rspan چیست؟

Remote SPAN یا RSPAN این مجوز را به شما می دهد تا بتوانید تمام منابع خود را که بر روی یک سوئیچ واقع شده مانیتور کنید این قابلیت در CatOS 5.3 سوئیچ های Catalyst 6500/6000 Series و در CatOS 6.3 سوئیچ های Catalyst 4500/4000 Series اضافه گردید . عملکرد این قابلیت همانند یک SPAN منظم است ، در این ساختار ترافیکی که توسط SPAN مانیتور می شود به صورت مستقیم بر روی پورت مقصد کپی نمی شود بلکه در RSPAN VLAN تعبیه شده flood می گردد و پورت مقصد می تواند در هر کجای این VLAN واقع و مسلما ما می توانیم دارای چندین پورت مقصد باشیم . دیاگرام زیر شمای کلی از این مهم را ارائه می دهد.

پیکر بندی RSPAN

اطلاعات این قسمت در واقع نحوه پیاده سازی یک طراحی بسیار ساده RSPAN با المانهای مختلف را نشان می دهد در این تئوری S1 و S2 دو سوئیچ Catalyst 6500//6000 می باشند . در واقع برای مانیتور کردن تعداد از پورتهای S1 و یا Vlan های متعلق به S2 ما می بایست RSPAN VLAN اختصاصی راه اندازی کنیم . دستورات و ساختار کلی این پروژه به شرح ذیل ارائه می شود .

قوانینی که برای RSPAN Source وجود دارد مشابه قوانینی است که برای SPAN Source نیز وجود دارد ، یعنی Source بایستی حداقل یک پورت فیزیکی و یا یک VLAN بر روی سویچ باشد. تفاوت اصلی که بین RSPAN و SPAN وجود دارد در مقصد یا Destination است که در RSPAN مقصد دیگر الزامی ندارد که یک پورت روی همان سویچ باشد بلکه می تواند روی یک سویچ دیگر تعریف شود. در چنین حالتی ما برای پیاده سازی RSPAN یک VLAN اختصاصی به نام RSPAN VLAN ایجاد می کنید ، این VLAN شامل پورت هایی است که در سویچ مبدا و سویچ مقصد تعریف شده اند. در چنین حالتی همانطور کهترافیکی که از RSPAN VLAN بصورت Trunk ارسال می شود در مقصد قابل رویت خواهد بود.

سرپرستان شبکه می‌توانند با استفاده از SPAN یا RSPAN و از طریق پورت‌ یا شبکه‌ محلی مجازی ترافیک را تحلیل کنند و یک کپی از ترافیک را به پورت دیگری روی سوئیچ یا سوئیچ دیگری که تحلیل‌گر شبکه، ابزارهای نظارتی یا سایر راه‌حل‌های امنیتی به آن متصل هستند ارسال کنند. SPAN برای انجام تحلیل‌های فنی دقیق ترافیک دریافتی یا ارسالی پورت مبدا یا شبکه محلی مجازی را به شکل هوشمندانه‌ای به پورت مقصد ارسال می‌کند. عملکرد SPAN به گونه‌ای است که هیچ تغییری در الگوی ترافیکی پورت مبدا یا VLAN به وجود نمی‌آورد. در این حالت پورت مقصد تنها ترافیکی که برای نشست‌های SPAN یا RSPAN نیاز است را دریافت می‌کند. نکته‌ای که برخی کارشناسان شبکه اطلاع چندانی در مورد آن ندارند چگونگی انجام این فرآیند است. به‌طور مثال، اگر در حال مانیتورینگ ترافیک ورودی هستید، شما نمی‌توانید ترافیک انتقالی از یک شبکه محلی ثالث به شبکه محلی ثالث دیگر را مانیتور کنید، با این‌حال، می‌توانید ترافیک ارسالی توسط VLAN ثالت به سمت VLAN مقصد را مانیتور کنید. علاوه بر این، این قابلیت فراهم است تا از پورت‌های مقصد SPAN یا RSPAN برای اعمال خط‌مشی‌های امنیتی استفاده کنید. به‌طور مثال، اگر یک سیستم تشخیص نفوذ سیسکو به درگاه هدف متصل باشد، دستگاه IDS می‌تواند یک بسته تنظیم مجدد TCP را برای بستن نشست TCP که مشکوک به حمله است ارسال کند.