# 포트 미러링

## 개요

**포트 미링**(Port Mirroring)은트워크 관리 및 모니링을 위해 특정 네트워크 포의 트래픽을 복사하여 다른 포트 전달하는 기술. 이 기술은 주로 네트워크 분석, 보안 감시, 성능 진단 및 트러블슈팅 목적으로 사용됩니다. 포트 미러링을 통해 네트워크 관리자는 실시간으로 데이터 패킷을 캡처하고 분석할 수 있으며, 이를 통해 이상 탐지, 대역폭 사용 분석, 보안 위협 식별 등의 작업을 수행할 수 있습니다.

포트 미러링은 스위치(Switch) 장비에서 주로 구현되며, 일반적으로 **SPAN**(Switched Port Analyzer) 또는 **RSPAN**(Remote SPAN)과 같은 기술로 구현됩니다. 이 기능은 네트워크 인프라의 투명한 모니터링을 가능하게 하며, 네트워크 장비의 성능에 영향을 주지 않으면서도 트래픽을 정밀하게 분석할 수 있도록 합니다.

---

## 포트 미러링의 작동 원리

포트 미러링은 하나 이상의 소스 포트(Source Port)에서 발생하는 모든 네트워크 트래픽을 복사하여 지정된 대상 포트(Destination Port)로 전송하는 방식으로 작동합니다. 이 대상 포트에는 일반적으로 패킷 캡처 도구나 네트워크 분석 장비(예: Wireshark, IDS/IPS 등)가 연결되어 있습니다.

### 주요 구성 요소

- **소스 포트(Source Port)**: 모니터링하고자 하는 실제 트래픽이 흐르는 포트입니다.
- **대상 포트(Destination Port)**: 복사된 트래픽이 전달되는 포트로, 분석 장비가 연결됩니다.
- **모니터링 세션(Monitoring Session)**: 소스와 대상 포트 간의 트래픽 복사를 정의하는 설정입니다.

### 작동 방식 예시

예를 들어, 스위치의 포트 1에 서버가 연결되어 있고, 이 서버의 모든 입출력 트래픽을 분석하고자 할 경우:

1. 관리자는 포트 1을 소스 포트로 지정합니다.
2. 포트 2를 대상 포트로 설정하고, 여기에 패킷 분석기(PC + Wireshark)를 연결합니다.
3. 포트 미러링 세션을 활성화하면, 포트 1의 모든 패킷이 포트 2로 복제되어 전송됩니다.
4. 분석기는 포트 2를 통해 들어오는 데이터를 실시간으로 캡처하고 분석합니다.

이 과정에서 원래의 네트워크 통신에는 영향을 주지 않으며, 복제된 트래픽은 오직 모니터링 목적으로만 사용됩니다.

---

## 포트 미러링의 종류

포트 미러링은 네트워크 환경에 따라 여러 형태로 구현될 수 있습니다. 주요 유형은 다음과 같습니다.

### 1. 로컬 포트 미러링 (Local Port Mirroring)

- **정의**: 동일한 스위치 내에서 소스 포트와 대상 포트가 위치한 경우.
- **장점**: 설정이 간단하고 지연 시간이 낮음.
- **사용 사례**: 단일 스위치에서 특정 서버 또는 사용자 트래픽을 모니터링할 때.

### 2. 원격 포트 미러링 (RSPAN: Remote SPAN)

- **정의**: 서로 다른 스위치에 있는 소스 포트와 대상 포트를 연결하여 트래픽을 전달하는 기술.
- **작동 방식**: 소스 스위치에서 트래픽을 복사하고, 특수한 VLAN을 통해 원격 스위치로 전달한 후 대상 포트로 내보냅니다.
- **장점**: 여러 지점에 분산된 네트워크를 중앙에서 모니터링 가능.
- **제약사항**: RSPAN VLAN 설정이 필요하며, 네트워크 대역폭 소모가 클 수 있음.

### 3. ERSPAN (Encapsulated Remote SPAN)

- **정의**: RSPAN의 발전된 형태로, 복제된 트래픽을 GRE(Generic Routing Encapsulation) 터널을 통해 IP 네트워크를 넘어 전달합니다.
- **장점**: 라우터를 경유해도 모니터링이 가능하며, WAN 환경에서도 사용 가능.
- **사용 사례**: 대규모 데이터센터나 분산된 네트워크 아키텍처에서 중앙 집중 모니터링.

---

## 포트 미러링의 활용 분야

### 1. 네트워크 보안 감시

- IDS/IPS(침입 탐지/방지 시스템)에 실시간 트래픽을 제공하여 악성 패킷, 공격 패턴 등을 탐지.
- 내부 위협 또는 데이터 유출 탐지를 위한 트래픽 분석.

### 2. 성능 모니터링 및 트러블슈팅

- 네트워크 병목 현상, 패킷 손실, 지연(latency) 원인 분석.
- 애플리케이션 성능 저하 문제 진단.

### 3. 규정 준수 및 감사

- 금융, 의료 등 규제 산업에서 네트워크 활동 로그를 보관하고 감사 요구사항을 충족하기 위해 사용.
- 트래픽 기록을 통해 법적 증거를 확보.

---

## 주의사항 및 제한 사항

- **대역폭 고려**: 대상 포트는 소스 포트의 트래픽 양을 감당할 수 있어야 하며, 과도한 트래픽 복제는 네트워크 성능 저하를 유발할 수 있음.
- **보안 리스크**: 포트 미러링이 활성화된 상태에서 무단 접근이 발생하면, 민감한 데이터가 유출될 수 있음. 따라서 대상 포트는 물리적으로 보호되어야 하며, 암호화된 분석 도구 사용이 권장됨.
- **하드웨어 지원**: 모든 스위치가 포트 미러링을 지원하는 것은 아니며, 일반적으로 관리형 스위치(Managed Switch)에서만 사용 가능.

---

## 관련 기술 및 도구

| 기술/도구 | 설명 |
|----------|------|
| **Wireshark** | 오픈소스 네트워크 프로토콜 분석기. 포트 미러링을 통해 캡처한 패킷을 분석하는 데 널리 사용됨. |
| **Snort** | 오픈소스 IDS. 포트 미러링을 통해 유입된 트래픽을 실시간으로 분석하여 공격 탐지. |
| **Cisco SPAN/RSPAN** | 시스코 스위치에서 제공하는 포트 미러링 기능. CLI 기반 설정이 일반적. |
| **Palo Alto ERSPAN** | 방화벽과 함께 사용되는 ERSPAN 기능으로, 보안 이벤트를 원격 분석 서버로 전송. |

---

## 참고 자료

- Cisco Systems. (2023). *Configuring SPAN and RSPAN*. Cisco Documentation.
- Wireshark Foundation. (2023). *Official Wireshark User Guide*.
- IEEE 802.1AB (LLDP): 포트 미러링과 함께 사용되는 장치 인식 프로토콜.
- RFC 1757 (RMON): 원격 네트워크 모니터링 표준.

> **참고**: 포트 미러링은 네트워크 인프라의 핵심 모니터링 기술이지만, 적절한 정책과 보안 조치 없이 사용할 경우 개인정보 보호 문제를 야기할 수 있으므로, 사용 시 조직 내 정책에 따라 철저한 관리가 필요합니다.