ERSPAN(Encapsulated Remote SPAN)

Merhabalar;

Bir ağcı için, ağ içerisinde bulunan her hangi bir noktadaki trafiği paket bazında monitör edebilme yetisi şüphesiz büyük bir anlam ifade etmektedir. Bu doğrultuda neler yapılabileceğine daha önce Safa’nın yazmış olduğu SPAN’ı anlatan yazıda; ya da durumu farklı bir açıdan ele alan Sınmaz’ın yazmış olduğu, SPAN session bittiğinde neler yapılabileceğini anlatan yazıda değinilmişti. İki yazıda da bahsedilen özellikleri günlük hayatımda kullanan bir ağcı olarak bu durumun bana getirmiş olduğu artıları anlatmaya kalkmam, her halde bir insanın sizi karşısına alıp C vitaminini anlatmaya çalışması kadar abes olur. 🙂

“Geyiğin bu kadarı yeter ERSPAN’da ne ki” dediğinizi duyar gibi oldum. Hay hay efendim. 🙂

Aslında ERSPAN ile de yapmaya çalışacağımız iş, bir noktadaki trafiğin bir kopyasını başka bir yere aktarmak olacak. Peki ERSPAN’ın SPAN ve RSPAN kavramlarından farkı nedir. Kısaca ona da değinecek olursak. Bir cihazda SPAN oturumu olşturup kaynakta oluşan trafiğin bir kopyasını alabilmemiz için o cihaza fiziksel erişimimizin bulunması gerekir. Çünkü oluşturduğumuz monitör trafiği yine o cihazın başka bir portuna aktarılacaktır. RSPAN ise bize bu konuda biraz daha esneklik getirmektedir. RSPAN ile  monitör edeceğimiz trafiğin bir kopyasını ortamda bulunan switchler üzerinden yerel ağda başka bir fiziksel lokasyana aktarmak mümkündür. Peki networkümüz merkez ve farklı fiziksel alanlara dağılmış, bize bir servis sağlayıcı üzerinden bağlanan şubelerden oluşuyorsa? Bu durumda şubelerde bulunan bir kaynakta oluşmuş trafiği RSPAN yoluyla  monitör etmek kolay olmayacaktır. Bu noktada ERSPAN imdadımıza yetişmektedir.
ERSPAN(Encapsulated Remote Switch Port Analyzer) bir kaynakta oluşturulan trafiği bir WAN üzerinden başka bir lokasyona aktarabilmektedir. Kısaca bir ya da bir kaç kaynaktan alınan monitör trafiği bir WAN üzerinden belirtilen hedef ya da hedeflere iletilir. Bu işlemden sonra kaynaktan toplanan veriler bir network analyzer yardımıyla hedefte incelenmeye tabi tutulur. Peki bu işlem ERSPAN ile nasıl gerçekleşmektedir.

ERSPAN temelde üç ana unsurdan oluşur. Bunlar incelenecek trafiğin iletilmek üzere hazırlanacağı cihazlarda oluşturulacak ERSPAN source session’ı, bu trafiğin hedefe yönlendirilmesinde kullanılacak GRE tüneli ve hedefte kaynaktan gelen verileri toplayacak ERSPAN destination session’ıdır.
Üzerinde ERSPAN source session oluşturulmuş cihazı ERSPAN kaynak cihazı, ERSPAN destination session oluşturulmuş cihazı da ERSPAN hedef cihazı olarak isimlendireceğiz. Şimdi hep birlikte ERSPAN sesion oluşturmak için ihtiyacımız olacak değişkenlere değinelim.

Bir source(kaynak) ERSPAN session:

– Session ID
– Monitör edilmesini istediğimiz portlar ya da VLAN’ler
– GRE tünellemesi için kullnacağımız kaynek ve hedef IP adresleri
– ERSPAN flow ID
– Bazı opsiyonel özelliklerden(TTL, ToS v.s) oluşmaktadır.

Destination(hedef) ERSPAN session ise:
– Session ID
– Kaynak trafiğini aktaracağımız portlar
– IP adresleri
– ERSPAN flow IP

Sıra geldi konfigürasyona.
Diyelim ki aşağıdaki şekilde Host A ve Host B nin içerisinde bulunduğu vlan trafiğini, merkezde bulunan network analyzer ile monitor etmek istiyoruz. Bu senaryoda şube’de ilgili vlan’in tanımlandığı switch’i kaynak ERSPAN cihazı, analyzer’ın bulunduğu switch’i ise hedef ERSPAN cihazı olarak düşünellim ve konfigürasyonumuza başlayalım.

 

Kaynakta yapılacak ERSPAN source konfigürasyonu:
SUBE#conf t
Enter configuration commands, one per line. End with CNTL/Z .
SUBE(config)#monitor session 20 type erspan-source
SUBE(config-mon-erspan-src)#description MONITOR_EDILECEK_TRAFIK
SUBE(config-mon-erspan-src)#source vlan 79
SUBE(config-mon-erspan-src)#
SUBE(config-mon-erspan-src)#no shutdown
SUBE(config-mon-erspan-src)#destination
SUBE(config-mon-erspan-src-dst)#erspan-id 50
SUBE(config-mon-erspan-src-dst)#ip address 172.16.1.2
SUBE(config-mon-erspan-src-dst)#origin ip address 10.20.30.40
SUBE(config-mon-erspan-src-dst)#end

Şubede yaptığımız konfigürasyon aşağıda belirtildiği şekilde görüntülenebilir.
SUBE#show monitor session 20
Session 20
———-
Type : ERSPAN Source Session
Status : Admin Enabled
Description : MONITOR_EDILECEK_TRAFIK
Source VLANs :
Both : 79
Destination IP Address : 172.16.1.2
Destination ERSPAN ID : 50
Origin IP Address : 10.20.30.40

Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Centralized (default)

Şimdi sıra geldi merkezde yapılacak ERSPAN hedef konfigürasyonuna

MERKEZ#conf t
Enter configuration commands, one per line. End with CNTL/Z.
MERKEZ(config)#monitor session 30 type erspan-destination
MERKEZ(config-mon-erspan-dst)#description SUBEDEN_ALINAN_TRAFIK
MERKEZ(config-mon-erspan-dst)#destination interface FastEthernet 4/13
MERKEZ(config-mon-erspan-dst)#no shutdown
MERKEZ(config-mon-erspan-dst)#
MERKEZ(config-mon-erspan-dst)#source
MERKEZ(config-mon-erspan-dst-src)#erspan-id 50
MERKEZ(config-mon-erspan-dst-src)#ip address 172.16.1.2
MERKEZ(config-mon-erspan-dst-src)#end

Merkezde yaptığımız konfigürasyon aşağıda belirtildiği şekilde görüntülenebilir.

MERKEZ#show monitor session 30
Session 30
———-
Type : ERSPAN Destination Session
Status : Admin Enabled
Description : SUBEDEN_ALINAN_TRAFIK
Destination Ports : Fa4/13
Source IP Address : 172.16.1.2
Source ERSPAN ID : 50

Konfigürasyonumuzu tamamladıktan sonra şubeden gelen SPAN(monitor) trafiğini artık izleyebilir hale geldik.

Teknik olarak bir cihazın hem ERSPAN kaynak, hem de ERSPAN hedef cihazı olmasını engelleyecek bir kısıtlama yoktur. Bu durumda ERSPAN local SPAN gibi çalışacaktır. Konfigürasyon esnasında girilecek IP adresleri router ya da switch üzerindeki herhangi bir interface’in IP adresi olabilir.

Son olarak ERSPAN yapılırken dikkat dikkat edilmesi gereken hususlara değinip bu yazıma son vereceğim.

– ERSPAN ile bir paketin üzerine 50 bytlık bir header eklenmektedir. Bu yüzden MTU size’lara dikkat etmek gerekebilir.
– Her bir ERSPAN içinde tanımlayabileceğimiz port sayısı maksimum 128 dir
– Hem kaynak hem de hedef için birden fazla interface tanımlaması yapılabilmektedir.
– Bir kaynakta source interface olarak aynı anda hem VLAN hem de fiziksel interface tanımlanmasına izin verilmemektedir. İksinden bir tanesini seçmek durumundayız.
– Port-Channel interface’ler kaynak olarak tanımlanabilmektedir.
– Kaynakta ya da hedef bir kere ERSPAN oturumu oluşturulduğunda, CLI üzerinden oturumun ID’si ve tipinin değiştirilmesine izin verilmemektedir. Yapılabilecek tek şey no komutuyla konfigürasyonu kaldırıp baştan konfigürasyon yapmaktır.
– WAN interfacelerde VLAN filtrelemesi yapılamamaktadır.

Umarım faydalı bir yazı olmuştur.Nice agcıyız yazılarında tekrar birlikte olmak dileğiyle…

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir