما روی یک NIC اختصاصی است (توصیه می‌شود)، تعداد پورت‌های uplinks را روی دو یا بیشتر تنظیم کنید. در غیر این صورت این مقدار باید روی 1 باشد. روی نوار کشویی Network I/O Control کلیک کنید و یکی از گزینه‌های Disabled یا Enabled را انتخاب کنید.

خرید سوئیچ 2960 سیسکو

اضافه کردن گروه‌های پورت به VDS

هنگام استقرار یک ماشین مجازی جدید یا اضافه کردن یک میزبان ESX جدید به محیط VDS، باید طبق مراحل زیر گروه‌های پورت را به VDS اضافه کنید. افزودن گروه‌های پورت باعث می‌شود تا سیستم به‌ درستی روی دستگاه یا میزبان جدید مرتبط، نظارت داشته باشد.

1- روی Networking کلیک کنید. (شکل 10)

شکل 10

2- روی VDS راست کلیک کنید و سپس New Distributed Port Group را انتخاب کنید.

شکل 11

3- در پنجره‌ی New Distributed Port Group، یک نام برای گروه پورت انتخاب و روی Next کلیک کنید.

شکل 12

4- تنظیمات زیر را پیکربندی کنید: (شکل 13)

شکل 13

روی نوار کشویی Port binding کلیک و Static binding را انتخاب کنید.
روی نوار کشویی Port allocation کلیک و Fixed را انتخاب کنید.
در قسمت Number of ports، تعداد پورت هایی را که می‌خواهید به آن متصل شوید را وارد کنید.
باقی تنظیمات را به‌صورت پیش‌فرض بگذارید بماند و دست نزنید.
روی گزینه Next کلیک کنید.

5- تنظیمات خود را تایید کرده و سپس روی گزینه Finish کلیک کنید. همان‌طور که در شکل 14 می‌بینید گروه پورت جدید در تب Manage اضافه شده است.

شکل 14

6. این مراحل را برای هر گروه پورت اضافی تکرار کنید.

اتصال به سوئیچ با putty

اضافه کردن یک میزبان (host) به VDS

برای اضافه کردن یک host به VDS باید مراحل زیر را انجام دهید. توجه داشته باشید اگر همه‌ی میزبان‌ها قبل‌تر به خوشه اضافه شده است، نیازی به انجام این مرحله ندارید. توصیه می‌کنیم که یک آپ‌لینک را برای مدیریت و یک آپ‌لینک دیگر را برای دامنه (spanning) اختصاص دهید.

1- روی Networking کلیک کنید. (شکل 15)

شکل 15

2- روی VDS راست کلیک کرده و سپس گزینه‌ی Add and Manage Hosts را انتخاب کنید.

3- در کادر Add and Manage Hosts، در قسمت Select Task گزینه Add Hosts را انتخاب کرده و گزینه Next را بزنید. (شکل 16)

شکل 16

4- برای افزودن host روی نماد مثبت (+) کلیک کنید. (شکل 17)

شکل17

5- در لیست هاست‌های موجود، host مورد نظر را تیک بزنید و سپس روی OK کلیک کنید. (شکل 18)

شکل18

6- هاست مورد نظر را از لیست انتخاب و روی Next کلیک کنید.

7- از چک باکس‌های کنار صفحه، آداپتورهای شبکه‌ای را که می‌خواهید به هاست افزوده شود انتخاب کنید و روی گزینه‌ی Next بزنید.

8- یکی از NICها را به گروه پورت مدیریت اختصاص دهید.

آداپتور شبکه را از لیست انتخاب کرده و سپس روی گزینه Assign Port Group کلیک کنید.

در منوی بازشو Select Network گروه پورت را برای تخصیص به آداپتور شبکه برای مدیریت انتخاب کنید.
یک NIC را به گروه پورت مانیتورینگ اختصاص دهید.

9- آداپتور شبکه را از لیست انتخاب کرده و سپس روی گزینه‌ی Assign Port Group کلیک کنید.

10- در منوی بازشو Select Network گروه پورت را برای تخصیص به آداپتور شبکه برای نظارت انتخاب کنید. (شکل 19)

شکل19

11- بعد از اینکه هر آداپتور را به یک گروه پورت مقصد (در ستون سمت راست) اختصاص دادید، روی گزینه‌ی Next کلیک کنید. (شکل 20)

شکل 20

12- در صفحه Validate Changes، تنظیمات را بررسی و سپس روی Next کلیک کنید. (شکل 21)

شکل 21

13- در قسمت Select VM network adapters روی باکس the Migrate Virtual Machine Networking تیک بزنید. (شکل 22)

شکل 22

14- روی آیکون Assign Port Group کلیک کنید و یک آداپتور شبکه برای مدیریت و یک آداپتور شبکه برای مانیتورینگ اختصاص دهید. سپس Next را بزنید.

15- تنظیمات خود را تایید و روی Finish کلیک کنید. (شکل 23)

شکل 23

16- در پنل سمت راست روی نوار progress ، مشاهده خواهید کرد که سیستم میزبان اضافه خواهد شد. شکل 24 نمونه‌ای از پیکربندی این مرحله است.

شکل 24

اضافه کردن یک پورت آپ‌لینک (uplink ports ) به VDS

برای افزودن پورت uplink به VDS مراحل زیر را انجام دهید. توجه داشته باشید برای هر میزبان مرتبط باید یک پورت آپ‌لینک به VDS اختصاص دهید.

1- به یک میزبان در vSphere Web Client بروید.

2- روی تب Manage کلیک کنید و سپس مراحل Networking > Virtual Switches را طی کنید. (شکل 25)

شکل 25

3- از لیست، سوئیچ توزیع شده‌ای را که می‌خواهید به آن یک پورت uplink به آن اضافه کنید، انتخاب کنید.

4- روی گزینه Manage the physical network adapters کلیک کنید.

5- برای اضافه کردن روی گزینه‌ی + بزنید.

6- از لیست یک آداپتور شبکه را انتخاب کنید. سپس از منوی کشویی پورت uplink را که می‌خواهید به آداپتور شبکه اختصاص دهید، انتخاب کنید.

7- روی گزینه‌ی OK کلیک کنید.

سوئیچ سیسکو 48 پورت ws-c2960g-48tc-l

پیکربندی یک پورت آینه‌ای RSPAN روی VDS

برای پیکربندی یک پورت آینه‌ای RSPAN به‌منظور مشاهده ترافیک در VDS، پیکربندی سوئیچ محلی با هدف مشاهده ترافیک خارجی و پیکربندی ابزار مجازی Discover برای انجام ترکیبی از هر دو عملکرد، باید مراحل زیر را انجام دهید. توجه داشته باشید که ابزار مجازی Discover را می‌توان در محیط‌هایی با چندین سرور ESX متصل به یک سوئیچ توزیع شده مجازی (VDS) مستقر کرد.

تکمیل مراحل زیر برای پیکربندی یک ابزار کشف مجازی به‌عنوان مقصد یک یا چند جلسه آینه‌ای RSPAN انجام می‌شود. جلسات آینه RPSAN می‌تواند از یک سوئیچ توزیع‌شده مجازی (VDS) که ترافیک VM محلی را منعکس می‌کند یا از یک سوئیچ فیزیکی که ترافیک خارجی را منعکس می‌کند سرچشمه بگیرد. مراحل زیر مربوط به یک ابزار Discover است که روی یک میزبان ESX مستقر شده است و توسط vCenter با یک VDS پیکربندی شده، مدیریت می‌شود. در این مرحله باید یک سوئیچ محلی را به یک پورت uplink متصل کنید تا به‌عنوان یک پورت VLAN Trunk پیکربندی شود و ترافیک RSPAN VLAN را حمل کند. در واقع RSPAN VLAN می‌تواند ترافیک آینه‌ای را حمل کند و همچنین به چندین سوئیچ برای دسترسی به ابزار مجازی مورد استفاده قرار گیرد.

شکل 26. تنظیمات پورت آینه (port mirror)

1- روی Networking کلیک کنید.

2- VDS موردنظر را انتخاب کنید و مطمئن شوید که کلیه‌ی تنظیمات آن درست است.

3- روی Port mirroring کلیک کنید. (شکل 27)

شکل 27

4- NEW را انتخاب کنید.

5- در صفحه‌ی Add Port Mirroring باید نوع Session را انتخاب کنید. روی گزینه Remote Mirroring Destination کلیک کنید و سپس OK را بزنید. (شکل 28)

شکل 28

6- در قسمت Name، نامی را برای شناسایی پورت mirroring session انتخاب کنید.

7- از منوی کشویی Status گزینه Enabled را انتخاب کنید. (شکل 29)

شکل 29

8- گزینه‌ی Next را بزنید.

9- روی گزینه + کلیک کنید تا شناسه‌های VLAN (منابعی که می‌خواهید روی آن نظارت کنید) را اضافه کنید و سپس گزینه Next را بزنید.

10- در این مرحله پورت مقصد را که می‌خواهید ترافیک آینه‌ای را در آن ارسال کنید، مشخص کنید. این پورت، پورت مجازی در VIDEO است که با رابط مانیتورینگ دستگاه Discover مجازی شما مطابقت دارد.

11- خلاصه‌ای از اطلاعات را مشاهده خواهید کرد در صورت درست بودن آن را تایید کنید.

12- روی Finish کلیک کنید تا port mirror اضافه شود.

RSPAN چیست؟ آموزش پیکربندی Remote SPAN