سلام وعرض ادب خصوصیت (Switch Port Analyzer (SPAN که گاهی اوقات به نام Port Monitoring و یا Port Mirroring هم نامیده می شود، جهت آنالیز و بررسی ترافیک شبکه توسط ابزارهای آنالایزر شبکه استفاده می شود.
ابزارهای آنالایزر شبکه می تواند تجهیزات کاوشگر سیسکو (Cisco Switchprobe) یا ابزارها یا نرم افزارهای کاوشگر راه دور (Remote Monitoring Probe) باشد. از ساده ترین نرم افزارهای آنالیز شبکه می توان به Wireshark و یا Microsoft Network Monitor اشاره کرد. به ابزارهای کاوشگر شبکه Sniffer می گویند.
پیش نیازها:
برای فعال سازی SPAN در سوییچ سیسکو ابتدا باید امکانات ذیل فراهم باشد:
Catalyst Switches That Support SPAN, RSPAN, and ERSPAN
|
Catalyst Switches |
SPAN Support |
RSPAN Support |
ERSPAN Support |
|
Catalyst Express 500 / 520 Series |
Yes |
No |
No |
|
Catalyst 6500/6000 Series |
Yes |
Yes |
Yes Supervisor 720 with PFC3B or PFC3BXL running Cisco IOS Software Release 12.2(18)SXE or later. Supervisor 720 with PFC3A that has hardware version 3.2 or later and running Cisco IOS Software Release 12.2(18)SXE or later |
|
Catalyst 5500/5000 Series |
Yes |
No |
No |
|
Catalyst 4900 Series |
Yes |
Yes |
No |
|
Catalyst 4500/4000 Series (includes 4912G) |
Yes |
Yes |
No |
|
Catalyst 3750 Metro Series |
Yes |
Yes |
No |
|
Catalyst 3750 / 3750E Series |
Yes |
Yes |
No |
|
Catalyst 3560 / 3560E Series |
Yes |
Yes |
No |
|
Catalyst 3550 Series |
Yes |
Yes |
No |
|
Catalyst 3500 XL Series |
Yes |
No |
No |
|
Catalyst 2970 Series |
Yes |
Yes |
No |
|
Catalyst 2960 Series |
Yes |
Yes |
No |
|
Catalyst 2955 Series |
Yes |
Yes |
No |
|
Catalyst 2950 Series |
Yes |
Yes |
No |
|
Catalyst 2940 Series |
Yes |
No |
No |
|
Catalyst 2948G-L3 |
No |
No |
No |
|
Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A |
Yes |
Yes |
No |
|
Catalyst 2900XL Series |
Yes |
No |
No |
|
Catalyst 1900 Series |
Yes |
No |
No |
اطلاعات پس زمینه
SPAN چیست و چرا به آن نیاز داریم؟ خصوصیت SPAN برای سوییچ ها تولید شده، چرا که تفاوت اساسی بین سوییچ و هاب در عملکرد آنها وجود دارد. اصولا در هاب نیازی به SPAN وجود ندارد. در صورتیکه پکت اطلاعاتی به یکی از پورتهای هاب برسد، آن پکت به کلیه پورتها غیر از پورت اولیه کپی و ارسال می شود. ولی در سوییچ، بعد از روشن شدن آن جدول لایه 2 از MAC Address یا آدرس فیزیکی مبدا (Source Mac Address) پکت های ارسالی ساخته می شود. بعد از ساخته شدن این جدول، سوییچ پکت های ارسالی را مستقیما بر اساس این جدول به پورت مقصد ارسال می کند.
شکل زیر نحوه عملکرد یک هاب را در هنگام انتقال پکت از مبدا به مقصد نشان می دهد. همانطور که مشخص است هاب پکت ورودی به یک پورت را بر روی سایر پورتها کپی یا ارسال می کند که عملا با گذاشتن یک Sniffer می توان به راحتی ترافیک کل شبکه را شنود کرد.
اما در سوییچ هم همانطور که در شکل زیر مشخص است سوییچ آدرس فیزیکی کامپیوتر B را فهمیده و در جدول MAC خود نگهداری می کند. به محض ارسال پکت اطلاعاتی از کامپیوتر A به کامپیوتر B سوییچ با استفاده از اطلاعات جدول MAC، پکت را مستقیما به پورت متصل به کامپیوتر B ارسال می کند. لذا Sniffer ها نمی توانند به ترافیک درون شبکه دسترسی پیدا کنند. به این نوع ترافیک ارسالی با مقصد مشخص Unicast می گویند.
ولی در مثال بالا ترافیک های نوع زیر توسط Sniffer ها می تواند دریافت و آنالیز شود:
- ترافیک های پخش همگانی Broadcast
- ترافیک های پخش گروهی
- ترافیک های تک پخشی ناشناخته
برای اینکه بتوان به پکت های نوع Unicast دسترسی داشت نیاز به یک خصوصیت اضافه در سوییچ است . خصوصیت SPAN. همانند شکل زیر ، با این خصوصیت می توان ترافیکی که بین دو پورت در جریال است را روی پورت دیگری کپی کرد تا توسط Sniffer مورد استفاده قرار گیرد. به این پورت خاص SPAN می گویند. پیکربندی SPAN در دو مدل Local SPAN و Remote SPAN به صورت ذیل می باشد:
Local SPAN
Switch (config)# monitor session 1 source interface fast 0/1 – 3 Switch (config)# monitor session 1 destination interface fast 0/4
Remore SPAN
Source Switch :
Switch (config)# vlan 30 Switch (config-vlan)# remote-span Switch (config)# monitor session 1 source interface fast 0/1 – 3 Switch (config)# monitor session 1 destination remote vlan 30 reflector-port fast 0/24
Destination Switch :
Switch (config)# monitor session 1 source remote vlan 30 Switch (config)# monitor session 1 destination interface fast 0/10
