داهوا
الکاتو
اپلینکس
Canada
Canada
USA
Japan
Port Mirroring چیست؟
## Port Mirroring چیست؟ Port Mirroring یا SPAN (Switched Port Analyzer) یک قابلیت در سوییچهای شبکه است که به شما این امکان را میدهد که ترافیک یک یا چند پورت از سوییچ را بر روی یک پورت دیگر کپی کنید. این ویژگی معمولاً برای مانیتورینگ، آنالیز و عیبیابی شبکه مورد استفاده قرار میگیرد.
در اصل،
Port Mirroring یک کپی دقیق از بستههای دادهای که از یک پورت عبور میکنند (چه ورودی و چه خروجی) به یک پورت خاص دیگر منتقل میکند. پورت مقصد معمولاً به دستگاههایی مانند: *سیستم تحلیلگر شبکه (Network Analyzer)*سیستمهای تشخیص نفوذ (IDS/IPS)
*نرمافزار مانیتورینگ
متصل است.
—
##
کاربردهای Port MirroringPort Mirroring در بسیاری از موارد استفاده میشود:
### ۱.
تحلیل و بررسی ترافیک شبکهبرای شناسایی مشکلات شبکه، بررسی عملکرد، و دیدن اینکه چه دادههایی در شبکه جابجا میشوند.
### ۲.
امنیت شبکهابزارهای IDS/IPS میتوانند با استفاده از Port Mirroring بدون دخالت مستقیم در مسیر داده، بستهها را بررسی کرده و تهدیدات احتمالی را شناسایی کنند.
### ۳.
ضبط ترافیک برای بازرسی قانونیدر برخی موارد، ضبط ترافیک برای اهداف قانونی یا بررسی بعدی لازم است.
### ۴.
عیبیابی برنامهها و سرویسهامهندسان میتوانند با استفاده از این روش، مشکلاتی مانند تاخیر، بستههای گمشده یا عملکرد نادرست برنامهها را بررسی کنند.
—
##
چگونه Port Mirroring کار میکند؟فرض کنید سوییچ شبکهای دارید که چندین دستگاه به آن متصل هستند. شما میخواهید ترافیک یکی از این دستگاهها (مثلاً سرور) را نظارت کنید. با فعالسازی Port Mirroring، سوییچ هر بستهای را که به پورت سرور وارد یا از آن خارج میشود، به پورت مانیتور نیز ارسال میکند. سپس دستگاه متصل به پورت مانیتور میتواند این ترافیک را ضبط یا تحلیل کند.
در تنظیمات Port Mirroring معمولاً سه جزء وجود دارد:
1.
Source Port (پورت مبدأ): پورتی که ترافیک از آن کپی میشود.2. Destination Port (پورت مقصد): پورتی که ترافیک به آن کپی میشود.
3. Traffic Direction (جهت ترافیک): مشخص میکند که فقط ترافیک ورودی، خروجی یا هر دو مورد کپی شوند.
—
##
پروتکلهای مورد استفاده در Port MirroringPort Mirroring ذاتاً یک ویژگی سختافزاری/نرمافزاری سوییچ است و به یک پروتکل خاص متکی نیست. اما در برخی موارد از پروتکلهای خاص برای انجام نسخههای پیشرفتهتر یا Remote Mirroring استفاده میشود. چند مورد مهم:
### ۱.
RSPAN (Remote SPAN)اگر بخواهید ترافیک یک پورت را از یک سوییچ به سوییچ دیگری در شبکه منتقل کنید، از RSPAN استفاده میشود. این روش از VLAN مخصوص برای انتقال بستههای mirrored استفاده میکند. در این روش:
یک *VLAN خاص به عنوان RSPAN VLAN تعریف میشود.سوییچ مبدأ ترافیک را به VLAN ارسال میکند. سوییچ مقصد این VLAN را دریافت و به پورت مقصد ارسال میکند.
### ۲.
ERSPAN (Encapsulated Remote SPAN)ERSPAN روش پیشرفتهتری از RSPAN است که در آن بستههای mirrored در یک تونل GRE قرار میگیرند و از طریق شبکه IP منتقل میشوند. این روش اجازه میدهد که ترافیک mirrored حتی از طریق اینترنت یا WAN نیز ارسال شود.
ویژگیهای کلیدی ERSPAN:
*استفاده از پروتکل GRE برای تونلسازی*قابلیت ارسال ترافیک به دستگاههای مانیتورینگ در شبکههای دور
*پشتیبانی در برخی از سوییچهای Cisco و VMware ESXi
—
##
تفاوت Port Mirroring با روشهای مشابه| ویژگی | Port Mirroring | Network TAP | Hub |
| ———————– | ————————– | ———– | ————— |
| دقت انتقال داده | متوسط تا بالا | بسیار بالا | پایین |
| تأثیر بر عملکرد شبکه | ممکن است تأثیر بگذارد | تأثیر ندارد | تأثیر بالا |
| پشتیبانی از Full Duplex | محدود | کامل | ندارد |
| هزینه | پایین (در صورت وجود سوییچ) | بالا | ارزان ولی قدیمی |
—
##
مزایا و معایب Port Mirroring### ✅ مزایا:
*بدون نیاز به تجهیزات اضافه (در صورت داشتن سوییچ مناسب)*قابل تنظیم و انعطافپذیر
*مناسب برای تستهای موقت*
### ❌ معایب:
احتمال از دست رفتن بستهها در صورت بار بالا
*قابل تشخیص توسط مهاجمان
*در برخی سوییچها محدود به تعداد پورت مقصد یا mirrored
*قابل تشخیص توسط مهاجمان
*در برخی سوییچها محدود به تعداد پورت مقصد یا mirrored
—
##
نحوه تنظیم Port Mirroring در Ciscoدر یک سوییچ Cisco، معمولاً به این شکل تنظیم میشود:
Switch(config)# monitor session 1 source interface FastEthernet0/1
Switch(config)# monitor session 1 destination interface FastEthernet0/24
در این مثال:
*FastEthernet0/1 پورت مبدأ است که میخواهیم ترافیک آن را مشاهده کنیم.
*FastEthernet0/24 پورت مقصدی است که دستگاه مانیتور به آن متصل است.
در مدلهای جدید، میتوان حتی نوع ترافیک (ورودی یا خروجی) را هم مشخص کرد:
Switch(config)# monitor session 1 source interface Fa0/1 rx
—
## نکات امنیتی مهم
از *دسترسی غیرمجاز به پورت مانیتور جلوگیری کنید؛ چون تمامی دادهها را نشان میدهد.
*فقط افراد مجاز به تنظیم و استفاده از Port Mirroring دسترسی داشته باشند.
در صورت استفاده از RSPAN یا ERSPAN، حتماً از VLANهای محافظتشده یا GRE Tunnelهای امن استفاده شود.
—
## *نتیجهگیری*
Port Mirroring یکی از ابزارهای کلیدی برای مانیتورینگ، تحلیل و ایمنسازی شبکههای مدرن است. این تکنولوژی با وجود سادگی پیادهسازی، توانایی بالایی در فراهمکردن دید به لایههای پایین شبکه دارد. با شناخت درست این ابزار و استفاده از روشهای مناسب مانند ERSPAN و RSPAN، میتوان کنترل و بینش کاملی نسبت به ترافیک شبکه داشت.