Vrhunski vodič za Port Mirroring

Suvremeni mrežni softver za nadzor uključuje sofisticirane alate, poput grafičkih prikaza i analitičkih alata. Međutim, dogodit će se trenuci kada ćete se morati vratiti tehnikama za analizu matica i vijaka za hvatanje paketa dok oni putuju mrežom. Ogledalo u luci je tehnika hvatanja paketa.

Za snimanje paketa potreban je hardverski element, koji se naziva a TAP (testna pristupna točka). Srećom, već imate hardver koji kanalizira sav vaš mrežni promet: sklopke i čvorišta. Možete koristiti mogućnosti ovih uređaja da biste uklonili potrebu za kupnjom zasebnog ugrađenog senzora ili djelitelja prometa. Tehnika korištenja mrežne opreme za hvatanje prometa naziva se “zrcaljenje luka.”Ovaj će vam vodič dati sve informacije potrebne za implementaciju zrcaljenja priključaka na vašoj mreži.

>>> Skočite na popis preporučenih nadzornih alata u nastavku<<<

Prebacite obradu prometa

Vrlo mala mreža imala bi samo jedan prekidač ili čvorište. Međutim, nije potrebno veliko povećanje mreže da bi se stvorio zahtjev za još jedan prekidač. Kad imate nekoliko prekidača na mreži, oni prebacuju promet bez potrebe da kanale sve pakete kroz središnju točku.

Ova decentralizirana konfiguracija znači da ne možete odabrati samo jedan prekidač na mreži za prikupljanje podataka ako to želite ogledni promet iz svih vaših podataka. To je zbog toga što će ostali prekidači u vašoj mreži razmjenjivati ​​promet između njih koji ne moraju biti kanalizirani putem odabranog uređaja. Međutim, ovo bi se pitanje također pojavilo ako ste odlučili implementirati a TAP kao alat za hvatanje paketa.

Prilikom hvatanja mrežnog prometa morate odlučiti mogu li vaši zahtjevi ispuniti pakete koji prolaze jednu točku ili trebate li istovremeno vidjeti sve ponašanje mrežnog prometa na cijeloj mreži.

U stvarnosti je vjerojatnije da ćete morati pogledati promet po vezi. U takvom scenariju vjerojatno ćete pokušati vidjeti zašto je jedna veza na vašoj mreži preopterećena i koje vrste prometa možete preusmjeriti ili ugasiti kako biste riješili problem.

Iako možda želite pogledajte sav mrežni promet, hvatanje svega odjednom ubrzo postaje nadmoćni cilj. Ako biste uspjeli snimiti sve mrežne pakete, postali biste preplavljeni svim prikupljenim podacima.

Da biste ispravno procijenili performanse vaše mreže, ionako ćete kategorizirati sav promet po mrežnom uređaju, tako da je bolje koristiti zrcaljenje priključaka na osnovi uređaja prema uređaju. Ostali su alati prikladniji za postizanje vidljivosti cijele mreže. U tim ćete slučajevima bolje koristiti NetFlow za istovremeno uzorkovanje podataka s nekoliko mrežnih točaka. Za to vam treba sofisticirani alat za analizu mrežnog prometa zbrojiti i sažeti svi podaci o prometu.

O zrcaljenju luka

Port zrcaljenje nudi metodu umnožavanja mrežnog prometa i usmjeravanje kopije prema spremištu podataka. U razdjelniku koristite uređaj koji duplicira sav promet s tim da se jedna kopija nastavlja prema namijenjenim odredištima, a druga prikazuje na zaslonu ili ide u datoteku. Kod zrcaljenja porta koristite potpuno istu tehniku, ali mijenjate postavke svoje sklopke za stvaranje funkcije umnožavanja podataka, uklanjajući potrebu za instaliranjem zasebnog fizičkog uređaja.

U osnovi, upute za zrcaljenje porta govore sklopki da pošalje kopiju prometa na određeni priključak. Metodologija uključuje niz mogućnosti koje vam omogućuju odaberite određeni promet potječu s ili putuju na određene adrese ili odlučuju kopirati sav promet. Nakon što prekidač podijeli potreban promet, sve što morate učiniti je prikupiti pakete koji se šalju u port koji je označen kao mjesto za dostavu podataka..

Prekidači i koncentratori

veza, ili “hmelj,”Na mreži je veza između dva uređaja. Veza je možda posljednji dio koji povezuje an krajnja točka, ili može biti između dva mrežni uređaji. Uvijek će postojati mrežni uređaj na barem jednom kraju veze. Za promet unutar mreže taj će uređaj biti ili sklopka ili a središte.

Sastajalište prenosi sav promet koji zaprimi na jednom od svojih priključaka na sve ostale. Ne pridaje pozornost odredišnoj adresi na dolaznim paketima. Prekidač je selektivniji jer ga ima ispituje zaglavlja paketa i prosljeđuje ih onom portu koji je naveo za tu adresu. Kabel spojen na odredišni port možda neće dovesti do krajnje točke koja je identificirana tom adresom. Ako između tog prekidača i krajnje točke postoji drugi mrežni uređaj, kabel koji prima pokretne podatke dovesti će do tog intermedijarnog uređaja koji će ga, zauzvrat, proslijediti na.

Srećom, za hvatanje paketa, sklopke i čvorišta ne uspostavljaju privremene fizičke veze između izvora i odredišnih priključaka u vezi. umjesto, uređaj prikuplja dolazne podatke. To je onda stvara točnu kopiju tih podataka i primjenjuje ga na odredišni port. U slučaju čvora, ova akcija stvara dupliciranje. Na primjer, ako hub primi paket na jednom od svojih deset portova, on će poslati isti paket na svih svojih devet drugih portova.

Dakle, jedan paket postaje devet primjeraka. Prekidač čini potpuno istu stvar s paketima koji su označeni emitiranje. Promet koji putuje na jedno odredište kopira se samo na priključak koji je za tu adresu naveden prekidač. Dakle, i dalje postoji samo jedna instanca tih podataka koja putuje izvan sklopke.

Umnožavanje paketa koje izvode sklopke i usmjerivači potpuno je isto kao i posao koji obavlja splitski promet.

Port zrcaljenje sa središtem

Kao što vidite iz opisa načina rada sklopki i čvorišta, čvorište automatski duplicira sav promet koji primi. Dakle, ako imate samo čvorišta na vašoj mreži, vrlo je lako dobiti kopiju cijelog prometa koji kruži na njoj. Hub šalje sav promet na sve krajnje točke. Ako taj promet mora proći kroz druge mrežne uređaje da bi stigao do nekih krajnjih točaka na mreži, to neće blokirati promet da dođe do tih krajnjih točaka ako su i srednji uređaji čvorišta.

Budući da je vaše računalo spojeno na jedno od čvorišta u mreži, sav se promet mreže automatski šalje na vaše računalo bez mijenjanja postavki koncentratora. Međutim, vaše računalo neće čitati u tom prometu.

Ugrađeni softver na mrežnoj kartici vašeg računala ima tvrdo kodirani identifikator: ovo je Mac adresa, što znači “kontroler pristupa medijima.”Mrežna kartica reagirat će samo na pristigle poruke s kojima je navedena MAC adresa. Svi ostali će biti zanemareni. Zamislite mrežnu karticu kao vratara u privatnom klubu. Svatko tko dolazi mora dati lozinku kako bi ušao; onima bez lozinke blokiran je ulazak. MAC adresa je ta lozinka.

Ako želite vidjeti sav promet na mreži koja je u potpunosti opremljena sa čvorištima, sve što morate učiniti je reći mrežnoj kartici da odustane od zahtjeva za vlastitu MAC adresu. U mrežnoj terminologiji ova se postavka naziva “promiskuitetni način.”

Puristi će tvrditi da stavljanje vaše mrežne kartice u promiskuitetni način nije “zrcaljenje porta”, jer vaša mrežna kartica ne duplicira pakete. Kažu da kartica samo uskraćuje zahtjev za svoju MAC adresu kako bi prepoznala pristigle pakete i proslijedila ih aplikacijama na vašem računalu.

Zapravo, “zrcaljenje porta na koncentratoru” suvišan je pojam, jer koncentrator duplicira sve pakete. Pojam “zrcaljenje luka” općenito se primjenjuje samo na prekidače.

Zrcaljenje luka s prekidačem

Kad prekidač primi paket, u zaglavlju datagrama odnosi se na odredišnu adresu. Zatim izrađuje kopiju paketa i šalje tu novu verziju na broju porta koji je pridružio toj MAC adresi.

U standardnim operacijama, koje se naziva “komunicirati s usamljenim terminalima,”Samo jedna kopija napravljena je od dolazne poruke i šalje se samo na jedan ulaz. Prekidači mogu umnožavati promet, međutim. Na primjer, kada prekidač primi emitiranu poruku, pravi isti broj kopija koliko ima njegov broj aktivnih portova i šalje jedan primjerak na svaki od tih priključaka. Prekidači također imaju “multicast“Mogućnosti, koje zahtijevaju da stvore ograničeni broj primjeraka.

Budući da su sve sklopke programirane s sposobnošću da upravljaju emisijama i multicast porukama, zadatak dupliciranja paketa ne predstavlja njihov hardver problem. Konceptualno, prijelaz na dupliciranje paketa zahtijeva vrlo malo zadataka:

1. Prekidač je upućen da napravi kopiju cjelokupnog prometa.
2. Prekidač šalje sav promet na predviđeno odredište.
3. Prekidač šalje kopiju cjelokupnog prometa u nominirani priključak.
4. Sav promet prikupljate na nominiranom luku.

Dobijanje dupliciranih paketa koji putuju prekidačem vrlo je jednostavan posao i ne zahtijeva mnogo dodatnih napora na obradi na dijelu uređaja. Ako želite ispitati pakete koji putuju određenom sklopkom, samo trebate reći da duplicira sav taj promet i poslati ga u luku, a također i reći pridružite MAC adresu svog računala s navedenim brojem porta. Zatim morate mrežnu karticu vašeg računala prebaciti u promiskuitetni način da biste osigurali da će pokupiti sav promet, a ne samo one datagrame sa MAC adresom na njima.

Umnožavanje cjelokupnog mrežnog prometa

Gore rješenje je pojednostavljena verzija onoga što se zapravo događa u prekidaču kad izvodi zrcaljenje priključaka. U stvarnosti je zadatak malo složeniji. Na primjer, bilo bi nezgodno imati računalo povezivati ​​direktno kablom s prekidačem kako bi se pokupio sav njegov promet. U stara vremena to je bio zahtjev LAN analizatora, a veza specifična za mjesto još uvijek je ključna značajka mrežnih TAP-ova.

Zahvaljujući tehnologiji usmjeravanja, moderno zrcaljenje luka je sofisticiranije. Možete pregledati promet koji prolazi bilo kojom sklopkom bilo gdje u svijetu, sve dok je taj prekidač dostupan s vaše lokacije bilo putem mreže ili preko interneta. Ne morate fizički povezivati ​​vaše računalo s tim prekidačem. Kada putujete internetom, zrcaljenje luka postaje malo složenije, jer datagrami trebaju dodatno pakiranje na sloju internetske mreže. Za ovaj ćemo se vodič baviti samo zrcaljenjem portova unutar mreže.

Većina prekidača ima mogućnost isporuke zarobljenih paketa putem mreže tijekom putovanja putem drugih mrežnih uređaja. Svaki proizvođač sklopki proizvodi vlastiti firmver za svoje sklopke, a izbornik upravljačke konzole je različit za svakog. U svrhu ovog vodiča usredotočit ćemo se na metode koje koristi Cisco Systems kako bi se zrcaljenje porta učinilo dostupnim na njihovim mrežnim preklopnicima.

O Cisco SPAN prekidačima

Pozvan je uređaj za zrcaljenje prekidača porta Cisco SPAN. To se zalaže Prekidač analizatora priključaka. SPAN vam pruža sve mogućnosti za hvatanje paketa na bilo kojem Cisco preklopniku, bez obzira jeste li izravno povezani na tu sklopku ili ne. Međutim, na prekidaču morate imati rezervni priključak koji može postati mjesto sakupljanja dupliciranih paketa.

U terminologiji SPAN, naziv „izvorni port“Je priključak s kojeg se duplicira promet. The “odredišna luka“Je adresa priključka na koju se duplicirani paketi šalju na prikupljanje. Budite vrlo oprezni da zapamtite ove karakteristične pojmove jer ćete biti u iskušenju da se odnosite prema svojoj tradicionalnoj mrežnoj terminologiji da gledate pakete koji vode od izvornog do odredišnog ulaza..

SPAN sustav može nadzirati jedan ili više portova. Također je moguće prepoznati smjer prometa na toj luci, dajući vam samo priliv, samo odljev ili oba. Međutim, ako ispitujete nekoliko portova odjednom, svi moraju imati isti smjer praćenja prometa.

Ne možete odrediti od i do portova da ih snimite (tj. Dobiti samo promet koji dolazi do određenog porta koji odlazi iz određenog ulaza). Ako je ovo funkcionalnost koju tražite, odabrati priljevnik i tamo snimite sve primljene pakete. Nakon toga možete filtrirati sav promet osim onog ostavljanja na prenesenom portu koji vas zanima nakon što imate sve podatke u svom softver za analizu.

U sesiji možete nadzirati portove ili monitor vlans – ne možete pokriti obje vrste portova odjednom.

Cisco SPAN načini

Cisco SPAN omogućava vam snimanje paketa putem tri načina:

• Lokalni SPAN: Pratite promet na prekidaču na koji ste izravno spojeni.
• Daljinski SPAN (RSPAN): Nadgledajte promet na udaljenom priključku, ali primite zarobljene pakete poslate u luku na vašem lokalnom preklopniku za prikupljanje.
• Inkapsulirani daljinski SPAN (ERSPAN): Isti postupak kao i RSPAN, osim što prijenos zrcalnih paketa na vašu lokalnu sklopku vrši GRE enkapsulacijom.

RSPAN opcija nije dostupna na Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 i 2900XL preklopnicima.

Dostupnost Cisco SPAN

SPAN je dostupan na svim sljedećim modelima Cisco sklopki:

Catalyst Express serije 500/520

• Katalizator serije 1900
• Serija Catalyst 2900XL
• Katalizator serije 2940
• Katalizator 2948G-L2, 2948G-GE-TX, 2980G-A
• Katalizator serije 2950
• Katalizator serije 2955
• Katalizator serije 2960
• Katalizator serije 2970
• Serija Catalyst 3500 XL
• Serija Catalyst 3550
• Serija Catalyst 3560 / 3560E / 3650X
• Serija Catalyst 3750 / 3750E / 3750X
• Metro serija Catalyst 3750
• Katalizator serije 4500/4000
• Katalizator serije 4900
• Katalizator serije 5500/5000
• Katalizator serije 6500/6000

Nažalost, naredbeni skup nije isti na svim prekidačima. To je uglavnom zbog toga što tvrtka ima specijalizirani firmver za neke svoje Catalyst uređaje, koji se nazivaju CatOS. Ostale Cisco sklopke koriste operativni sustav zvan IOS, što nije isto što i iOS operativni sustav koji koriste Apple uređaji.

Nekoliko Ciscovih prekidača nema mogućnost matiranja portova, ali postoji besplatni uslužni program koji možete koristiti u tim okolnostima, o čemu ćete uskoro pročitati..

Postavljanje SPAN na IOS sklopke

Za modele prebacivanja s upravljačkim softverom IOS morate doći do operativnog sustava uređaja i izdati naredbu kako biste odredili ulaz SPAN i port koji želite nadzirati. Ovaj zadatak implementiraju dva reda naredbi. Treba navedite izvor, što znači da će se luka kopirati u prometu i druga daje broj porta na koji je njuškalo spojeno – ovo je odredišna linija.

nadzirati izvor sesije [sučelje | daljinski | vlan] [rx | tx | oba]
monitor sučelje odredišta sesije

Nakon što definirate zrcalo, trebate ga pritisnuti Ctrl-Z za završetak definicije konfiguracije.

Broj sesije upravo vam omogućuje da stvorite nekoliko različitih monitora koji se pokreću istovremeno. Ako u sljedećoj naredbi koristite isti broj sesije, otkazati ćete izvorni trag i zamijeniti ga novom specifikacijom. Rasponi priključaka definirani su crticom (“-“), a niz portova odvojen je zarezima (“,”).

Posljednji element u naredbenom retku za izvorni port (ulaz koji se nadzire) je specifikacija treba li sklopka replicirati poslane pakete iz bilo koje luke, ili oba.

Podesite SPAN na CatOS sklopkama

Novija raspona Catalyst isporučuju se s novijim operativnim sustavom nazvanim CatOS, umjesto starijeg IOS operativnog sustava. Naredbe koje se koriste za postavljanje zrcaljenja SPAN u tim prekidačima su malo drugačije. S ovim operativnim sustavom stvarate zrcaljenje sa samo jednom naredbom umjesto dvije.

raspon raspona [rx | tx | oba]

[inpkts]

[učenje]

[multicast]

[filtar ]

[stvoriti]

Portovi izvora definirani su prvim elementom ove naredbe, a to je “src_mod / src_ports” dio. Drugi identifikator priključka u naredbi automatski se čita kao odredišni port – odnosno, port na koji je priključen njuškalo za paket. The “rx | tx | oba”Element kaže sklopku da replicira prenesene pakete iz bilo koje luke, ili oba.

Postoji i naredba raspona za isključivanje zrcaljenja:

postaviti raspon onesposobiti [dest_mod / dest_port | sve]

Podesite SPAN na sklopke Catalyst Express 500 i Catalyst Express 520

Ako imate sklopku Catalyst Express 500 ili Catalyst Express 520, ne unosite postavke SPAN u operativni sustav. Kako biste komunicirali s prekidačem i promijenili njegove postavke, morate instalirati Cisco Network Assistant (CNA). Ovaj softver za upravljanje mrežama je besplatan i radi u Windows okruženju. Slijedite ove korake da biste SPAN bili aktivni na prekidaču.

1. Prijavite se na prekidač kroz CNA sučelje.
2. Odaberite Smartports opcija u CNA izbornik. Ovo će prikazati grafički prikaz portnog polja sklopke.
3. Kliknite na port na koji želite spojiti njuškalo za paket i odaberite Izmjena opcija. Prikazaće se skočni prozor.
4. Odaberi Dijagnostika u Uloga s popisa i odaberite port koji će nadzirati njegov promet s Izvor padajući popis. Ako želite posebno nadzirati VLAN, odaberite ga iz Uključite VLAN popis. Ako nemate cilj samo gledati promet za VLAN, ostavite ovu vrijednost na zadanom. Kliknite na u redu za spremanje postavki.
5. Kliknite na u redu i onda primijeniti u Smartports zaslon.

Jedan problem s CNA metodom je taj što softver radi samo na verzijama sustava Windows Windows 7.

Uhvaćena obrada paketa

Zrcaljenje ulaza postavljeno na vašem prekidaču neće pohranjivati ​​niti analizirati zarobljene pakete. Možeš koristiti bilo koji softver za analizu mreže za obradu paketa koji su poslani na vaš uređaj.

Ključno pitanje koje ćete morati prepoznati prilikom hvatanja paketa je da ćete se morati baviti s vrlo velikom količinom podataka. Sirovi tekstualni popis prolaznog mrežnog prometa gotovo je nemoguće češljati bez vođenog preglednika podataka. Ovo je najniža kategorija alata za pristup podacima koju biste trebali uzeti u obzir. Potpuni uslužni program za analizu prometa bio bi još bolji.

Možete vidjeti opsežni popis preporučeni alati za analizu mrežnog prometa u članku, 9 najboljih analizatora paketa / paketnih nosača za [year]. Radi praktičnosti, gornja dva alata u ovom pregledu sažeta su u nastavku.

Alat za dubinsku inspekciju i analizu paketa SolarWinds (BESPLATNO ISPITIVANJE)

SolarWinds proizvodi veliki katalog mrežnih alata za nadzor i upravljanje. Za analizu izlaznog zrcaljenja ulaza, trebali biste razmotriti tvrtke Dubinski paket i analiza alat koji će vam biti najbolja opcija. Ovo je dio mrežnog monitora performansi tvrtke, koji je njegov središnji proizvod.

Ovaj alat može interpretirati podatke dobivene iz širok raspon alata za prikupljanje paketa i omogućit će vam da vidite gdje dolazi do naleta prometa. Morate pogledati aplikacije koje generiraju većinu potražnje na vašoj mreži kako biste stvorili strategije za poboljšanje performansi. Ovaj alat za analizu podržava te istrage.

Mrežni monitor performansi vrhunski je alat i nije besplatan. No možete dobiti 30-dnevno besplatno probno razdoblje. Imajte na umu da snimanje paketa uistinu nije izvediva opcija za praćenje cjelokupnog prometa na vašoj mreži. U tim situacijama bolje bi vam bilo s analizom prometa SolarWinds NetFlow. Ovo zapošljava Cisco NetFlow funkcionalnost za uzorkovanje prometa s mreže. Također je u mogućnosti komunicirati sa Juniper Networks opreme kroz J-Flow standard uzorkovanja paketa, sa Huawei uređajima, pomoću NetStream, a također se može koristiti i neovisno o proizvođaču sFlow i IPFIX sustavi za analizu prometa Također možete dobiti NetFlow analizator prometa na 30-dnevnoj besplatnoj probnoj verziji.

Mrežni nadzor performansi i analizator prometa NetFlow čine dobru kombinaciju za mrežnu analizu jer vam daju pregled perspektive i alate za ispitivanje paketnog prometa koji prolaze kroz pojedinačne uređaje. SolarWinds nudi ova dva alata zajedno kao Network Bandwidth Analyzer, koji također možete dobiti na 30-dnevnoj besplatnoj probnoj verziji.

Pregled i analiza dubinskih paketa SolarWindsPreuzmite 30-dnevno besplatno probno razdoblje

Aess za hvatanje paketa Paessler

Paessler PRTG je mrežni alat za praćenje koji je sastavljen od mnogih pojedinačnih senzora. Jedan od tih alata je a senzor za snimanje paketa. Ovaj senzor ne dolazi s fizičkim TAP-om; umjesto toga, oslanja se na podatke dobivene u toku iz vaših sklopki. Ovaj alat nudi sjajne vizualizacije podataka i za žive podatke i za pakete koji se čitaju iz datoteke za pohranu.

Sjajna stvar PRTG-a je da vam on može ponuditi različite slojeve vidljivosti unutar istog alata. Uključuje i senzore koji uzorkuju mrežne podatke, hvatajući samo zaglavlja paketa s različitih mjesta na mreži. Također možete smanjiti količinu podataka koje monitor mora obraditi određivanjem uzorkovanja.

Osim senzora njušenja paketa, PRTG uključuje sljedeće sustave za uzorkovanje prometa:

• NetFlow senzor
• Senzor za sljev
• J-osjetnik protoka

Pomoću ovog sustava mogli biste koristiti senzore NetFlow, sFlow i J-Flow da biste dobili pregled cijele mreže, a zatim idite na njuškalicu paketa kako biste se usredotočili na tipične tokove na jednom uređaju. Nakon što izolirate preopterećenu sklopku, možete se vratiti u određene luke koji imaju previše prometa i pogledati vrste prometa koji ih preplavljuju. S ovim informacijama možete implementirati mjere oblikovanja prometa ili se odlučiti za dodavanje više infrastrukture za preusmjeravanje teških prometnih točaka i širenje tereta.

Senzor njuška paketa obrađuje samo zaglavlje datagrafa prometa koji putuju mrežom. Ova strategija smanjuje količinu obrade koja je potrebna za objedinjavanje mjernih podataka i uvelike ubrzava analizu.

Problemi s zrcaljenjem luka

Potpuno hvatanje i pohrana paketa moglo bi vas dovesti u probleme s povjerljivošću podataka. Iako će većina prometa koji prolazi kroz vašu mrežu biti šifrirana, ako je namijenjena za vanjske stranice, neće biti kriptiran sav interni promet. Ako se vaša organizacija nije odlučila implementirati dodatnu sigurnost za e-poštu, promet e-pošte oko vaše mreže neće se zadano šifrirati.

Kao alternativnu tehniku ​​analize prometa možete razmotriti korištenje NetFlowa. Ovo je sustav za razmjenu poruka koji je omogućen na svim Cisco uređajima i proslijedit će samo zaglavlje paketa na središnji monitor. O mrežnim monitorima koji prikupljaju podatke NetFlowa možete pročitati u članku 10 Najbolji besplatni i premium NetFlow analizatori i sakupljači.

Nakon što imate informacije na dohvat ruke o svim mogućnostima nadzora prometa vaših Cisco sklopki, bit ćete u boljoj poziciji da odlučite koji način hvatanja paketa koristiti.

Odabir prave strategije analize mreže

Nadamo se da vas je ovaj vodič upoznao sa problemima koji zrcaljeju port. Iako postoje slučajevi kada zaista ne možete izbjeći da se spustite na razinu paketa kako biste pravilno ocijenili mrežni promet, trebali biste suzite svoje istraživanje s drugim alatima prije nego što dogovorite snimanje paketa kao zadatak.

Zrcaljenje u luci ima svojih problema – narušava povjerljivost podataka i može generirati vrlo velike količine podataka. Istražite metode za zbirne informacije o prometu kao vaš prvi red istrage i doći do zrcaljenja luka nakon što utvrdite veze s problemima. Jednom kada postavite zrcaljenje priključaka na svoje sklopke, budite sigurni da kanalirate sve podatke u alat za analizu kako biste mogli pravilno koristiti sve informacije koje će stvoriti ova strategija.