A végső útmutató a port tükrözéséhez

Végső útmutató a port tükrözéséhez (1)

A modern hálózati megfigyelő szoftver kifinomult eszközöket tartalmaz, például grafikus ábrázolásokat és elemző eszközöket. Előfordulhat azonban, hogy vissza kell térnie az anyák és csavarok elemzési technikáira, amelyekkel a csomagok elfoghatók a hálózat körül. A port tükrözése csomagmegfogási technika.

A csomagmegfogáshoz hardveres elem szükséges, amelyet a-nak hívnak TAP (teszt hozzáférési pont). Szerencsére már rendelkezik hardverrel, amely a hálózati forgalmat továbbítja: kapcsolók és hubok. Kihasználhatja ezeknek az eszközöknek a képességeit, hogy elkerülje a külön inline érzékelő vagy forgalmi elosztó vásárlásának szükségességét. A hálózati berendezés forgalom rögzítésére történő használatának technikáját „port tükrözés.”Ez az útmutató megadja az összes információt, amelyre szüksége van a porton történő tükrözéshez a hálózaton.

>>> Ugrás az alábbi ajánlott ellenőrző eszközök listájára<<<

Kapcsolja be a forgalom feldolgozását

Egy nagyon kicsi hálózatnak csak egy kapcsolója vagy hubja lenne. Ugyanakkor a hálózaton nem kell sok növekedést igényelnie egy másik kapcsolóra. Ha több kapcsoló van a hálózatán, akkor azok továbbmozgatják a forgalmat anélkül, hogy az összes csomagot központi ponton kellene csatornázni.

Ez a decentralizált konfiguráció azt jelenti, hogy ha csak akar, akkor csak egyetlen kapcsolót választhat a hálózaton az adatgyűjtéshez mintaforgalom minden adatából. Ennek oka az, hogy a hálózat többi kapcsolója forgalmat cserél egymás között, amelyet nem kell a választott eszközön keresztül vezetni. Ez a kérdés azonban akkor is felmerül, ha a KOPPINTSON A csomagmegfogó eszközként.

A hálózati forgalom rögzítése során el kell döntenie, hogy az igényeit teljesíthetik-e az egy pontot áthaladó csomagok, vagy meg kell-e látni egyszerre a teljes hálózat összes hálózati forgalmi viselkedését.

A valóságban valószínűbb, hogy meg kell vizsgálnia a linkre eső forgalmat. Ilyen esetben valószínűleg megpróbálja megtudni, hogy miért van túlterhelve a hálózat egyik linkje, és hogy milyen típusú forgalmat irányíthat át vagy továbbléphet a probléma megoldása érdekében.

Bár érdemes lehet az összes hálózati forgalom megtekintése, mindegyik egyszerre történő felvétele hamarosan túlságosan ambiciózus cél. Ha elfogja az összes hálózati csomagot, akkor az összes összegyűjtött adat megsemmisül.

A hálózat teljesítményének megfelelő felmérése érdekében az összes forgalmat hálózati eszközönként kategorizálja, ezért jobb a port tükrözése eszközönként. Más eszközök jobban megfelelnek az egész hálózat láthatóságának biztosításához. Ezekben az esetekben jobb lenne, ha a NetFlow használatával adatmintát vesz fel egyszerre több hálózati pontról. Szüksége lesz egy kifinomult hálózati forgalom elemző eszközre összesíteni és összefoglalni minden forgalmi adat.

A kikötő tükrözéséről

A port tükrözése módszert kínál a hálózati forgalom lemásolására és a másolat adattárolóba történő irányítására. Az osztóban olyan eszközt használ, amelyik az összes forgalmat lemásolja az egyik példány folytatódik a kívánt rendeltetési helyre, a másik pedig a képernyőn jelenik meg, vagy fájlba megy. A port tükrözésével pontosan ugyanazt a technikát használja, de megváltoztatja a kapcsoló beállításait, hogy adatmásolat-létrehozási funkciót hozzon létre, ezzel elkerülve a különálló fizikai eszköz telepítésének szükségességét.

Alapvetően a port tükrözésére vonatkozó utasítás azt mondja a kapcsolónak, hogy küldjön egy forgalom másolatát egy adott porthoz. A módszertan számos lehetőséget tartalmaz, lehetővé téve válasszon konkrét forgalmat adott címekből érkeznek vagy oda utaznak, vagy az összes forgalmat lemásolják. Miután a kapcsoló elosztotta a szükséges forgalmat, csak annyit kell tennie, hogy összegyűjti azokat a csomagokat, amelyeket az adatátadási pontként kijelölt portba küld..

Kapcsolók és hubok

A link, vagy “komló,”Egy hálózaton a kapcsolat két eszköz között. Lehet, hogy a link az utolsó szakasz, amely összeköti a végpont, vagy lehet, hogy kettő között van hálózati eszközök. A link legalább egyik végén mindig lesz hálózati eszköz. A hálózaton belüli forgalom esetén az eszköz vagy a kapcsoló vagy a kerékagy.

Egy hub az összeköttetések egyikén kapott forgalmat az összes többi felé továbbítja. Nem figyel a beérkező csomagok rendeltetési címére. A kapcsoló szelektívebb, mert így van megvizsgálja a csomag fejléceit és továbbítja mindegyik kikötőhöz, amelyet az adott címre felsorolt. Lehet, hogy a célporthoz csatlakoztatott kábel nem vezet a végponthoz, amelyet az adott cím azonosít. Ha a kapcsoló és a végpont között van egy másik hálózati eszköz, akkor a mozgó adatokat fogadó kábel az adott közbenső eszközhöz vezet, amely viszont továbbítja azt.

Szerencsére a csomagmegfogáshoz a kapcsolók és a hubok nem létesítenek ideiglenes fizikai kapcsolatokat a forrás és a cél portok között. Helyette, a készülék összegyűjti a bejövő adatokat. Akkor létrehozza az adatok pontos másolatát és alkalmazza a cél-kikötőre. A hubok esetében ez a művelet duplikációt hoz létre. Például, ha egy hub egy csomagot kap a tíz portjának egyikén, akkor ugyanazt a csomagot továbbítja a többi kilenc portjára.

Tehát egy csomag kilenc példányra válik. A kapcsoló pontosan ugyanazt teszi a jelölt csomagokkal adás. Az egyik rendeltetési helyre vezető forgalom csak arra a portra másolódik, amelyet a kapcsoló megadott az adott címre. Tehát ezeknek az adatoknak továbbra is csak egy példánya van, amikor kikerülnek a kapcsolóból.

A kapcsolók és az útválasztók által végzett csomagmásolás pontosan megegyezik a forgalomelosztó által végzett munkával.

A port tükrözi egy agyat

Amint az a kapcsolók és hubok működésének leírásáról látható, egy hub automatikusan lemásolja az összes forgalmat, amelyet fogad. Tehát, ha csak a hálózatán vannak hubok, nagyon könnyű másolatot szerezni a rajta közlekedő forgalomról. Az hub az összes forgalmat az összes végponthoz elküldi. Ha a forgalomnak más hálózati eszközökön keresztül kell haladnia, hogy elérje a hálózat egyes végpontjait, akkor ez nem blokkolja a forgalom elérését e végpontokhoz, ha a közbenső eszközök szintén hubok.

Mivel a saját számítógépe csatlakozik a hálózat egyik központjához, a hálózat teljes forgalma automatikusan elküldésre kerül a számítógépére anélkül, hogy meg kellene változtatnia a hub beállításait. A számítógépe azonban nem olvassa be az összes forgalmat.

A számítógép hálózati kártyájának firmware-jére egy keményen kódolt azonosító tartozik: ez az Mac cím, amely a „média-hozzáférési vezérlő.”A hálózati kártya csak azokra az érkező üzenetekre reagál, amelyekben szerepel az adott MAC-cím. Az összes többi figyelmen kívül hagyja. Gondolj a hálózati kártyára, mint ajtóra egy privát klubban. Az érkezőknek jelszót kell megadniuk a belépéshez; A jelszó nélküli személyek akadályozzák a belépést. A MAC-cím az a jelszó.

Ha azt szeretné, hogy az összes forgalom megfigyelhető legyen egy teljesen hubokkal felszerelt hálózaton, akkor csak annyit kell tennie, hogy megmondja a hálózati kártyának, hogy hagyja el a saját MAC-címét. A hálózati terminológiában ezt a beállítást „ígéretes mód.”

A puristák azt állítják, hogy a hálózati kártya szüneteltetési módba helyezése nem „port tükrözése”, mivel a hálózati kártya nem másolja a csomagokat. Azt mondják, hogy a kártya csak elmulasztja a MAC-cím követelményét az érkező csomagok felismerése és a számítógépen lévő alkalmazásokhoz történő továbbítás céljából..

Valójában a „hub port tükrözése” redundáns fogalom, mivel a hub alapértelmezés szerint az összes csomagot lemásolja. Általában a „port tükrözés” kifejezés csak a kapcsolókra vonatkozik.

Port tükrözése kapcsolóval

Amikor egy kapcsoló fogad egy csomagot, utal a rendeltetési helyre a datagram fejlécében. Ezután másolatot készít a csomagról, és elküldi az új verziót az adott MAC-címhez társított portszámon.

A szokásos műveletek során, amelyeket „unicast,"A bejövő üzenetekből csak egy példány készül, és csak egy porton küldik el őket. A kapcsolók megismételhetik a forgalmat, azonban. Például, amikor a kapcsoló sugárzott üzenetet kap, akkor ugyanannyi példányt készít, mint az aktív portok számát, és mindegyik porton egy példányt küld. A kapcsolóknak „multicast”Képességeket, amelyek megkövetelik számukra korlátozott számú példány létrehozását.

Mivel az összes kapcsolót a sugárzott és a csoportos küldésű üzenetek kezelésére képes programozni, a csomagok lemásolása nem jelent problémát a hardverekkel. Fogalmi szempontból a kapcsoló megszerzése a csomagos másolás elvégzéséhez nagyon kevés feladatot igényel:

  1. A kapcsolót utasítják, hogy készítsen másolatot az összes forgalomról.
  2. A kapcsoló az összes forgalmat a rendeltetési helyére irányítja.
  3. A kapcsoló az összes forgalom másolatát elküldi a kijelölt portra.
  4. Az összes forgalmat összegyűjti a kijelölt kikötőben.

Az összes csomag másolatának megkapása egy kapcsolón keresztül utazás nagyon egyszerű feladat, és az eszköz részéről nem sok extra munka szükséges. Ha meg akarja vizsgálni a meghatározott kapcsolón keresztül haladó csomagokat, akkor csak meg kell mondania, hogy másolja a forgalmat, küldje el egy portnak, és elmondja az társítsa a számítógép MAC-címét a kijelölt portszámmal. Ezután a számítógép hálózati kártyáját könnyedén kell üzembe helyeznie, hogy megbizonyosodjon arról, hogy az összes forgalmat felveszi, és nem csak azokat az adatképeket, amelyekre a MAC-címük tartozik..

Az összes hálózati forgalom másolása

A fenti megoldás egy egyszerűsített változata annak, ami valójában egy kapcsolón történik, amikor a port tükrözését hajtja végre. A valóságban a feladat egy kicsit bonyolultabb. Például kényelmetlen lenne, ha a számítógépet közvetlenül egy kábellel kell egy kapcsolóhoz csatlakoztatni annak érdekében, hogy felvegye az összes forgalmát. A régi időkben ez volt a LAN elemzők követelménye, és a helyspecifikus kapcsolat továbbra is a hálózati TAP kulcsfontosságú jellemzője..

A routing technológiának köszönhetően a modern kikötői tükrözés kifinomultabb. Megvizsgálhatja a világ bármelyik kapcsolóján áthaladó forgalmat, mindaddig, amíg ez a kapcsoló elérhető a tartózkodási helyéről sem a hálózaton, sem az interneten keresztül. Nem kell fizikailag csatlakoztatnia a számítógépet ehhez a kapcsolóhoz. Az interneten keresztül történő utazáskor a port tükrözése egy kicsit bonyolultabbá válik, mivel az adatgramoknak extra csomagolást kell igényelniük az internetes hálózati rétegen. Ebben az útmutatóban csak a porton belüli tükrözésről fogunk foglalkozni.

A legtöbb kapcsoló képes rögzített csomagokat továbbítani egy hálózaton keresztül, más hálózati eszközökön keresztül. Minden kapcsoló gyártója saját firmware-t állít elő kapcsolóihoz, és a felügyeleti konzol menüje mindegyiknél különbözik. Ezen útmutató alkalmazásában a. Által használt módszerekre összpontosítunk Cisco Systems hogy a port tükrözése elérhető legyen a hálózati kapcsolóin.

A Cisco SPAN kapcsolókról

A Cisco kapcsolóport tükröző eszközét hívják SPAN. Ez jelent Kapcsolt port-elemző. A SPAN minden lehetőséget kínál a csomagok rögzítésére bármilyen Cisco kapcsolón, függetlenül attól, hogy közvetlenül csatlakozik-e ehhez a kapcsolóhoz. Ahhoz azonban, hogy van egy kapcsoló, legyen egy tartalék port, amely a többszörözött csomagok gyűjtőpontjává válhat.

A SPAN terminológiában a „forrás port”Egy olyan kikötő, ahonnan a forgalmat lemásolják. Az "célkikötő”Annak a portnak a címe, amelyre a többszörözött csomagokat elküldik gyűjtésre. Légy nagyon óvatos, hogy emlékezzen ezekre a megkülönböztető kifejezésekre, mert a kísértés arra fog hivatkozni, hogy a hagyományos hálózati terminológiára vonatkozik, amikor a forrási portról a cél portra futó csomagokat vizsgálja..

A SPAN rendszer képes egy vagy több port figyelésére. Az is lehetséges, hogy azonosítsa a forgalom irányát abban a kikötőben, amely csak beáramlást, csak kiáramlást vagy mindkettőt eredményez. Ha azonban egyszerre több portot vizsgál, akkor mindegyiknek ugyanazt a forgalom irányát kell figyelnie.

Nem tudja megadni a rögzítendő kikötőket és a portokat (azaz csak azt a forgalmat érheti el, amely egy adott porthoz érkezik, amely egy adott portból indul). Ha ez a kívánt funkció, válassza ki a beáramló portot és rögzítse az összes fogadott csomagot ott. Ezután kiszűrheti az összes forgalmat, azzal a kivétellel, hogy ha elhagyja a továbbított érdekes portot, miután az összes adat megmarad a elemző szoftver.

Egy munkamenet során megfigyelheti a portokat vagy a monitorokat VLAN - nem fedheti le mindkét típusú portot egyszerre.

Cisco SPAN módok

A Cisco SPAN háromféle módban teszi lehetővé a csomagok rögzítését:

  • Helyi SPAN: Figyelemmel kíséri a forgalmat azon kapcsolón, amelyhez közvetlenül csatlakozik.
  • Távoli SPAN (RSPAN): Figyelemmel kíséri a távoli port forgalmát, de a rögzített csomagokat küldje el a helyi kapcsoló egyik portjához gyűjtés céljából.
  • Beágyazott távoli SPAN (ERSPAN): Ugyanaz a folyamat, mint az RSPAN-ban, azzal a különbséggel, hogy a tükrözött csomagoknak a helyi kapcsolóra történő átvitelét a GRE beágyazás biztosítja..

Az RSPAN opció nem érhető el az Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 és 2900XL kapcsolókon..

A Cisco SPAN elérhetősége

A SPAN az alábbi Cisco kapcsoló modelleken érhető el:

Catalyst Express 500/520 sorozat

  • Catalyst 1900 sorozat
  • Catalyst 2900XL sorozat
  • Catalyst 2940 sorozat
  • Katalizátor: 2948G-L2, 2948G-GE-TX, 2980G-A
  • Catalyst 2950 sorozat
  • Catalyst 2955 sorozat
  • Catalyst 2960 sorozat
  • Catalyst 2970 sorozat
  • Catalyst 3500 XL sorozat
  • Catalyst 3550 sorozat
  • Katalizátor 3560 / 3560E / 3650X sorozat
  • Catalyst 3750 / 3750E / 3750X sorozat
  • Catalyst 3750 Metro Series
  • Catalyst 4500/4000 sorozat
  • Catalyst 4900 sorozat
  • Catalyst 5500/5000 sorozat
  • Catalyst 6500/6000 sorozat

Sajnos a parancskészlet nem azonos a kapcsolókon. Ez elsősorban azért van, mert a cégnek van egy speciális firmware-je néhány Catalyst eszközéhez, amelyet úgynevezett CatOS. Más Cisco kapcsolók az úgynevezett operációs rendszert használják IOS, amely nem azonos az Apple eszközök által használt iOS operációs rendszerrel.

Néhány Cisco kapcsoló nem rendelkezik natív port-tükrözési képességekkel, de van egy ingyenes segédprogram, amelyet ilyen körülmények között használhat, és erről hamarosan olvashat..

Állítsa be a SPAN-t az IOS kapcsolóin

Az IOS firmware-rel rendelkező kapcsolómodellek esetén be kell jutniuk az eszköz operációs rendszerébe, és parancsot kell adniuk a SPAN-port és a megfigyelt port meghatározásához. Ezt a feladatot két parancssor hajtja végre. Meg kell adja meg a forrást, ami azt jelenti a kikötőt, amelynek forgalma megismétlődik, és a másik megadja azt a portszámot, amelyhez a sniffer csatlakozik - ez a rendeltetési sor.

monitor munkamenet forrása [interfész | távirányító | vlan] [rx | tx | mindkét] figyelje a munkamenet célfelületét

Miután befejezte a tükör meghatározását, meg kell nyomnia CTRL-Z a konfigurációs meghatározás befejezéséhez.

A munkamenet száma lehetővé teszi, hogy több különböző monitort hozzon létre egyidejűleg. Ha ugyanazt a munkamenet számot használja egy későbbi parancsban, akkor törli az eredeti nyomkövetést és helyettesíti az új specifikációval. A porttartományokat kötőjel („-“) határozza meg, és a portok sorozatát vesszők választják el („,“).

A forrásport (a megfigyelt port) parancssorának utolsó eleme annak meghatározása, hogy a kapcsolónak replikálnia kell-e az átadott csomagokat mindkét kikötőből, vagy mindkét.

Állítsa be a SPAN-t a CatOS kapcsolóin

A legújabb Catalyst sorozatokat egy újabb, az úgynevezett operációs rendszerrel szállítják CatOS, a régebbi IOS operációs rendszer helyett. Ezekben a kapcsolókban a SPAN tükrözés beállításához használt parancsok kissé eltérnek. Ezzel az operációs rendszerrel tükörképeket hoz létre, kettő helyett csak egy paranccsal.

beállított tartomány [rx | tx | mindkettő] [inpkts] [tanulás ] [multicast] [szűrő ] [Létrehozása]

A forrásportokat a parancs első eleme határozza meg, amely a „src_mod / src_ports" rész. A parancs második portazonosítója automatikusan beolvasásra kerül célportként, vagyis az a port, amelyhez a csomag-szippantó csatlakozik. Az "rx | tx | mindkét”Elem azt mondja a kapcsolónak, hogy replikálja az átadott csomagokat mindkét kikötőből, vagy mindkét.

Van még egy beállított span parancs a tükrözés kikapcsolásához:

beállított span letiltás [dest_mod / dest_port | all]

Állítsa be a SPAN-t a Catalyst Express 500 és a Catalyst Express 520 kapcsolókon

Ha van Catalyst Express 500 vagy Catalyst Express 520 kapcsoló, akkor az operációs rendszernél nem kell megadnia a SPAN beállításokat. A kapcsolóval való kommunikációhoz és a beállítások megváltoztatásához telepítenie kell a Cisco Network Assistant (CNA). Ez a hálózatkezelő szoftver ingyenes, és Windows környezetben fut. Az SPAN aktiválásához kövesse ezeket a lépéseket.

  1. Jelentkezzen be a kapcsolóba a CNA interfészen keresztül.
  2. Válaszd ki a Smartports opció a CNA menü. Ez megjeleníti a kapcsoló portrendszerét ábrázoló grafikát.
  3. Kattintson arra a portra, amelyhez csatlakozni kívánja a csomag-szippantót, és válassza ki a Módosít választási lehetőség. Ekkor megjelenik egy felbukkanó ablak.
  4. választ Diagnostics ban,-ben Szerep listát, és válassza ki azt a portot, amelynek forgalmát megfigyeli Forrás legördülő lista. Ha kifejezetten egy VLAN-t szeretne figyelni, válassza ki a Ingress VLAN lista. Ha nem csak a VLAN forgalmát akarja követni, hagyja ezt az értéket az alapértelmezett értéknél. Kattintson rendben a beállítások mentéséhez.
  5. Kattintson rendben és akkor Alkalmaz ban,-ben Smartports képernyő.

A CNA módszer egyik problémája az, hogy a szoftver csak Windows verziókon fut, legfeljebb Windows 7.

Rögzített csomagfeldolgozás

A kapcsolón beállított porttükrözés nem tárolja vagy elemzi a rögzített csomagokat. Te tudod használni bármilyen hálózati elemző szoftver az eszközre küldött csomagok feldolgozása.

Az a kulcsfontosságú kérdés, amelyet fel kell ismernie a csomagok elfogásakor, az, hogy nagyon nagy mennyiségű adatgal kell foglalkoznia. Az áthaladó hálózati forgalom nyers szöveges formátumát szinte lehetetlen átvilágítani irányított adatmegjelenítő nélkül. Ez az adathozzáférési eszköz legalacsonyabb kategóriája, amelyet figyelembe kell vennie. Még jobb lenne a teljes forgalom elemzési segédprogram.

Láthatja a ajánlott hálózati forgalom elemző eszközök a cikkben: 9 legjobb csomag-elemző / csomag-gyűjtőgép 2019-re. Az egyszerűség kedvéért az áttekintés két legfontosabb eszközét az alábbiakban foglaljuk össze..

SolarWinds Mély csomag ellenőrző és elemző eszköz (INGYENES PRÓBAVERZIÓ)

Mély csomag ellenőrzés

A SolarWinds nagy mennyiségű hálózati megfigyelő és felügyeleti eszköz katalógust készít. A port tükrözésére szolgáló kimeneti elemzésnél figyelembe kell venni a társaságét Mély csomag és elemzés eszköz legyen a legjobb választás. Ez része a társaság hálózati teljesítményfigyelőjének, amely a központi termék.

Ez az eszköz képes értelmezni a forrásból származó adatokat a csomaggyűjtő eszközök széles választéka és látni fogja, hol fordul elő forgalomnövekedés. A teljesítmény javítását célzó stratégiák felépítése érdekében meg kell vizsgálnia azokat az alkalmazásokat, amelyek a legtöbb igényt generálják a hálózatán. Ez az elemző eszköz támogatja ezeket a vizsgálatokat.

A Network Performance Monitor egy csúcsminőségű eszköz, és nem ingyenes. 30 napos ingyenes próbaidőszakot kaphat. Ne feledje, hogy a csomagmegfogás valójában nem kivitelezhető módszer az egész hálózaton belüli forgalom figyelésére. Ilyen helyzetekben jobb lenne a SolarWinds NetFlow Traffic Analyzer használatával. Ez foglalkoztat Cisco NetFlow funkcionalitás a hálózat forgalmának mintázására. Arra is képes kommunikálni Juniper Networks berendezések a J-Flow csomagmintavételi szabvány, Huawei eszközök használatával NetStream, és felhasználhatja a gyártótól függetlenül is sFlow és IPFIX forgalom elemző rendszerek. A NetFlow forgalmi elemzőjét 30 napos ingyenes próbaverzióra is beszerezheti.

A Network Performance Monitor és a NetFlow Traffic Analyzer jó kombinációt kínál a hálózati elemzéshez, mivel áttekintési perspektívát és eszközöket nyújtanak az egyes eszközökön futó csomagforgalom megvizsgálásához. A SolarWinds ezt a két eszközt együttesen, hálózati sávszélesség-elemző csomagként kínálja, amelyet 30 napos ingyenes próbaidőszakra is beszerezhet..

A SolarWinds mély csomag ellenőrzése és elemzéseTöltse le a 30 napos ingyenes próbaverziót

Paessler Packet Capture eszköz

Paessler-PRTG

A Paessler PRTG egy olyan hálózati megfigyelő eszköz, amely számos különálló érzékelőből áll. Ezen eszközök egyike a csomag elfog érzékelő. Ennek az érzékelőnek nincs fizikai TAP-ja; ehelyett támaszkodik a kapcsolóktól származó patak által szolgáltatott adatokra. Ez az eszköz nagyszerű adatmegjelenítést kínál mind az élő adatokhoz, mind a fájltárolóból leolvasott csomagokhoz.

A PRTG nagyszerű tulajdonsága az, hogy ugyanazon eszközön belül különböző rétegeket kínál a láthatóságnak. Ez magában foglalja a hálózati adatokat mintázó érzékelőket is, csak a hálózat különböző helyéről származó csomagfejlécek rögzítésére. Te is csökkentheti az adatmennyiséget amelyet a monitornak a mintavétel meghatározásával kell feldolgoznia.

A PRTG a csomagszippantás mellett a következő forgalmi mintavételi rendszereket is tartalmazza:

  • NetFlow érzékelő
  • SFlow érzékelő
  • J-Flow érzékelő

Ezzel a rendszerrel a NetFlow, sFlow és J-Flow érzékelőket használhatja, hogy áttekintést kapjon az egész hálózatáról, majd menjen a csomagos szippantóhoz, hogy az egyik eszközre jellemző tipikus folyamatokra összpontosítson. Miután elkülönítette a túlterhelt kapcsolót, otthont adhat a meghatározott portoknak, ahol túl sok a forgalom, és megnézheti azokat a forgalmatípusokat, amelyek túlterhelnek. Ezzel az információval végrehajthat forgalomformáló intézkedéseket, vagy választhat, hogy további infrastruktúrát épít fel a nehéz forgalmi pontok átirányítására és a terhelés elosztására..

A csomagszippantó csak a hálózaton áthaladó forgalmi adatgramok fejléceit dolgozza fel. Ez a stratégia csökkenti az áramlási mutatók összesítéséhez szükséges feldolgozás mennyiségét és nagymértékben felgyorsítja az elemzést.

A kikötőt tükröző kérdések

A csomagok teljes elfogása és tárolása problémákat okozhat az adatok bizalmas kezelésében. Noha a hálózatán áthaladó forgalom nagy része titkosítva lesz, ha külsõ helyekre irányul, nem a teljes házon belüli forgalom lesz titkosítva. Hacsak a szervezet nem döntött úgy, hogy extra biztonságot nyújt az e-mailek számára, a hálózat körüli levélforgalmat alapértelmezés szerint nem titkosítja..

Alternatív forgalom-elemzési módszerként fontolóra veheti a NetFlow használatát. Ez egy olyan üzenetküldő rendszer, amely minden Cisco eszközön engedélyezve van, és csak a csomagok fejléceit továbbítja a központi monitorhoz. A NetFlow adatokat gyűjtő hálózati monitorokról a 10 legjobb ingyenes és prémium NetFlow elemző és gyűjtő cikkben olvashat..

Amint kéznél van a Cisco kapcsolóinak forgalomfigyelő képességeiről, akkor jobb helyzetben van annak eldöntése, hogy melyik csomagmegfogási módszert használja..

A megfelelő hálózati elemzési stratégia kiválasztása

Remélhetőleg ez az útmutató felhívta a figyelmet a port tükrözését körülvevő problémákra. Noha vannak olyan idők, amikor valóban nem tudod elkerülni a csomagszintre jutást a hálózati forgalom megfelelő felmérése érdekében, akkor ezt kell tennie szűkítse le kutatását más eszközökkel, mielőtt egy csomaggyűjtést feladatként rendezne.

A port tükrözésének vannak problémái - megbontja az adatok titkosságát, és nagyon nagy mennyiségű adatot képes előállítani. Fedezze fel a módszereket összesített forgalmi információk mint első vizsgálatvonalat, és juttassa el a port tükrözését, miután azonosította a problémákkal kapcsolatos kapcsolatokat. Miután beállította a port tükrözését a kapcsolókon, feltétlenül minden adatot elemző eszközbe irányítson, hogy megfelelően felhasználhassa az összes információt, amelyet ez a stratégia generál..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 1 = 3

Adblock
detector