들어가며
네트워크를 운영하다 보면 특정 트래픽을 분석하거나 보안 위협을 탐지해야 하는 상황이 생깁니다. 하지만 스위치는 기본적으로 목적지 포트에만 트래픽을 전달하기 때문에, 다른 포트에서 흐르는 트래픽을 직접 볼 수는 없습니다. 이때 사용하는 기술이 바로 Port Mirroring, 즉 포트 미러링입니다.
포트 미러링은 특정 포트 또는 VLAN을 흐르는 트래픽을 복사하여 분석 장비(패킷 분석기, IDS, 모니터링 서버 등)로 전달하는 기능입니다. Cisco 장비에서는 이를 SPAN(Switched Port Analyzer) 이라고 부르며, 구성 방식에 따라 SPAN, RSPAN, ERSPAN 세 가지로 나뉩니다.
1. Port Mirroring 개요
동작 원리
포트 미러링의 핵심은 트래픽을 복사한다는 점입니다. 원본 트래픽의 흐름은 그대로 유지되면서, 동일한 트래픽이 모니터링 장비 쪽으로도 함께 전달됩니다. 운영 중인 네트워크에 영향을 주지 않고 트래픽을 분석할 수 있는 것이 가장 큰 장점입니다.
트래픽을 복사하는 포트를 Source 포트, 복사된 트래픽을 수신하는 포트를 Destination 포트라고 합니다. Wireshark와 IDS 등과 같은 분석장비는 Destination 포트에 연결하여 트래픽을 캡처합니다.
주요 활용 목적
- 네트워크 트래픽 분석: Wireshark 같은 패킷 분석 도구로 트래픽 흐름을 파악
- 보안 모니터링: IDS/IPS 장비에 트래픽을 복사하여 침입 탐지 및 방지
- 장애 분석: 특정 구간의 트래픽을 캡처하여 네트워크 문제 원인 파악
- 성능 모니터링: 트래픽 패턴 분석을 통한 병목 구간 식별
주의사항
포트 미러링은 편리한 기술이지만 몇 가지 주의해야 할 점이 있습니다. 미러링 대상 트래픽이 많을수록 Destination 포트에 부하가 집중될 수 있으며, 경우에 따라 스위치 전체 성능에 영향을 줄 수 있습니다. 또한 Destination 포트는 미러링 트래픽 수신에만 사용되므로, 해당 포트를 통한 일반 통신은 불가능합니다. 대규모 트래픽을 미러링할 때는 Destination 포트의 대역폭이 충분한지 반드시 확인해야 합니다.
2. SPAN (Switched Port Analyzer)
SPAN이란?
SPAN은 동일한 스위치 내에서 특정 포트 또는 VLAN의 트래픽을 복사하여 모니터링 포트로 전달하는 기능입니다. 로컬 미러링이라고도 불리며, 가장 기본적인 형태의 포트 미러링입니다.
SPAN의 특징
- 같은 스위치 내에서만 동작하므로 구성이 단순합니다.
- Source는 포트 단위 또는 VLAN 단위로 지정할 수 있습니다.
- Source 방향을 ingress(수신), egress(송신), both(양방향) 중에서 선택할 수 있습니다.
- Destination 포트는 일반 통신을 할 수 없으며, 오직 미러링 트래픽만 수신합니다.
SPAN 설정
conf t
monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination interface GigabitEthernet0/2
end설정 확인은 아래 명령어로 할 수 있습니다.
show monitor session 1SPAN의 한계
SPAN은 구성이 단순한 대신, 동일한 스위치 안에서만 사용 가능하다는 제약이 있습니다. 대규모 네트워크에서는 모니터링 장비를 모든 스위치에 직접 연결하기 어렵기 때문에, 이를 보완한 RSPAN이 등장했습니다.
3. RSPAN (Remote SPAN)
RSPAN이란?
RSPAN(Remote Switched Port Analyzer)은 SPAN을 원격으로 확장한 기술입니다. 트래픽을 복사한 뒤, 동일 스위치가 아닌 다른 스위치에 연결된 모니터링 장비로 전달할 수 있습니다. 미러링 트래픽은 전용 VLAN(RSPAN VLAN)을 통해 스위치 간에 전달됩니다.
RSPAN의 동작 방식
RSPAN은 다음과 같은 흐름으로 동작합니다.
- Source 스위치에서 지정한 포트 또는 VLAN의 트래픽을 복사합니다.
- 복사된 트래픽을 RSPAN 전용 VLAN에 실어 트렁크 링크를 통해 전달합니다.
- Destination 스위치에서 해당 RSPAN VLAN 트래픽을 수신하여 모니터링 포트로 내보냅니다.
RSPAN의 특징
- 여러 스위치에 걸쳐 미러링이 가능합니다.
- RSPAN 전용 VLAN은 일반 데이터 트래픽과 분리되어야 합니다.
- RSPAN VLAN은 반드시
remote-span옵션으로 선언해야 합니다. - 트래픽이 L2 네트워크를 통해 전달되기 때문에, 라우팅 경계를 넘을 수 없습니다.
RSPAN 설정
Source 스위치 설정
conf t
vlan 999
remote-span
exit
monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination remote vlan 999
end
Destination 스위치 설정
conf t
vlan 999
remote-span
exit
monitor session 1 source remote vlan 999
monitor session 1 destination interface GigabitEthernet0/2
endRSPAN의 한계
RSPAN은 L2 도메인 안에서만 동작합니다. 즉, 라우터나 방화벽을 넘어서 트래픽을 전달하는 것은 불가능합니다. 데이터센터나 멀티사이트 환경에서 원격지의 트래픽을 중앙에서 분석하고 싶다면 ERSPAN이 필요합니다.
4. ERSPAN (Encapsulated Remote SPAN)
ERSPAN이란?
ERSPAN(Encapsulated Remote Switched Port Analyzer)은 미러링 트래픽을 GRE(Generic Routing Encapsulation) 터널로 캡슐화하여 L3 네트워크를 통해 원격지로 전달하는 기술입니다. 라우팅 경계를 넘을 수 있기 때문에, 물리적으로 멀리 떨어진 사이트(다른 대역 네트워크) 간에도 중앙 집중식 트래픽 분석이 가능합니다.
ERSPAN의 동작 방식
- Source 장비에서 지정한 트래픽을 복사합니다.
- 복사된 트래픽을 GRE 헤더로 캡슐화하여 IP 패킷 형태로 만듭니다.
- 캡슐화된 패킷이 일반 IP 라우팅을 통해 Destination 장비까지 전달됩니다.
- Destination 장비에서 캡슐화를 해제하고 원본 트래픽을 모니터링 포트로 내보냅니다.
ERSPAN 버전
ERSPAN에는 두 가지 버전이 있습니다.
- Type I (Version 1): 기본적인 GRE 캡슐화. Sequence Number 없음
- Type II (Version 2): ERSPAN 헤더에 Sequence Number, VID, 방향 정보 등 메타데이터 포함. 일반적으로 더 많이 사용
ERSPAN 설정
conf t
monitor session 1 type erspan-source
source interface GigabitEthernet0/1 both
destination
erspan-id 1
ip address 10.10.20.5
origin ip address 10.10.10.1
no shut
exit
enderspan-id: ERSPAN 세션을 식별하는 ID로, Source와 Destination에서 동일하게 설정해야 합니다.ip address: 미러링 트래픽을 수신할 Destination 장비의 IP 주소입니다.origin ip address: Source 장비의 IP 주소입니다.
5. SPAN / RSPAN / ERSPAN 비교
| 구분 | SPAN | RSPAN | ERSPAN |
|---|---|---|---|
| 동작 범위 | 동일 스위치 | 동일 L2 도메인 | L3 네트워크 전체 |
| 전달 방식 | 로컬 포트 | RSPAN VLAN | GRE 터널 |
| 라우팅 경계 초과 | 불가 | 불가 | 가능 |
| 구성 복잡도 | 낮음 | 중간 | 높음 |
| 주요 사용 환경 | 소규모 / 단일 스위치 | 캠퍼스 / L2 네트워크 | 데이터센터 / 멀티사이트 |
세 방식은 동작 범위와 전달 메커니즘에서 명확한 차이가 있으며, 동작 범위가 넓어질수록 구성 복잡도와 오버헤드가 함께 증가하는 트레이드오프 관계에 있습니다.
- SPAN : 단일 스위치 안에서 포트 간 트래픽을 직접 복사하기 때문에 구성이 가장 단순하고 오버헤드도 없습니다. 소규모 환경이나 특정 스위치의 트래픽만 분석하면 충분한 경우에 적합합니다.
- RSPAN : RSPAN 전용 VLAN을 매개로 트래픽을 스위치 간에 전달합니다. 별도의 캡슐화 없이 L2 프레임 그대로 전달되기 때문에 캠퍼스 네트워크처럼 여러 스위치가 L2 도메인으로 연결된 환경에서 중앙 모니터링 장비를 운영할 때 유용합니다. 단, L2 도메인을 벗어나는 순간 사용할 수 없다는 한계가 있습니다.
- ERSPAN : GRE 터널을 통해 트래픽을 캡슐화하여 전달하기 때문에 라우팅 경계를 자유롭게 넘을 수 있습니다. 데이터센터나 멀티사이트 환경에서 원격지 트래픽을 중앙 보안 장비로 집중시켜 분석하는 시나리오에 가장 적합합니다. 다만 GRE 캡슐화로 인한 추가 헤더 오버헤드가 발생하고, 설정 난이도도 가장 높습니다.
마무리 및 정리
Port Mirroring은 네트워크 트래픽을 비침투적으로 분석할 수 있는 핵심 기술입니다. 운영 중인 네트워크에 영향을 주지 않으면서 트래픽을 복사하여 IDS, 패킷 분석기, 모니터링 시스템 등에 전달할 수 있기 때문에, 보안 모니터링과 장애 분석에서 매우 중요하게 활용됩니다.
SPAN은 단일 스위치 환경에서 빠르고 간편하게 사용할 수 있고, RSPAN은 L2 도메인 내 여러 스위치에 걸쳐 미러링이 필요할 때 적합하며, ERSPAN은 라우팅 경계를 넘어 멀리 떨어진 원격지까지 트래픽을 전달해야 하는 대규모 환경에서 활용합니다. 환경에 맞는 방식을 선택하는 것이 중요합니다.
'Network Concepts' 카테고리의 다른 글
| [Network] TWAMP와 OWAMP (0) | 2026.01.13 |
|---|---|
| [#1] Header Structure - Ethernet, IP, TCP/UDP, ICMP, ARP (0) | 2026.01.10 |
| [Network] Backhaul과 Fronthaul이란 무엇일까? (0) | 2025.12.30 |
| [Network] FTTH - Fiber To The Home (0) | 2025.12.29 |
| [Network] VXLAN과 EVPN은 무엇일까? (0) | 2025.12.07 |