RSPAN(원격 SPAN) 포트를 사용하여 트래픽 미러링 구성
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
이 문서에서는 IOS를 실행하는 24개의 포트가 있는 Cisco 2960 스위치에서 RSPAN을 구성하는 샘플 절차에 대해 설명합니다.
Important
이 문서는 지침이 아닌 참고 자료일 뿐입니다. 다른 Cisco 운영 체제와 기타 스위치 브랜드의 미러링 포트는 다르게 구성됩니다. 자세한 내용은 스위치 설명서를 참조하세요.
필수 조건
시작하기 전에 Defender for IoT 및 구성하려는 SPAN 포트를 사용하여 네트워크 모니터링 계획을 이해해야 합니다.
자세한 내용은 OT 모니터링을 위한 트래픽 미러링 방법을 참조하세요.
RSPAN을 사용하려면 스위치 간에 모니터링되는 SPAN 트래픽을 수행하기 위해 특정 VLAN이 필요합니다. 시작하기 전에 스위치가 RSPAN을 지원하는지 확인합니다.
스위치의 미러링 옵션이 꺼져 있는지 확인합니다.
원본 스위치와 대상 스위치 사이의 트렁크 포트에서 원격 VLAN을 허용하는지 확인합니다.
동일한 RSPAN 세션에 연결하는 모든 스위치가 동일한 공급업체에서 온 것인지 확인합니다.
스위치 간에 동일한 원격 VLAN을 공유하는 트렁크 포트는 아직 미러 세션 원본 포트로 정의되지 않아야 합니다.
원격 VLAN은 원본 세션에서 미러링되는 트래픽의 양에 따라 트렁크 포트의 대역폭을 증가합니다. 스위치의 트렁크 포트가 증가된 대역폭을 지원할 수 있는지 확인합니다.
주의
많은 양의 처리량 또는 많은 수의 스위치로 인해 대역폭이 증가하면 스위치에 장애가 발생하여 전체 네트워크가 중단될 수 있습니다. RSPAN을 사용하여 트래픽 미러링을 구성할 때는 다음 사항을 고려해야 합니다.
- RSPAN을 사용하여 구성하는 액세스/배포 스위치의 수
- 각 스위치의 원격 VLAN에 대한 상관 관계 처리량
원본 스위치 구성
원본 스위치에서 다음을 수행합니다.
global configuration모드로 전환하고 새 전용 VLAN을 만듭니다.새 VLAN을 RSPAN VLAN으로 식별한 다음,
configure terminal모드로 돌아갑니다.24개 포트 모두를 세션 원본으로 구성합니다.
RSPAN VLAN을 세션 대상으로 구성합니다.
권한 있는
EXEC모드로 돌아가 포트 미러링 구성을 확인합니다.
대상 스위치 구성
대상 스위치에서 다음을 수행합니다.
global configuration모드로 전환하고 RSPAN VLAN을 세션 원본으로 구성합니다.실제 포트 24개를 세션 대상으로 구성합니다.
권한 있는
EXEC모드로 돌아가 포트 미러링 구성을 확인합니다.구성을 저장합니다.
트래픽 미러링 유효성 검사
트래픽 미러링을 구성한 후 스위치 SPAN 또는 미러 포트에서 기록된 트래픽 샘플(PCAP 파일)을 수신해 봅니다.
샘플 PCAP 파일은 다음을 수행하는 데 도움이 됩니다.
- 스위치 구성의 유효성 검사
- 스위치를 통과하는 트래픽이 모니터링과 관련 있는지 확인
- 스위치에서 검색된 대역폭 및 예상 디바이스 수 식별
Wireshark 같은 네트워크 프로토콜 분석기 애플리케이션을 사용하여 몇 분 동안 샘플 PCAP 파일을 기록합니다. 예를 들어 트래픽 모니터링을 구성한 포트에 노트북을 연결합니다.
유니캐스트 패킷이 기록 트래픽에 있는지 확인합니다. 유니캐스트 트래픽은 주소에서 다른 주소로 전송되는 트래픽입니다.
대부분의 트래픽이 ARP 메시지인 경우 트래픽 미러링 구성이 올바르지 않습니다.
OT 프로토콜이 분석된 트래픽에 있는지 확인합니다.
예시:
