Ghidul final pentru oglindirea porturilor

Ghid final pentru oglindirea porturilor (1)

Software-ul modern de monitorizare a rețelei include instrumente sofisticate, precum reprezentări grafice și instrumente analitice. Cu toate acestea, vor fi momente în care va trebui să vă întoarceți la tehnicile de analiză a piulițelor și a șuruburilor de captare a pachetelor în timp ce călătoresc în jurul rețelei. Oglindirea porturilor este o tehnică de captare a pachetelor.

Captarea pachetelor necesită un element hardware, care se numește a TAP (punct de acces la test). Din fericire, aveți deja hardware care vă canalizează tot traficul de rețea: switch-uri și hub-uri. Puteți profita de capacitățile acestor dispozitive pentru a elimina nevoia de a cumpăra un senzor inline separat sau un divizor de trafic. Tehnica de utilizare a echipamentului dvs. de rețea pentru a capta traficul se numește „oglindirea porturilor.”Acest ghid vă va oferi toate informațiile de care aveți nevoie pentru a implementa oglindirea porturilor în rețeaua dvs..

>>> Salt la lista de instrumente de monitorizare recomandate mai jos<<<

Comutați procesarea traficului

O rețea foarte mică ar avea doar un singur switch sau hub. Cu toate acestea, nu este nevoie de multă creștere în rețea pentru a crea o cerință pentru un alt comutator. Când aveți mai multe comutatoare în rețea, acestea mută traficul fără a fi nevoie să canalizați toate pachetele printr-un punct central.

Această configurație descentralizată înseamnă că nu puteți selecta doar un comutator în rețea pentru colectarea de date dacă doriți trafic de probe din toate datele dvs. Acest lucru se datorează faptului că celelalte comutatoare din rețeaua dvs. vor schimba trafic între ele care nu trebuie să fie canalizate prin dispozitivul ales. Totuși, această problemă ar apărea și dacă alegeți să implementați o ATINGEȚI ca instrument de captare a pachetelor.

Atunci când capturați traficul de rețea, trebuie să decideți dacă cerințele dvs. pot fi îndeplinite de pachetele care trec un punct sau dacă trebuie să vedeți toate comportamentul traficului de rețea pe întreaga rețea simultan.

În realitate, este mai probabil că va trebui să analizați traficul pe fiecare legătură. Într-un astfel de scenariu, veți încerca, probabil, să vedeți de ce o legătură din rețeaua dvs. este supraîncărcată și ce tipuri de trafic ați putea reutila sau accelera pentru a rezolva problema..

Deși s-ar putea să vrei vezi tot traficul de rețea, A captura toate acestea dintr-o dată devine curând un obiectiv excesiv. Dacă ai putea captura toate pachetele de rețea, ai fi copleșit de toate datele colectate.

Pentru a evalua în mod corespunzător performanțele rețelei dvs., veți oricum să categorizați tot traficul pe dispozitiv de rețea, deci este mai bine să utilizați oglindirea porturilor în funcție de dispozitiv. Alte instrumente sunt mai potrivite pentru a vă oferi o vizibilitate întreagă a rețelei. În aceste cazuri, ar fi mai bine să utilizați NetFlow pentru a proba date din mai multe puncte de rețea simultan. Ați avea nevoie de un instrument sofisticat de analiză a traficului de rețea agregat și rezumat toate datele despre trafic.

Despre oglindirea porturilor

Oglindirea porturilor oferă o metodă de duplicare a traficului de rețea și direcționarea copiei către un magazin de date. Într-un splitter, utilizați un dispozitiv care duplică tot traficul cu o copie continuând către destinațiile sale preconizate, iar cealaltă se afișează pe un ecran sau merge la un fișier. Cu oglindirea portului, utilizați exact aceeași tehnică, dar modificați setările comutatorului pentru a crea o funcție de duplicare a datelor, eliminând astfel necesitatea instalării unui dispozitiv fizic separat.

În esență, o instrucțiune de oglindire a portului spune comutatorului să trimită o copie a traficului către un anumit port. Metodologia include o serie de opțiuni, care vă permit să alege trafic specific provenind din sau călătorind la adrese date sau alegând să copiați tot traficul. După ce comutatorul a împărțit traficul necesar, tot ce trebuie să faceți este să colectați pachetele care sunt trimise în portul desemnat ca punct de livrare a datelor.

Întrerupătoare și butucuri

A legătură, sau „Hop,”Într-o rețea este conexiunea dintre două dispozitive. Link-ul ar putea fi ultima secțiune care conectează un punct final, sau s-ar putea să fie între două dispozitive de rețea. Întotdeauna va exista un dispozitiv de rețea pe cel puțin un capăt al legăturii. Pentru traficul dintr-o rețea, acel dispozitiv va fi fie un intrerupator sau a butuc.

Un hub transmite tot traficul pe care îl primește pe una dintre conexiunile sale către toate celelalte. Nu acordă atenție adresei de destinație de pe pachetele primite. Un comutator este mai selectiv deoarece examinează anteturile pachetelor și transmite fiecare portului pe care l-a listat pentru acea adresă. Cablul conectat la acel port de destinație nu poate duce la punctul final identificat de acea adresă. Dacă există un alt dispozitiv de rețea între întrerupătorul și punctul final, cablul care primește datele în mișcare va duce la acel dispozitiv intermediar, care, la rândul său, îl va returna.

Din fericire, pentru captarea pachetelor, comutatoarele și huburile nu creează legături fizice temporare între porturile sursă și destinație într-o conexiune. In schimb, dispozitivul colectează datele primite. Atunci creează o copie exactă a datelor respective și o aplică portului de destinație. În cazul hub-urilor, această acțiune creează duplicarea. De exemplu, dacă un hub primește un pachet pe unul dintre cele zece porturi ale sale, acesta va trimite același pachet pe toate celelalte nouă porturi ale sale..

Deci, un pachet devine nouă copii. Un comutator face exact același lucru cu pachetele marcate difuzare. Traficul care călătorește către o singură destinație este copiat numai în portul pe care comutatorul a listat pentru acea adresă. Deci, există în continuare o singură instanță a acestor date pe măsură ce se deplasează în afara comutatorului.

Duplicarea pachetelor efectuate de comutatoare și routere este exact aceeași cu cea efectuată de un divizor de trafic.

Port oglindire cu butuc

După cum puteți vedea din descrierea modului în care funcționează întrerupătoarele și hub-urile, un hub duplicează automat tot traficul pe care îl primește. Deci, dacă aveți doar hub-uri în rețeaua dvs., este foarte ușor să obțineți o copie a întregului trafic care circulă pe ea. Hub-ul trimite tot traficul la toate punctele finale. Dacă traficul trebuie să călătorească prin alte dispozitive de rețea pentru a ajunge la unele dintre punctele finale din rețea, nu va bloca traficul ajungând la acele puncte finale dacă dispozitivele intermediare sunt și hub-uri.

Întrucât computerul dvs. este conectat la unul dintre hub-urile din rețea, tot traficul din rețea va fi automat trimis la computerul dvs. fără a fi necesar să modificați setările hub-ului. Cu toate acestea, computerul dvs. nu a citit în tot traficul.

Firmware-ul de pe cardul de rețea al computerului are un identificator greu codat: acesta este Adresa mac, care înseamnă „controler de acces media.”Placa de rețea va reacționa numai la mesajele care sosesc care au acea adresă MAC pe ele. Toate celelalte vor fi ignorate. Gândiți-vă la placa de rețea ca un portar la un club privat. Oricine ajunge trebuie să dea o parolă pentru a intra; cei fără parolă sunt blocați să intre. Adresa MAC este acea parolă.

Dacă doriți să vedeți tot traficul într-o rețea care este echipată în întregime cu hub-uri, tot ce trebuie să faceți este să spuneți cardului de rețea să renunțe la cerința pentru propria adresă MAC. În terminologia rețelei, această setare se numește „modul promiscu.“

Puriștii vor susține că introducerea cardului dvs. de rețea în modul promiscu nu înseamnă „oglindirea portului”, deoarece placa de rețea nu duplică pachetele. Ei spun că cardul renunță la cerința adresei MAC pentru a recunoaște pachetele sosite și a le trimite către aplicațiile de pe computer.

În adevăr, „oglindirea porturilor pe un hub” este un concept redundant, deoarece hub-ul duplică toate pachetele în mod implicit. În general, termenul „oglindire port” se aplică numai comutatoarelor.

Port oglindire cu întrerupător

Când un comutator primește un pachet, acesta face referire la adresa de destinație din antetul datagramei. Apoi face o copie a pachetului și trimite acea nouă versiune pe numărul de port pe care l-a asociat cu adresa MAC.

În operațiunile standard, care se numește „unicast,”O singură copie este făcută dintr-un mesaj primit și care este trimis doar pe un singur port. Întrerupătoarele sunt capabile să dubleze traficul, in orice caz. De exemplu, atunci când comutatorul primește un mesaj de difuzare, face același număr de copii ca numărul de porturi active și trimite o copie pe fiecare dintre aceste porturi. Întrerupătoarele au și „multicast”, Care le impun să creeze un număr limitat de copii.

Întrucât toate comutatoarele sunt programate cu posibilitatea de a gestiona mesaje transmise și multicast, sarcina de a copia pachetele nu prezintă hardware-ul lor cu o problemă. Conceptual, obținerea comutatorului dvs. pentru a efectua duplicarea pachetelor necesită foarte puține sarcini:

  1. Comutatorul este instruit să facă o copie a întregului trafic.
  2. Comutatorul trimite tot traficul la destinația prevăzută.
  3. Comutatorul trimite o copie a întregului trafic către un port nominalizat.
  4. Colectați tot traficul în portul nominalizat.

Obținerea tuturor pachetelor dublate care călătoresc printr-un comutator este o muncă foarte simplă și nu depune eforturi suplimentare de procesare din partea dispozitivului. Dacă doriți să examinați pachetele care călătoresc printr-un anumit comutator, trebuie doar să-i spuneți să dubleze tot traficul respectiv și să îl trimiteți într-un port și, de asemenea, să-i spuneți asociați adresa MAC a computerului dvs. cu acel număr de port desemnat. Apoi, trebuie să introduceți cardul de rețea al computerului într-un mod promiscu pentru a vă asigura că va ridica tot traficul și nu doar acele dateagrame cu adresa MAC pe ele.

Duplicarea întregului trafic de rețea

Soluția de mai sus este o versiune simplificată a ceea ce se întâmplă de fapt într-un comutator atunci când efectuează oglindirea porturilor. În realitate, sarcina este ceva mai complicată. De exemplu, ar fi incomod să vă conectați computerul direct cu un cablu la un comutator pentru a prelua tot traficul. Pe vremuri, aceasta era o cerință a analizatorilor LAN, iar o conexiune specifică locației este încă o caracteristică cheie a TAP-urilor de rețea..

Datorită tehnologiei de rutare, oglindirea porturilor moderne este mai sofisticată. Puteți examina traficul care trece prin orice comutator oriunde în lume, atâta timp cât acest comutator este accesibil din locația dvs., fie prin rețea sau pe internet. Nu este necesar să vă conectați fizic computerul la comutatorul respectiv. Atunci când călătoresc pe internet, oglindirea porturilor devine ceva mai complicată, deoarece Instagram-urile de date au nevoie de un ambalaj suplimentar la nivelul rețelei de internet. Pentru acest ghid, ne vom ocupa doar de oglindirea porturilor din interiorul unei rețele.

Majoritatea comutatoarelor au capacitatea de a livra pachete capturate într-o rețea, călătorind prin alte dispozitive de rețea. Fiecare producător de switch-uri produce propriul firmware pentru comutatoarele sale, iar meniul consolei de management este diferit pentru fiecare. În scopul prezentului ghid, ne vom concentra pe metodele utilizate Cisco Systems pentru a face oglindirea porturilor disponibile pe comutatoarele sale de rețea.

Despre comutatoarele Cisco SPAN

Facilitatea de oglindire a portului switch Cisco este numită SPAN. Acest lucru înseamnă Analizor port comutat. SPAN vă oferă toate posibilitățile de a captura pachete de pe orice comutator Cisco, indiferent dacă sunteți sau nu conectat direct la respectivul comutator. Cu toate acestea, trebuie să aveți un port de rezervă pe un comutator care poate deveni punctul de colectare a pachetelor duplicate.

În terminologia SPAN, un „port sursă”Este un port din care este duplicat traficul. „portul de destinație”Este adresa portului la care sunt trimise pachetele duplicate pentru colectare. Aveți mare grijă să vă amintiți acești termeni distinctivi, deoarece veți fi tentat să vă referiți la terminologia dvs. tradițională de rețea pe care o căutați pe pachete care rulează de la un port sursă la un port destinație..

Sistemul SPAN este capabil să monitorizeze un port sau mai multe porturi. De asemenea, este posibil să identificați direcția de circulație în acel port, oferindu-vă doar flux, doar ieșire sau ambele. Cu toate acestea, dacă examinați o serie de porturi simultan, trebuie să fie monitorizate aceeași direcție a fluxului de trafic.

Nu aveți posibilitatea să specificați de la și la porturi pentru a fi capturate (adică, numai traficul ajunge la un anumit port care pleacă dintr-un port specific). Dacă aceasta este funcționalitatea pe care o căutați, alegeți portul de intrare și capturați toate pachetele primite acolo. Apoi, puteți filtra tot traficul, cu excepția celui care pleacă în portul de interes transmis, odată ce aveți toate datele în dvs. software de analiză.

Într-o sesiune, puteți monitoriza porturi sau monitoriza VLAN-uri - nu puteți acoperi ambele tipuri de porturi simultan.

Modurile Cisco SPAN

Cisco SPAN vă permite să capturați pachete prin trei moduri:

  • SPAN local: Monitorizați traficul pe un comutator la care sunteți conectat direct.
  • SPAN la distanță (RSPAN): Monitorizați traficul pe un port la distanță, dar trimiteți pachetele capturate trimise într-un port de pe comutatorul local pentru colectare.
  • SPAN de la distanță încapsulat (ERSPAN): Același proces ca RSPAN, cu excepția faptului că transferul pachetelor oglindite pe comutatorul local este efectuat prin încapsulare GRE.

Opțiunea RSPAN nu este disponibilă pe comutatoarele Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 și 2900XL.

Disponibilitate Cisco SPAN

SPAN este disponibil pe toate modelele de comutatoare Cisco următoare:

Seria Catalyst Express 500/520

  • Seria Catalyst 1900
  • Seria Catalyst 2900XL
  • Seria Catalyst 2940
  • Catalizator 2948G-L2, 2948G-GE-TX, 2980G-A
  • Seria Catalyst 2950
  • Seria Catalyst 2955
  • Seria Catalyst 2960
  • Seria Catalyst 2970
  • Seria Catalyst 3500 XL
  • Seria Catalyst 3550
  • Seria Catalizator 3560 / 3560E / 3650X
  • Seria Catalyst 3750 / 3750E / 3750X
  • Seria de metrou Catalyst 3750
  • Seria Catalyst 4500/4000
  • Seria Catalyst 4900
  • Seria Catalyst 5500/5000
  • Seria Catalyst 6500/6000

Din păcate, setul de comenzi nu este același pe toate comutatoarele. Acest lucru se datorează mai ales faptului că compania are un firmware specializat pentru unele dintre dispozitivele sale Catalyst, care se numește Catos. Alte comutatoare Cisco folosesc un sistem de operare numit IOS, ceea ce nu este același cu sistemul de operare iOS folosit de dispozitivele Apple.

Câteva comutatoare Cisco nu au capacități de oglindire a portului autohton, dar există o utilitate gratuită pe care o puteți utiliza în aceste circumstanțe, despre care veți citi în scurt timp.

Configurați SPAN pe comutatoarele IOS

Pentru modelele de comutare cu firmware-ul IOS, trebuie să accesați sistemul de operare al dispozitivului și să emiteți o comandă pentru a specifica portul SPAN și portul de monitorizat. Această sarcină este implementată de două linii de comenzi. Unul trebuie precizați sursa, ceea ce înseamnă portul care va avea replicat traficul său și celălalt oferă numărul de port la care este conectat snifferul - aceasta este linia de destinație.

monitorizarea sursei sesiunii [interfață | de la distanță | vlan] [rx | tx | ambii] monitorizați interfața de destinație a sesiunii

După ce ați terminat de definit oglinda, trebuie să apăsați CTRL-Z pentru a încheia definiția configurației.

Numărul sesiunii vă permite doar să creați mai multe monitoare diferite care rulează simultan. Dacă utilizați același număr de sesiune într-o comandă ulterioară, veți anula urmele originale și o înlocuiți cu noua specificație. Intervalele de porturi sunt definite printr-o liniuță („-”) și o secvență de porturi sunt separate prin virgule („,”).

Ultimul element din linia de comandă pentru portul sursă (portul care trebuie monitorizat) este specificația dacă comutatorul trebuie să reproducă pachetele transmise din oricare dintre porturi, sau ambii.

Configurați SPAN pe comutatoarele CatOS

Mai recent, gamele Catalyst sunt livrate cu un sistem de operare mai nou, numit Catos, în locul sistemului de operare IOS mai vechi. Comenzile utilizate pentru a configura oglindirea SPAN la aceste comutatoare sunt puțin diferite. Cu acest sistem de operare, creați oglindire cu o singură comandă în loc de două.

set span [rx | tx | ambele] [inpkts] [învățare] [multicast] [filtru ] [crea]

Porturile sursă sunt definite de primul element din această comandă, care este „src_mod / src_ports”Parte. Un al doilea identificator de port din comandă este citit automat ca port de destinație - adică portul la care este atașat snifferul de pachete. „rx | tx | ambii”Element spune comutatorului pentru a reproduce pachetele transmise din oricare dintre porturi, sau ambii.

Există, de asemenea, o comandă setată pentru a opri oglindirea:

set dezactivare dezactivat [dest_mod / dest_port | toate]

Configurați SPAN pe comutatoarele Catalyst Express 500 și Catalyst Express 520

Dacă aveți un comutator Catalyst Express 500 sau Catalyst Express 520, nu introduceți setările SPAN la sistemul de operare. Pentru a comunica cu comutatorul și a modifica setările acestuia, trebuie să instalați Cisco Network Assistant (CNA). Acest software de administrare a rețelei este gratuit și se rulează în mediul Windows. Urmați acești pași pentru a activa SPAN-ul pe comutator.

  1. Conectați-vă la comutator prin interfața CNA.
  2. Selectează Smartports opțiune în CNA meniul. Aceasta va afișa o grafică care reprezintă tabloul de porturi al comutatorului.
  3. Faceți clic pe portul la care doriți să conectați snifferul de pachete și să selectați Modifica opțiune. Aceasta va genera o fereastră pop-up.
  4. Selectați Diagnostice în Rol lista și selectarea portului care va avea traficul său monitorizat din Sursă lista verticală. Dacă doriți să monitorizați în mod specific un VLAN, selectați-l din Ingress VLAN listă. Dacă nu vizați doar să urmăriți traficul pentru un VLAN, lăsați această valoare în mod implicit. Click pe O.K pentru a salva setările.
  5. Click pe O.K și apoi aplica în Smartports ecran.

O problemă a metodei CNA este că software-ul rulează numai versiuni Windows până la Windows 7.

Prelucrare de pachete capturate

Oglindirea portului configurată pe comutatorul dvs. nu va stoca sau analiza pachetele capturate. Poți să folosești orice software de analiză de rețea pentru a procesa pachetele care sunt trimise pe dispozitivul dvs..

O problemă cheie pe care va trebui să o recunoști atunci când captezi pachete este că va trebui să te ocupi de o cantitate foarte mare de date. O eroare de text brută a traficului de rețea care trece este aproape imposibil de combinat fără un vizualizator de date ghidat. Aceasta este cea mai mică categorie de instrumente de acces la date pe care ar trebui să le luați în considerare. O utilitate completă de analiză a traficului ar fi și mai bună.

Puteți vedea o listă cuprinzătoare de instrumente recomandate pentru analiza traficului de rețea în articol, 9 cele mai bune analizoare de pachete / sniffere de pachete pentru 2019. Pentru comoditate, primele două instrumente din această recenzie sunt rezumate mai jos.

Instrumentul de inspecție și analiză Deep Packet DeepWinds (ÎNCERCARE GRATUITĂ)

Inspecție profundă a pachetelor

SolarWinds produce un catalog mare de instrumente de monitorizare și gestionare a rețelei. Pentru analiza ieșirilor de oglindire a porturilor, ar trebui să luați în considerare compania Pachet profund și analiză instrument pentru a fi cea mai bună opțiune. Acesta face parte din monitorizarea performanței rețelei, care este produsul său central.

Acest instrument poate interpreta date provenite de la o gamă largă de instrumente de colectare a pachetelor și vă va permite să vedeți unde apar surplusurile de trafic. Trebuie să analizați aplicațiile care generează cea mai mare parte a cererii din rețeaua dvs. pentru a construi strategii care să îmbunătățească performanța. Acest instrument de analiză acceptă acele investigații.

Monitorul de performanță al rețelei este un instrument de top și nu este gratuit. Cu toate acestea, puteți obține un proces gratuit de 30 de zile. Nu uitați că captura de pachete nu este într-adevăr o opțiune posibilă pentru a monitoriza întregul trafic din toată rețeaua dvs. Pentru aceste situații, te-ai descurca mai bine cu SolarWinds NetFlow Traffic Analyzer. Aceasta angajează Cisco NetFlow funcționalitate pentru a proba traficul din rețea. De asemenea, este capabil să comunice cu Rețele de ienupăr echipament prin intermediul J-Flow standard de prelevare de pachete, cu Huawei dispozitive, folosind NetStream, și poate utiliza, de asemenea, independent de producător sFlow și IPFix sisteme de analiză a traficului. De asemenea, puteți obține NetFlow Traffic Analyzer la o probă gratuită de 30 de zile.

Monitorul de performanță al rețelei și NetFlow Traffic Analyzer fac o combinație bună pentru analiza rețelei, deoarece vă oferă o perspectivă de ansamblu și instrumentele de examinare a traficului de pachete care rulează pe dispozitive individuale. SolarWinds oferă aceste două instrumente împreună cu pachetul de analiză a lățimii de bandă a rețelei, pe care îl puteți obține și pe un test gratuit de 30 de zile.

SolarWinds Inspecție și analiză profundă a pachetelor Descărcați încercare GRATUITĂ de 30 de zile

Instrumentul de captare a pachetelor Paessler

Paessler-PRTG

Paessler PRTG este un instrument de monitorizare a rețelei care este compus din mai mulți senzori individuali. Unul dintre aceste instrumente este un senzor de captare a pachetelor. Acest senzor nu este dotat cu un TAP fizic; în schimb, se bazează pe datele furnizate într-un flux de la comutatoarele dvs. Acest instrument oferă vizualizări excelente de date, atât pentru date în direct, cât și pentru pachetele citite din stocarea fișierelor.

Mare lucru despre PRTG este că vă poate oferi diferite straturi de vizibilitate din cadrul aceluiași instrument. De asemenea, include senzori care probează datele din rețea, captând doar anteturi de pachete din diferite locații din rețea. Poti de asemenea reduce cantitatea de date care trebuie procesată de monitor prin specificarea eșantionării.

Pe lângă senzorul de adulmecare a pachetelor, PRTG include următoarele sisteme de eșantionare a traficului:

  • Un senzor NetFlow
  • Un senzor sFlow
  • Un senzor J-Flow

Cu acest sistem, puteți utiliza senzorii NetFlow, sFlow și J-Flow pentru a obține o imagine de ansamblu a întregii rețele și apoi accesați snifferul pentru pachete pentru a vă concentra pe fluxurile tipice de la un dispozitiv. După ce ați izolat un comutator supraîncărcat, puteți să vă adăugați în anumite porturi care au prea mult trafic și să vă uitați la tipurile de trafic care îl copleșesc. Cu aceste informații, puteți pune în aplicare măsuri de modelare a traficului sau puteți alege să adăugați mai multe infrastructuri pentru a reutila punctele de trafic greu și a răspândi sarcina.

Senzorul sniffer de pachete procesează doar antetele de dateagrafice de trafic care călătoresc în jurul rețelei. Această strategie reduce cantitatea de procesare necesară pentru a aglomera valorile fluxului și analiza rapidă a vitezei.

Probleme privind oglindirea porturilor

Captarea și stocarea completă a pachetelor ar putea avea probleme cu confidențialitatea datelor. Deși cea mai mare parte a traficului care trece pe rețeaua dvs. va fi criptată, dacă este destinată site-urilor externe, nu tot traficul intern va fi criptat. Dacă organizația dvs. nu a decis să implementeze o securitate suplimentară pentru e-mailuri, traficul de poștă din jurul rețelei dvs. nu va fi criptat în mod implicit.

Ca o tehnică alternativă de analiză a traficului, puteți lua în considerare utilizarea NetFlow. Acesta este un sistem de mesagerie care este activat pe toate dispozitivele Cisco și va transmite doar antetele pachetelor către un monitor central. Puteți citi despre monitoarele de rețea care colectează date NetFlow în articolul 10 Cele mai bune analizoare și colectori NetFlow gratuite și premium.

După ce aveți informațiile la îndemână despre toate funcțiile de monitorizare a traficului de pe comutatoarele dvs. Cisco, veți fi într-o poziție mai bună pentru a decide ce metodă de captare a pachetelor trebuie să folosească.

Alegerea strategiei corecte de analiză a rețelei

Sperăm că acest ghid te-a făcut conștient de problemele care înconjoară oglindirea porturilor. Deși există momente în care nu poți evita cu adevărat să cobori la nivelul pachetelor pentru a evalua în mod corespunzător traficul de rețea, ar trebui restrângeți-vă cercetările cu alte instrumente înainte de a aranja o captare de pachete ca o sarcină.

Oglindirea porturilor are problemele sale - rupe confidențialitatea datelor și poate genera cantități foarte mari de date. Explorați metode pentru informații despre trafic agregat ca primă linie de investigație și ajungeți la oglindirea portului odată ce ați identificat legături cu probleme. După ce ați configurat oglindirea porturilor pe comutatoarele dvs., asigurați-vă că canalizați toate datele într-un instrument de analiză, astfel încât să puteți folosi corect toate informațiile pe care le va genera această strategie.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 2 = 1

Adblock
detector