[스위치] SPAN(Switch Port Analyzer)란?

SPAN(Switch Port Analyzer)란?

 

개요

• 스위치 특정 포트에 분석장비를 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술 (port mirroring)
• 네트워크 성능을 실시간으로 모니터링 및 보안 위협 감지
• 네트워크 문제를 진단 및 해결에 도움

등장 배경

• 네트워크 트래픽 분석 및 모니터링은 네트워크 성능 최적화 및 보안 유지에 매우 중요
• 네트워크 관리자는 다양한 이유로 네트워크 트래픽을 분석해야 할 필요성 인지
• 네트워크 장비로부터 트래픽을 수집하는 방법을 고민
• SPAN의 등장

사용 방법

• 소스 포트: 모니터링하려는 트래픽이 오고 가는 포트. 이 포트에서 발생하는 트래픽이 복제됨
• 대상 포트: 복제된 트래픽을 수신하는 포트. 일반적으로 네트워크 모니터링 도구나 패킷 분석기가 연결됨
• SPAN 설정은 스위치의 관리 인터페이스(CLI or GUI)를 통해 이루어짐

SPAN Session (SPAN 세션)

• 소스 포트와 목적지 포트를 연결하는 설정
• 여러 SPAN 세션을 설정하면 다양한 소스 포트에서 트래픽을 복사하고, 다른 목적지 포트로 보낼 수 있음

Local SPAN (로컬 SPAN) 및 Remote SPAN (원격 SPAN)

• 로컬 SPAN은 동일한 스위치 내에서 소스 포트와 목적지 포트를 설정
• 원격 SPAN (RSPAN)은 서로 다른 스위치 간에 트래픽을 모니터링할 수 있도록 함
• RSPAN은 트래픽을 중간 스위치를 통해 전송하여 원격 목적지 포트로 복사

필터링

• 특정 VLAN의 트래픽이나 특정 유형의 트래픽만 모니터링할 수 있도록 필터를 설정할 수 있음

ERSPAN (Encapsulated Remote Switch Port Analyzer)

 

원격 트래픽 캡처

• 네트워크 내의 다양한 위치에서 발생하는 트래픽 캡처
• 캡처된 트래픽은 GRE(Generic Routing Encapsulation) 터널을 통해 중앙의 분석 장비로 전송

캡슐화 (Encapsulation)

• 캡처된 트래픽은 GRE 프로토콜을 사용하여 캡슐화
• 캡슐화된 트래픽은 기존 IP 네트워크를 통해 전송, 물리적 위치에 관계없이 분석 장비로 트래픽 전달

트래픽 필터링

• 소스 포트와 목적지 포트를 자유롭게 설정 가능
• 특정 트래픽 유형이나 VLAN의 트래픽만 선택적으로 캡처할 수 있음

동작 방식

 

1. 소스 포트 설정

• 트래픽을 캡처할 소스 포트 설정

2. 캡슐화 및 전송

• 소스 포트에서 캡처된 트래픽은 GRE 프로토콜을 사용하여 캡슐화
• 캡슐화된 트래픽은 IP 네트워크를 통해 전송

3. 목적지 포트 설정

• 캡슐화된 트래픽을 수신할 분석 장비의 포트를 설정
• 중앙 분석 장비가 위치한 네트워크의 포트

4. 트래픽 분석

• 분석 장비는 캡슐화된 트래픽을 해체
• 원래의 트래픽 데이터를 분석하여 네트워크 성능, 보안 위협 등을 모니터링

 

 

출처: Catalyst SPAN(Switched Port Analyzer) 구성: 예 - Cisco