SPAN, RSPAN
SPANとRSPANは、ネットワークトラフィックを分析するために使用される技術です。SPANでは、特定のポートやVLANを通過するトラフィックを別のポートにコピーして、ネットワークアナライザや監視デバイスで分析します。RSPANは、リモートのデバイスにトラフィックを送信して分析する点が異なります。
SPANを使うことで、送信元ポートやVLANを出入りするトラフィックを監視できますが、VLAN間のルーティングされたトラフィックは監視できません。また、SPANやRSPANの宛先ポートを利用して、ネットワークセキュリティデバイスがトラフィックを挿入することも可能です。たとえば、Cisco IDSデバイスを利用して、不審なTCPセッションを閉じることができます。
SPAN
SPANは、1つのデバイスやスイッチ内でネットワークトラフィックを監視するための技術です。送信元ポートやVLANから、同じデバイス内の宛先ポートにトラフィックをコピーして分析します。すべてのポートは同じデバイス内に配置され、トラフィックは他のデバイスを経由せずに処理されます。
RSPAN(リモートSPAN)
RSPANは、異なるデバイス間でトラフィックを監視できる技術で、リモートで複数のデバイスを一括して監視することが可能です。これにより、ネットワーク全体で送信元ポートやVLAN、宛先ポートを柔軟にサポートします。
SPANセッション
SPANセッションでは、単一のデバイス内で送信元ポートやVLANから宛先ポートにトラフィックをコピーします。一方、RSPANは異なるデバイス間でトラフィックをリモート監視するため、送信元セッションと宛先セッションを別々のデバイスで設定し、RSPAN VLANを介してトラフィックを転送します。
重要なポイントとして、SPANセッションでは送信元ポートとVLANを同時に監視できない、宛先ポートのオーバーサブスクライブでパケットがドロップする可能性があるなどの制限があります。また、ローカルSPANとRSPANを単一のセッションで組み合わせることはできません。
監視対象トラフィック
SPANセッションでは、ネットワークデバイス上で受信(Rx)や送信(Tx)のトラフィックを監視できます。受信SPANは、デバイスがトラフィックを処理する前のパケットをコピーし、送信SPANは処理後のパケットをコピーします。両方を同時に監視することも可能で、デフォルトの設定です。
SPANセッションには、いくつかの制限があります。例えば、宛先ポートがオーバーサブスクライブされると、パケットがドロップされることがあります。また、デバイスの輻輳によってトラフィックがドロップされる場合もあります。同じパケットが複数回コピーされることもあり、その結果、異なるデバイスでの転送によってパケットが異なる場合があります。
送信元ポート
送信元ポート(監視対象ポート)は、ネットワークトラフィックを分析するために監視するスイッチやルーティングポートのことです。ローカルSPANやRSPANセッションでは、送信元ポートやVLANのトラフィックを一方向または両方向で監視できます。複数のセッションで同じ送信元ポートを監視することも可能で、入力、出力、またはその両方のトラフィックを設定できます。
送信元ポートには、EtherChannelやギガビットイーサネットなど、さまざまなポートタイプが指定でき、アクセスポート、トランクポート、ルーティングポート、音声VLANポートなども使用できます。ただし、送信元ポートは宛先ポートに設定することはできません。また、1つのセッションで複数の送信元ポートを監視することが可能です。
宛先ポート
各ローカルSPANセッションやRSPAN宛先セッションには、トラフィックのコピーを受信し、それをネットワークアナライザなどに送信する宛先ポートが必要です。この宛先ポートにはいくつかの特性があります。
- ローカルSPANでは、宛先ポートは送信元ポートと同じデバイス上に存在し、RSPANではRSPANセッションを実行するデバイス上に配置されます。
- 宛先ポートは設定されると元のポート設定が上書きされ、SPAN設定が削除されるまで変更は反映されません。また、EtherChannelグループからは削除され、ルーテッドポートでもなくなります。
- ポートは1つのSPANセッションにしか参加できず、アクティブ時は他のトラフィックを処理しません。
- 宛先ポートはネットワークセキュリティデバイスにトラフィックを転送できますが、レイヤー2プロトコルには参加しません。
- 宛先ポートの最大数はデバイスあたり64個までで、RSPANとローカルSPANではVLANタグ付けに違いがあります。
この機能により、ネットワーク全体のトラフィック監視とセキュリティ管理が効率的に行えます。
ERSPAN
Cisco ERSPAN機能は、ネットワークトラフィックをリモートで監視するための技術です。ERSPANでは、ポートやVLAN上のトラフィックを監視し、それを宛先ポートやネットワークアナライザに送信します。この機能は、複数のデバイスをリモートで監視するのに適しており、最大9180バイトのカプセル化パケットをサポートします。
ERSPANは、送信元セッション、GREカプセル化されたトラフィック、宛先セッションで構成され、最大66のセッションをサポートします。送信元デバイスと宛先デバイスを設定する際には、宛先デバイスが先に設定されていることが重要です。
ERSPANは、入力トラフィックや出力トラフィックを監視し、すべてのトラフィックをデフォルトで監視します。セッションには、最大50個のセキュリティグループタグ(SGT)フィルターを適用でき、送信元や宛先IPアドレスなどのオプション属性も設定可能です。
ERSPAN ソース
Cisco ERSPAN機能では、送信元ポートやVLANを監視対象として設定できます。送信元ポートには、任意のVLANのポートやトランクポートも設定可能です。
ERSPAN 宛先ポート
ERSPAN宛先ポートは、監視対象のトラフィックが送信されるレイヤー2またはレイヤー3のLANポートです。宛先ポートに設定されたポートは、ERSPAN専用ポートとなり、通常のトラフィックの受信や転送は行いません。ただし、トランクポートが宛先ポートとして設定された場合は、カプセル化されたトラフィックを送信できます。