Главное руководство по зеркалированию портов

Полное руководство по зеркалированию портов (1)

Современное программное обеспечение для мониторинга сети включает в себя сложные инструменты, такие как графические представления и аналитические инструменты. Тем не менее, будут времена, когда вам придется возвращаться к методам анализа основных моментов захвата пакетов по мере их перемещения по сети. Зеркалирование портов - это метод захвата пакетов.

Для захвата пакета требуется аппаратный элемент, который называется TAP (тестовая точка доступа). К счастью, у вас уже есть оборудование, которое направляет весь ваш сетевой трафик: коммутаторы и концентраторы. Вы можете использовать возможности этих устройств, чтобы избежать необходимости покупать отдельный встроенный датчик или разветвитель трафика. Техника использования вашего сетевого оборудования для захвата трафика называется «зеркалирование портов.Это руководство предоставит вам всю информацию, необходимую для реализации зеркалирования портов в вашей сети..

>>> Перейти к списку рекомендуемых инструментов мониторинга ниже<<<

Переключить обработку трафика

У очень маленькой сети будет только один коммутатор или концентратор. Однако для того, чтобы создать требование для другого коммутатора, не требуется большого роста сети. Когда у вас есть несколько коммутаторов в сети, они передают трафик без необходимости направлять все пакеты через центральную точку.

Эта децентрализованная конфигурация означает, что вы не можете выбрать только один коммутатор в сети для сбора данных, если вы хотите образец трафика из всех ваших данных. Это происходит потому, что другие коммутаторы в вашей сети будут обмениваться трафиком между ними, который не нужно направлять через выбранное устройство. Однако эта проблема также возникнет, если вы решите НАЖМИТЕ как инструмент захвата пакетов.

При захвате сетевого трафика вы должны решить, могут ли ваши требования быть выполнены пакетами, проходящими одну точку, или вам нужно видеть все поведение сетевого трафика во всей сети одновременно.

В действительности, более вероятно, что вам нужно будет смотреть на трафик по ссылке. В таком случае вы, вероятно, будете пытаться понять, почему одна ссылка в вашей сети перегружена и какие типы трафика вы могли бы перенаправить или регулировать для решения проблемы..

Хотя вы можете захотеть увидеть весь сетевой трафик, захват всего этого сразу становится грандиозной целью. Если бы вы могли захватить все сетевые пакеты, вы были бы перегружены всеми собранными данными.

Чтобы правильно оценить производительность вашей сети, вы все равно будете классифицировать весь трафик по сетевым устройствам, поэтому лучше использовать зеркалирование портов для каждого устройства отдельно. Другие инструменты лучше подходят для того, чтобы дать вам видимость всей сети. В этих случаях вам лучше использовать NetFlow для выборки данных из нескольких сетевых точек одновременно. Вам понадобится сложный инструмент анализа сетевого трафика, чтобы обобщать и суммировать все данные о трафике.

О зеркалировании портов

Зеркалирование портов предлагает метод дублирования сетевого трафика и направления копии в хранилище данных. В сплиттере вы используете устройство, которое дублирует весь трафик с одной копией, продолжающей свое предназначение, и другой, показывающий на экране или идущий в файл. С зеркалированием портов вы используете точно такой же метод, но вы изменяете настройки вашего коммутатора, чтобы создать функцию дублирования данных, что устраняет необходимость в установке отдельного физического устройства..

По сути, инструкция зеркального отображения портов указывает коммутатору отправлять копию трафика на определенный порт. Методология включает в себя ряд вариантов, позволяющих вам выбрать конкретный трафик исходящий из или путешествующий по заданным адресам, или решающий скопировать весь трафик. После того, как коммутатор разделил необходимый трафик, все, что вам нужно сделать, это собрать пакеты, которые отправляются на порт, обозначенный как точка доставки данных..

Коммутаторы и концентраторы

ссылка на сайт, или "хмель,”В сети есть соединение между двумя устройствами. Ссылка может быть последним отрезком, который соединяет конечная точка, или это может быть между двумя сетевые устройства. По крайней мере, на одном конце канала всегда будет сетевое устройство. Для трафика внутри сети это устройство будет переключатель или хаб.

Концентратор передает весь трафик, который он получает по одному из своих соединений, всем остальным. Он не обращает внимания на адрес получателя во входящих пакетах. Переключатель более избирателен, потому что исследует заголовки пакетов и перенаправляет каждого в порт, который он перечислил для этого адреса. Кабель, подключенный к этому порту назначения, может не вести к конечной точке, идентифицируемой этим адресом. Если между этим коммутатором и конечной точкой есть другое сетевое устройство, кабель, который получает движущиеся данные, приведет к тому промежуточному устройству, которое, в свою очередь, направит его на.

К счастью, для захвата пакетов коммутаторы и концентраторы не создают временные физические связи между портами источника и назначения в соединении. Вместо, устройство собирает входящие данные. Тогда создает точную копию этих данных и применяет его к порту назначения. В случае хабов это действие создает дублирование. Например, если концентратор получает пакет на одном из своих десяти портов, он отправит этот же пакет на все остальные девять своих портов..

Итак, один пакет становится девятью копиями. Коммутатор делает то же самое с пакетами, помеченными для широковещательный. Трафик, который направляется в один пункт назначения, копируется только в порт, указанный коммутатором для этого адреса. Таким образом, остается только один экземпляр этих данных, когда они выходят из коммутатора..

Дублирование пакетов, выполняемое коммутаторами и маршрутизаторами, точно такое же, как и работа, выполняемая разделителем трафика..

Портовое зеркалирование с концентратором

Как видно из описания того, как работают коммутаторы и концентраторы, концентратор автоматически дублирует весь трафик, который он получает. Таким образом, если в вашей сети есть только концентраторы, очень легко получить копию всего циркулирующего в ней трафика. Концентратор отправляет весь трафик на все конечные точки. Если этот трафик должен проходить через другие сетевые устройства для достижения некоторых конечных точек в сети, это не будет блокировать трафик, поступающий на эти конечные точки, если промежуточные устройства также являются концентраторами.

Поскольку ваш собственный компьютер подключен к одному из сетевых концентраторов, весь сетевой трафик будет автоматически отправляться на ваш компьютер без необходимости изменения настроек концентратора. Ваш компьютер не будет читать весь этот трафик, однако.

Микропрограмма на сетевой карте вашего компьютера имеет жестко запрограммированный идентификатор: это MAC-адрес, что означает «контроллер доступа к среде.«Сетевая карта будет реагировать только на поступающие сообщения с указанным MAC-адресом. Все остальные будут игнорироваться. Думайте о сетевой карте как о швейцаре в частном клубе. Любой, кто прибывает, должен ввести пароль, чтобы войти; те, у кого нет пароля, блокируются для входа. MAC-адрес это тот пароль.

Если вы хотите видеть весь трафик в сети, полностью оборудованной концентраторами, все, что вам нужно сделать, это попросить сетевую карту отменить требование для своего собственного MAC-адреса. В сетевой терминологии этот параметр называется «беспорядочный режим

Пуристы будут утверждать, что перевод вашей сетевой карты в беспорядочный режим не является «зеркалированием портов», потому что ваша сетевая карта не дублирует пакеты. Они говорят, что карта просто отбрасывает требование к своему MAC-адресу, чтобы распознать прибывающие пакеты и направить их приложениям на вашем компьютере.

На самом деле «зеркалирование портов на концентраторе» является избыточной концепцией, потому что концентратор дублирует все пакеты по умолчанию. Обычно термин «зеркалирование портов» применяется только к коммутаторам.

Зеркалирование портов с помощью переключателя

Когда коммутатор получает пакет, он ссылается на адрес назначения в заголовке дейтаграммы. Затем он создает копию пакета и отправляет эту новую версию на номер порта, который он связал с этим MAC-адресом..

В стандартных операциях, которые называются «одноадресный,”Только одна копия сделана из входящего сообщения, и это отправлено только на один порт. Коммутаторы способны дублировать трафик, тем не мение. Например, когда коммутатор получает широковещательное сообщение, он делает то же количество копий, что и количество активных портов, и отправляет по одной копии на каждый из этих портов. Переключатели также имеют «многоадресного«Возможности, которые требуют от них создания ограниченного количества копий.

Поскольку все коммутаторы запрограммированы с возможностью обрабатывать широковещательные и многоадресные сообщения, задача дублирования пакетов не представляет проблемы для их оборудования. Концептуально, чтобы ваш коммутатор выполнял дублирование пакетов, требуется очень мало задач:

  1. Коммутатор проинструктирован сделать копию всего трафика.
  2. Коммутатор отправляет весь трафик по назначению.
  3. Коммутатор отправляет копию всего трафика на назначенный порт.
  4. Вы собираете весь трафик в назначенном порту.

Копирование всех пакетов, проходящих через коммутатор, является очень простой задачей и не требует слишком больших дополнительных усилий со стороны устройства. Если вы хотите проверить пакеты, проходящие через определенный коммутатор, вам просто нужно указать ему дублировать весь этот трафик и отправить его на порт, а также сообщить связать MAC-адрес вашего компьютера с указанным номером порта. Затем вам нужно перевести сетевую карту вашего компьютера в беспорядочный режим, чтобы убедиться, что он будет принимать весь трафик, а не только те дейтаграммы с их MAC-адресом на них..

Дублирование всего сетевого трафика

Приведенное выше решение представляет собой упрощенную версию того, что на самом деле происходит в коммутаторе, когда он выполняет зеркалирование портов. На самом деле, задача немного сложнее. Например, было бы неудобно подключать компьютер напрямую с помощью кабеля к коммутатору, чтобы получить весь его трафик. В старые времена это требовалось для анализаторов локальных сетей, а подключение к конкретному местоположению все еще являлось ключевой функцией сетевых TAP..

Благодаря технологии маршрутизации современное зеркалирование портов становится более сложным. Вы можете проверить трафик, проходящий через любой коммутатор в любой точке мира., до тех пор, пока этот коммутатор доступен из вашего местоположения по сети или через Интернет. Вам не нужно физически подключать компьютер к этому коммутатору. При путешествии через Интернет зеркалирование портов становится немного сложнее, потому что дейтаграммы нуждаются в дополнительной упаковке на уровне сети Интернет. В этом руководстве мы будем иметь дело только с зеркалированием портов из сети..

Большинство коммутаторов имеют возможность доставлять захваченные пакеты по сети, проходя через другие сетевые устройства. Каждый производитель коммутатора выпускает свою прошивку для своих коммутаторов, и меню консоли управления для каждого отличается. Для целей данного руководства мы сосредоточимся на методах, используемых Cisco Systems сделать зеркалирование портов доступным на своих сетевых коммутаторах.

О коммутаторах Cisco SPAN

Функция зеркалирования портов коммутатора Cisco называется SPAN. Это означает Коммутируемый анализатор портов. SPAN предоставляет вам все возможности для захвата пакетов на любом коммутаторе Cisco, независимо от того, подключены вы к нему напрямую или нет. Однако на коммутаторе должен быть запасной порт, который может стать точкой сбора дублированных пакетов..

В терминологии SPAN «исходный порт”- это порт, с которого дублируется трафик. «порт назначения”Является адресом порта, на который дублированные пакеты отправляются для сбора. Будьте очень осторожны, чтобы запомнить эти отличительные термины, потому что у вас возникнет соблазн сослаться на вашу традиционную сетевую терминологию, согласно которой вы просматриваете пакеты, которые проходят от порта источника к порту назначения..

Система SPAN может контролировать один или несколько портов. Также возможно определить направление трафика в этом порту, давая вам только приток, только отток, или оба. Однако, если вы проверяете количество портов одновременно, все они должны иметь одно и то же направление трафика..

Вы не можете указать порты from и to для захвата (то есть получать только трафик, поступающий на определенный порт, который отправляется с определенного порта). Если это функциональность, которую вы ищете, выбрать порт притока и захватить все полученные пакеты там. Затем вы можете отфильтровать весь трафик, за исключением того, что он остается на интересующем переданном порту, как только у вас все данные программное обеспечение для анализа.

В сеансе вы можете контролировать порты или контролировать Сети VLAN - вы не можете охватить оба типа портов одновременно.

Режимы Cisco SPAN

Cisco SPAN позволяет захватывать пакеты в трех режимах:

  • Локальный SPAN: Мониторинг трафика на коммутаторе, к которому вы напрямую подключены.
  • Удаленный SPAN (RSPAN): Отслеживайте трафик на удаленном порту, но получайте захваченные пакеты, отправленные на порт локального коммутатора для сбора.
  • Инкапсулированный удаленный SPAN (ERSPAN): Тот же процесс, что и в RSPAN, за исключением того, что передача зеркальных пакетов на локальный коммутатор осуществляется с помощью инкапсуляции GRE.

Опция RSPAN недоступна на коммутаторах Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL.

Доступность Cisco SPAN

SPAN доступен на всех следующих моделях коммутаторов Cisco:

Catalyst Express 500/520 Series

  • Катализатор 1900 серии
  • Катализатор серии 2900XL
  • Катализатор 2940 серии
  • Катализатор 2948G-L2, 2948G-GE-TX, 2980G-A
  • Катализатор 2950 серии
  • Катализатор 2955 серии
  • Катализатор 2960 серии
  • Катализатор 2970 серии
  • Catalyst 3500 XL Series
  • Катализатор 3550 серии
  • Катализатор 3560 / 3560E / 3650X Series
  • Катализатор серии 3750 / 3750E / 3750X
  • Catalyst 3750 Metro Series
  • Катализатор 4500/4000 серии
  • Катализатор серии 4900
  • Катализатор серии 5500/5000
  • Катализатор серии 6500/6000

К сожалению, набор команд не одинаков на всех коммутаторах. Это происходит главным образом потому, что компания имеет специализированную прошивку для некоторых своих устройств Catalyst, которая называется CatOS. Другие коммутаторы Cisco используют операционную систему под названием IOS, это не то же самое, что операционная система iOS, используемая устройствами Apple.

Некоторые коммутаторы Cisco не имеют собственных возможностей зеркалирования портов, но есть бесплатная утилита, которую вы можете использовать в этих обстоятельствах, о которой вы вскоре прочитаете..

Настройте SPAN на IOS-коммутаторах

Для моделей коммутатора с микропрограммой IOS вам необходимо получить доступ к операционной системе устройства и выполнить команду, чтобы указать порт SPAN и порт для мониторинга. Эта задача реализуется двумя строками команд. Нужно указать источник, это означает, что порт, который будет реплицировать свой трафик, а другой дает номер порта, к которому подключен анализатор - это линия назначения.

монитор сеанса источника [интерфейс | удаленный | vlan] [rx | TX | и то и другое] контролировать целевой интерфейс сеанса

Как только вы закончили определение зеркала, вам нужно нажать CTRL-Z завершить определение конфигурации.

Номер сеанса позволяет вам создать несколько разных мониторов, работающих одновременно. Если вы используете тот же номер сеанса в последующей команде, вы отмените исходную трассировку и замените ее новой спецификацией.. Диапазоны портов определяются тире («-»), а последовательность портов разделяется запятыми («,»).

Последний элемент в командной строке для исходного порта (контролируемый порт) - это спецификация того, должен ли коммутатор реплицировать передаваемые пакеты. из любого порта, или и то и другое.

Настройте SPAN на коммутаторах CatOS

Более новые линейки Catalyst поставляются с более новой операционной системой, называемой CatOS, вместо старой операционной системы IOS. Команды, используемые для настройки зеркалирования SPAN в этих коммутаторах, немного отличаются. С этой операционной системой вы создаете зеркалирование всего одной командой вместо двух.

установить диапазон [rx | tx | оба] [inpkts] [учусь ] [многоадресная рассылка] [фильтр] [Создайте]

Исходные порты определяются первым элементом в этой команде, который является «src_mod / src_ports" часть. Второй идентификатор порта в команде автоматически считывается как порт назначения, то есть порт, к которому подключен анализатор пакетов. «RX | TX | и то и другоеЭлемент указывает коммутатору реплицировать передаваемые пакеты из любого порта, или и то и другое.

Существует также команда set span для отключения зеркалирования:

установка диапазона отключена [dest_mod / dest_port | все]

Настройте SPAN на коммутаторах Catalyst Express 500 и Catalyst Express 520

Если у вас есть коммутатор Catalyst Express 500 или Catalyst Express 520, вы не вводите настройки SPAN в операционной системе. Для связи с коммутатором и изменения его настроек необходимо установить Cisco Network Assistant (CNA). Это программное обеспечение для управления сетью является бесплатным и работает в среде Windows. Выполните следующие действия, чтобы активировать SPAN на коммутаторе..

  1. Войдите в коммутатор через интерфейс CNA.
  2. Выберите Smartports вариант в CNA меню. Это отобразит графику, представляющую массив портов коммутатора.
  3. Нажмите на порт, к которому вы хотите подключить анализатор пакетов, и выберите Изменить вариант. Это вызовет всплывающее окно.
  4. Выбрать диагностика в Роль список и выберите порт, который будет отслеживать трафик из Источник раскрывающийся список. Если вы хотите специально контролировать VLAN, выберите его из Входная VLAN список. Если вы не хотите просто отслеживать трафик для VLAN, оставьте это значение по умолчанию. Нажмите на Ok сохранить настройки.
  5. Нажмите на Ok а потом Подать заявление в Smartports экран.

Одна проблема с методом CNA состоит в том, что программное обеспечение работает только на версиях Windows до Windows 7.

Захваченная обработка пакетов

Зеркалирование портов, установленное на вашем коммутаторе, не будет хранить или анализировать захваченные пакеты. Ты можешь использовать любое программное обеспечение для анализа сети обрабатывать пакеты, отправленные на ваше устройство.

Ключевая проблема, которую вы должны будете распознать при захвате пакетов, заключается в том, что вам придется иметь дело с очень большим объемом данных. Необработанный текстовый дамп проходящего сетевого трафика почти невозможно прочесать без управляемого средства просмотра данных. Это самая низкая категория средств доступа к данным, которую вы должны рассмотреть. Утилита полного анализа трафика была бы еще лучше.

Вы можете увидеть полный список рекомендуемые инструменты анализа сетевого трафика в статье 9 лучших анализаторов пакетов / анализаторов пакетов для 2019 года. Для удобства два основных инструмента в этом обзоре приведены ниже..

Инструмент глубокого анализа и анализа SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Глубокая проверка пакетов

SolarWinds выпускает большой каталог инструментов для мониторинга и управления сетью. Для анализа вывода зеркалирования портов вы должны учитывать Глубокий пакет и анализ инструмент, чтобы быть вашим лучшим вариантом. Это часть Network Performance Monitor компании, который является ее центральным продуктом..

Этот инструмент может интерпретировать данные, полученные из широкий спектр инструментов для сбора пакетов и позволит вам увидеть, где происходят скачки трафика. Вам нужно посмотреть на приложения, которые генерируют большую часть спроса в вашей сети, чтобы создать стратегии для повышения производительности. Этот инструмент анализа поддерживает эти исследования.

Монитор производительности сети - это первоклассный инструмент, и он не бесплатный. Тем не менее, вы можете получить 30-дневную бесплатную пробную версию. Помните, что захват пакетов не является реально выполнимым вариантом для мониторинга всего трафика всей вашей сети. В таких ситуациях вам лучше использовать анализатор трафика SolarWinds NetFlow. Это использует Cisco NetFlow функциональность для выборки трафика из сети. Он также может общаться с Juniper Networks оборудование через J-Flow стандарт выборки пакетов, с Huawei устройства, использующие NetStream, и он также может использовать независимый от производителя Sflow и IPFIX системы анализа трафика. Вы также можете получить анализатор трафика NetFlow на 30-дневную бесплатную пробную версию.

Монитор производительности сети и анализатор трафика NetFlow представляют собой хорошую комбинацию для анализа сети, поскольку они дают вам общий обзор и инструменты для анализа трафика пакетов, проходящего через отдельные устройства. SolarWinds предлагает эти два инструмента вместе в качестве пакета анализатора пропускной способности сети, который вы также можете получить на 30-дневную бесплатную пробную версию.

SolarWinds Deep Packet Inspection and AnalysisСкачать 30-дневная БЕСПЛАТНАЯ пробная версия

Инструмент захвата пакетов Paessler

Paessler-PRTG

Paessler PRTG - это инструмент для мониторинга сети, состоящий из множества отдельных датчиков. Одним из этих инструментов является датчик захвата пакета. Этот датчик не поставляется с физическим TAP; вместо этого он опирается на данные, передаваемые потоком от ваших коммутаторов. Этот инструмент предлагает отличную визуализацию данных как для живых данных, так и для пакетов, считываемых из файлового хранилища..

Самое замечательное в PRTG заключается в том, что он может предложить вам разные уровни видимости из одного и того же инструмента. Он также включает датчики, которые отбирают сетевые данные, собирая только заголовки пакетов из разных мест в сети. Вы также можете уменьшить объем данных это должно быть обработано монитором, указав выборку.

Помимо датчика перехвата пакетов, PRTG включает в себя следующие системы выборки трафика:

  • Датчик NetFlow
  • Датчик потока
  • Датчик J-Flow

С помощью этой системы вы можете использовать датчики NetFlow, sFlow и J-Flow, чтобы получить обзор всей вашей сети, а затем перейти к анализатору пакетов, чтобы сосредоточиться на типичных потоках на одном устройстве. После того, как вы изолировали перегруженный коммутатор, вы можете подключиться к определенным портам, которые имеют слишком большой трафик, и посмотреть на типы трафика, которые его подавляют. С помощью этой информации вы можете реализовать меры по формированию трафика или добавить дополнительную инфраструктуру для перенаправления точек интенсивного трафика и распределения нагрузки..

Датчик перехвата пакетов обрабатывает только заголовки дейтаграмм трафика, проходящих по сети. Эта стратегия уменьшает объем обработки, необходимый для агрегирования метрик потока, и значительно ускоряет анализ..

Проблемы с зеркалированием портов

Полный захват и хранение пакетов может привести к проблемам с конфиденциальностью данных. Хотя большая часть трафика, проходящего по вашей сети, будет зашифрована, если он предназначен для внешних сайтов, не весь внутренний трафик будет зашифрован. Если ваша организация не решила внедрить дополнительную защиту электронной почты, почтовый трафик в вашей сети не будет зашифрован по умолчанию..

В качестве альтернативного метода анализа трафика вы можете рассмотреть возможность использования NetFlow. Это система обмена сообщениями, которая включена на всех устройствах Cisco и будет перенаправлять только заголовки пакетов на центральный монитор. Вы можете прочитать о сетевых мониторах, собирающих данные NetFlow, в статье 10 «Лучшие бесплатные и премиальные анализаторы и сборщики NetFlow»..

Как только вы получите информацию обо всех возможностях мониторинга трафика коммутаторов Cisco, вы сможете лучше определить, какой метод захвата пакетов использовать..

Выбор правильной стратегии сетевого анализа

Надеемся, что это руководство ознакомило вас с проблемами, связанными с зеркалированием портов. Хотя бывают случаи, когда вы действительно не можете избежать перехода на уровень пакетов для правильной оценки сетевого трафика, вам следует сузьте свое исследование с другими инструментами, прежде чем организовать захват пакета как задачу.

Зеркальное отображение портов имеет свои проблемы - оно нарушает конфиденциальность данных и может генерировать очень большие объемы данных. Изучите методы совокупная информация о трафике в качестве первой линии исследования и перейдите к зеркалированию портов, как только вы выявите связи с проблемами. После настройки зеркального отображения портов на коммутаторах обязательно направьте все данные в инструмент анализа, чтобы вы могли надлежащим образом использовать всю информацию, которую сгенерирует эта стратегия..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

83 − = 80

Adblock
detector