Врхунски водич за Порт Мирроринг

Врхунски водич за Порт Мирроринг (1)

Савремени софтвер за надгледање мреже укључује софистициране алате, као што су графички прикази и аналитички алати. Међутим, доћи ће тренуци када ћете морати да се вратите на технике завртње и завртања хватања пакета док они путују по мрежи. Огледало порта је техника хватања пакета.

За снимање пакета потребан је хардверски елемент, који се назива а ТАП (пробна приступна тачка). Срећом, већ имате хардвер који каналише сав ваш мрежни саобраћај: склопке и чворишта. Можете да искористите могућности ових уређаја да елиминишете потребу за куповином засебног уграђеног сензора или разводника саобраћаја. Техника коришћења мрежне опреме за хватање саобраћаја назива се "порт зрцаљење.“Овај водич ће вам дати све информације које су вам потребне за имплементацију зрцаљења портова на вашој мрежи.

>>> Скочите на листу препоручених алата за надгледање у наставку<<<

Пребаците обраду саобраћаја

Врло мала мрежа имала би само један прекидач или чвориште. Међутим, није потребно велико повећање мреже да би се створио захтев за још један прекидач. Када имате неколико прекидача у вашој мрежи, они крећу промет без потребе да каналишу све пакете кроз централну тачку.

Ова децентрализована конфигурација значи да не можете да изаберете само један прекидач на мрежи за прикупљање података ако то желите огледни саобраћај из свих ваших података. То је зато што ће други прекидачи у вашој мрежи размењивати саобраћај између њих који не морају да се каналишу путем вашег одабраног уређаја. Међутим, ово би се питање такође појавило уколико одлучите имплементирати а СЛАВИНА као алат за хватање пакета.

Приликом хватања мрежног промета морате да одлучите да ли ваше захтеве могу да испуне пакети који пролазе једну тачку или да ли требате истовремено да видите целокупно понашање мрежног саобраћаја на целој мрежи..

У стварности је вероватније да ћете морати да погледате саобраћај по вези. У таквом сценарију вероватно ћете покушати да видите зашто је једна веза на вашој мрежи преоптерећена и које врсте саобраћаја бисте могли да преусмерите или угасите да бисте решили проблем.

Иако бисте то можда желели погледајте сав мрежни саобраћај, хватање свега тога одједном постаје надмоћан циљ. Ако бисте успели да снимите све мрежне пакете, постали бисте преплављени свим прикупљеним подацима.

Да бисте правилно проценили перформансе ваше мреже, свеједно ћете категорисати цео саобраћај по мрежном уређају, тако да је боље користити зрцаљење портова на уређају. Остали алати су погоднији за пружање видљивости читаве мреже. У тим случајевима, боље би било да користите НетФлов за узорковање података са неколико мрежних тачака истовремено. За то вам треба софистицирани алат за анализу мрежног саобраћаја објединити и резимирати сви подаци о саобраћају.

О зрцаљењу портова

Порт зрцаљење нуди методу умножавања мрежног промета и усмјеравање копије према спремишту података. У раздјелнику користите уређај који дуплира сав промет с тим да једна копија наставља према одредишним дестинацијама, а друга приказује на екрану или иде до датотеке. Са зрцаљењем портова користите потпуно исту технику, али мењате подешавања вашег преклопника да бисте створили функцију умножавања података и на тај начин уклонили потребу за инсталирањем засебног физичког уређаја.

У суштини, упутство за зрцаљење порта каже прекидачу да пошаље копију саобраћаја на одређени порт. Методологија укључује низ опција које вам омогућавају да то учините изаберите одређени саобраћај који потичу са одређене адресе или путују на њу или одабиру да копирају сав саобраћај. Једном када прекидач раздвоји потребан промет, све што морате учинити је прикупити пакете који се шаљу у порт који је означен као тачка испоруке података..

Прекидачи и концентратори

А линк, или „хоп,“На мрежи је веза између два уређаја. Веза је можда последњи део који повезује ан крајња тачка, или може бити између две мрежни уређаји. Увек ће постојати мрежни уређај на најмање једном крају везе. За саобраћај унутар мреже тај уређај ће бити или а прекидач или а чвориште.

Чвориште преноси сав промет који прими на једном од својих прикључака на све остале. Не обраћа пажњу на одредишну адресу на долазним пакетима. Прекидач је селективнији јер је испитује заглавља пакета и прослеђује сваког до порта који је навео за ту адресу. Кабл повезан на тај одредишни порт можда неће довести до крајње тачке која је идентификована том адресом. Ако између тог прекидача и крајње тачке постоји други мрежни уређај, кабл који прима податке који се крећу водиће до тог средњег уређаја, који ће га, заузврат, проследити.

Срећом, за хватање пакета, склопке и чворишта не успостављају привремене физичке везе између извора и одредишних портова у вези. Уместо тога, уређај прикупља долазне податке. Онда ствара тачну копију тих података и примењује га на одредишни порт. У случају чворишта, ова акција ствара дуплирање. На пример, ако чворник прими пакет на једном од својих десет портова, он ће послати исти пакет на свих својих девет других портова.

Дакле, један пакет постаје девет копија. Пребацивач чини потпуно исту ствар са пакетима који су обележени емитовање. Саобраћај који путује ка једном одредишту копира се само на порт који је за ту адресу наведен прекидач. Дакле, и даље постоји само један примерак тих података који путују ван прекидача.

Умножавање пакета које обављају прекидачи и рутери потпуно је исто као и посао који обавља сплитски саобраћај.

Порт огледало са концентратором

Као што видите из описа начина рада прекидача и чворишта, чвориште аутоматски дуплира сав промет који прими. Дакле, ако имате само чворишта на вашој мрежи, врло је лако добити копију целог саобраћаја који кружи на њој. Хуб шаље сав промет на све крајње точке. Ако тај саобраћај мора да прође кроз друге мрежне уређаје да би стигао до неких крајњих тачака на мрежи, то неће блокирати саобраћај дођу до тих крајњих тачака ако су и средњи уређаји концентратори.

Пошто је ваш сопствени рачунар повезан са једним од чворишта на мрежи, сав саобраћај на мрежи аутоматски ће се послати вашем рачунару без потребе за променом подешавања чворишта. Међутим, ваш рачунар неће читати у том саобраћају.

Уграђени софтвер на мрежној картици вашег рачунара садржи идентификатор који је у њему чврсто шифрован: ово је МАЦ адреса, што значи „контролер приступа медијима.”Мрежна картица ће реаговати само на поруке које стижу са МАЦ адресом. Сви остали ће бити занемарени. Замислите мрежну картицу као вратара у приватном клубу. Свако ко долази мора дати лозинку да би ушао; онима без лозинке блокира се да уђу. МАЦ адреса је та лозинка.

Ако желите да видите сав промет на мрежи која је у потпуности опремљена са чвориштима, све што морате да урадите је да кажете мрежној картици да одустане од захтева за сопствену МАЦ адресу. У мрежној терминологији ово подешавање се назива „промискуитетни режим.“

Пуристи ће тврдити да стављање ваше мрежне картице у промискуитетни режим није „зрцаљење порта“, јер ваша мрежна картица не дуплира пакете. Кажу да картица једноставно одустаје од захтева за своју МАЦ адресу како би препознала пристигле пакете и проследила их апликацијама на рачунару.

У истини, „зрцаљење портова на чворишту“ је сувишан концепт, јер хуб дуплира све пакете. Термин "зрцаљење порта" опћенито се примјењује само на прекидаче.

Огледало порта са прекидачем

Када прекидач прими пакет, он у одредишту датаграма упућује одредишну адресу. Затим прави копију пакета и шаље нову верзију на број порта који је придружио тој МАЦ адреси.

У стандардним операцијама, које се називају „уницаст,”Само једна копија је направљена од долазне поруке и шаље се само на један порт. Прекидачи могу да дуплирају саобраћај, Међутим. На пример, када прекидач прими емитовану поруку, прави исти број копија као и број његових активних портова и шаље једну копију на сваки од тих портова. Прекидачи такође имају „мултицаст“Могућности, за које су потребне да створе ограничени број примерака.

Како су сви прекидачи програмирани са способношћу да обрађују емитоване и мултицаст поруке, задатак дуплирања пакета не представља њихов хардвер проблем. У концептуалном смислу, за прелазак на копирање пакета потребно је врло мало задатака:

  1. Прекидач је упућен да направи копију целог промета.
  2. Прекидач шаље сав промет на предвиђено одредиште.
  3. Прекидач шаље копију целокупног промета у номинирани порт.
  4. Сакупљате сав промет на номинираном луку.

Добијање дуплицираних пакета који путују прекидачем је врло једноставан посао и не захтева много додатних напора на обради на делу уређаја. Ако желите да прегледате пакете који путују одређеним прекидачем, једноставно морате да му кажете да дуплира сав тај саобраћај и пошаље га у луку и такође да му кажете повежите МАЦ адресу рачунара са одређеним бројем порта. Затим морате да поставите мрежну картицу рачунара у промискуитетни режим да бисте осигурали да ће покупити сав саобраћај, а не само оне датаграме са МАЦ адресом на њима.

Умножавање целог мрежног саобраћаја

Горе решење је поједностављена верзија онога што се заправо дешава у прекидачу када изводи зрцаљење портова. У стварности, задатак је мало сложенији. На пример, било би незгодно када бисте морали директно да повежете рачунар каблом са прекидачем како бисте преузели сав његов промет. У стара времена то је био захтев ЛАН анализатора, а веза специфична за локацију још увек је кључна карактеристика мрежних ТАП-ова.

Захваљујући технологији усмјеравања, модерно зрцаљење лука је софистицираније. Можете да прегледате саобраћај који пролази кроз било који прекидач било где у свету, све док је тај прекидач доступан са ваше локације било путем мреже или преко интернета. Не морате физички да повежете рачунар са тим прекидачем. Када путујете интернетом, зрцаљење лука постаје мало сложеније јер датаграмима је потребно додатно паковање на слоју Интернет мреже. За овај водич бавит ћемо се само зрцаљењем портова унутар мреже.

Већина прекидача има могућност испоруке заробљених пакета преко мреже, путујући преко других мрежних уређаја. Сваки произвођач склопки производи властити фирмвер за своје склопке, а мени управљачке конзоле је различит за све. За потребе овог водича, фокусираћемо се на методе које користи Цисцо Системс како би се огледало портова учинило доступним на његовим мрежним преклопницима.

О Цисцо СПАН прекидачима

Позвано је постројење за зрцаљење порта с прекидачем Цисцо СПАН. Ово се залаже Свитцхед Порт Анализер. СПАН вам пружа све могућности за хватање пакета на било ком Цисцо преклопнику, без обзира да ли сте директно повезани на тај прекидач или не. Међутим, на прекидачу морате имати резервни прикључак који може постати мјесто сакупљања дуплицираних пакета.

У терминологији СПАН, „извор порта“Је порт са којег се дуплира саобраћај. Тхе “одредишни порт“Је адреса порта на коју се дуплицирани пакети шаљу на прикупљање. Будите врло пажљиви упамтите ове карактеристичне појмове, јер ћете бити у искушењу да упутите своју традиционалну мрежну терминологију да гледате пакете који воде од изворног до одредишног порта.

СПАН систем може да надгледа један порт или више портова. Такође је могуће препознати правац саобраћаја на том пристаништу, дајући вам само прилив, само одлив или оба. Међутим, ако испитујете неколико портова одједном, сви они морају имати исти правац протока саобраћаја.

Не можете да одредите од и до портова које желите да снимите (тј. Само да саобраћај стиже до одређеног порта који одлази из одређеног порта). Ако је ово функционалност коју тражите, изаберите пристаниште и снимите све примљене пакете тамо. Затим можете филтрирати сав промет осим оног који остављате на пренесеном порту који вас занима након што имате све податке у свом софтвер за анализу.

У сесији можете надгледати портове или монитор ВЛАНс - не можете покрити обје врсте портова одједном.

Цисцо СПАН модуси

Цисцо СПАН омогућава вам снимање пакета путем три режима:

  • Локални СПАН: Пратите саобраћај на прекидачу на који сте директно повезани.
  • Даљински СПАН (РСПАН): Пратите саобраћај на удаљеном порту, али прибавите заробљене пакете послате у порт на локалном преклопнику за прикупљање.
  • Инкапсулирани даљински СПАН (ЕРСПАН): Исти поступак као и РСПАН, осим што пренос зрцалних пакета на ваш локални прекидач врши ГРЕ енкапсулацијом.

РСПАН опција није доступна на Екпресс 500/520, 5500/5000, 3500 КСЛ, 2940, 2948Г-Л3 и 2900КСЛ прекидачима.

Доступност Цисцо СПАН-а

СПАН је доступан на свим следећим моделима Цисцо склопки:

Цаталист Екпресс серија 500/520

  • Цаталист 1900 Сериес
  • Серија Цаталист 2900КСЛ
  • Цаталист 2940 Сериес
  • Цаталист 2948Г-Л2, 2948Г-ГЕ-ТКС, 2980Г-А
  • Цаталист 2950 Сериес
  • Цаталист 2955 Сериес
  • Цаталист 2960 Сериес
  • Цаталист 2970 Сериес
  • Цаталист 3500 КСЛ серија
  • Цаталист 3550 Сериес
  • Серија Цаталист 3560 / 3560Е / 3650Кс
  • Серија Цаталист 3750 / 3750Е / 3750Кс
  • Цаталист 3750 Метро Сериес
  • Серија Цаталист 4500/4000
  • Цаталист 4900 Сериес
  • Цаталист 5500/5000 Сериес
  • Серија Цаталист 6500/6000

Нажалост, командни скуп није исти на свим прекидачима. То је углавном због тога што компанија има специјализовани фирмвер за неке од својих Цаталист уређаја, који се тако називају ЦатОС. Остали Цисцови прекидачи користе оперативни систем који се зове ИОС, који није исти као иОС оперативни систем који користе Аппле уређаји.

Неколико Цисцових прекидача нема могућност матирања портова, али постоји бесплатни услужни програм који можете користити у тим околностима, о чему ћете ускоро прочитати..

Подесите СПАН на ИОС прекидачима

За моделе пребацивања са софтвером за ИОС морате доћи до оперативног система уређаја и издати наредбу како бисте одредили порт СПАН и порт који треба да надгледате. Овај задатак имплементирају два реда команди. Треба наведите извор, што значи да ће се порт репродуковати и други даје број порта на који је њушкач повезан - ово је одредишна линија.

монитор извор сесије [интерфејс | даљински | влан] [рк | тк | и једно и друго] надгледајте одредишни интерфејс сесије

Када завршите са дефинисањем огледала, морате да притиснете ЦТРЛ-З да окончам дефиницију конфигурације.

Број сесије вам само омогућава да креирате неколико различитих монитора који се покрећу истовремено. Ако у наредној наредби користите исти број сесије, отказаћете оригинални траг и замените га новом спецификацијом. Опсези портова су дефинисани цртицом ("-"), а низ портова је одвојен зарезима (",").

Последњи елемент у командној линији за изворни порт (порт који се надгледа) је спецификација да ли прекидач треба да реплицира пренесене пакете са било којег лука, или и једно и друго.

Подесите СПАН на ЦатОС прекидачима

Новији распони Цаталист испоручују се с новијим оперативним системом, названим ЦатОС, уместо старијег ИОС оперативног система. Команде које се користе за подешавање СПАН зрцаљења у тим прекидачима су мало другачије. Са овим оперативним системом креирате зрцаљење са само једном наредбом уместо две.

сет спан [рк | тк | оба] [инпктс] [учење] [мултицаст] [филтер] [Креирај]

Извори портова су дефинисани првим елементом у овој наредби, а то је „срц_мод / срц_портс”Део. Други идентификатор прикључка у наредби аутоматски се чита као одредишни порт - односно, порт на који је прикључен њушкало за пакет. Тхе “рк | тк | и једно и друго”Елемент каже прекидачу да реплицира пренесене пакете са било којег лука, или и једно и друго.

Постоји и наредба распона за искључивање огледала:

подесити распон онеспособити [дест_мод / дест_порт | све]

Подесите СПАН на склопке Цаталист Екпресс 500 и Цаталист Екпресс 520

Ако имате прекидач Цаталист Екпресс 500 или Цаталист Екпресс 520, не уносите СПАН подешавања у оперативни систем. Да бисте комуницирали са прекидачем и променили његова подешавања, морате да инсталирате Цисцо Нетворк Ассистант (ЦНА). Овај софтвер за управљање мрежама је бесплатан и ради у Виндовс окружењу. Следите ове кораке да бисте СПАН били активни на прекидачу.

  1. Пријавите се на прекидач преко ЦНА интерфејса.
  2. Изаберите Смартпортс опцију у ЦНА мени. Ово ће приказати графику која представља низ врата склопке.
  3. Кликните на порт на који желите да спојите њушкало за пакет и изаберите Модификовати опција. Ово ће отворити скочни прозор.
  4. Изаберите Дијагностика у Улога с листе и одаберите порт који ће пратити његов промет Извор падајуће листе. Ако желите посебно надгледати ВЛАН, изаберите га из Ингресс ВЛАН листа. Ако немате за циљ да гледате саобраћај само за ВЛАН, оставите ову вредност на подразумеваној вредности. Кликните на ок да сачувате подешавања.
  5. Кликните на ок и онда Применити у Смартпортс екран.

Један проблем са ЦНА методом је тај што софтвер ради само на верзијама оперативног система Виндовс виндовс 7.

Ухваћена обрада пакета

Огледало портова постављено на вашем прекидачу неће складиштити или анализирати заробљене пакете. Можете користити било који софтвер за анализу мреже за обраду пакета који се шаљу на ваш уређај.

Кључно питање које ћете морати препознати приликом хватања пакета је то што ћете морати да се бавите са веома великом количином података. Сирови текстуални депониј пролазног мрежног промета готово је немогуће чешљати без вођеног прегледника података. Ово је најнижа категорија алата за приступ подацима који бисте требали узети у обзир. Комплетан услужни програм за анализу саобраћаја био би још бољи.

Можете видети опсежну листу препоручени алати за анализу мрежног саобраћаја у чланку, 9 најбољих анализатора пакета / Пани Њушкала за 2019. Ради практичности, горња два алата у овом прегледу су сажета у наставку.

Алат за дубинску инспекцију и анализу пакета СоларВиндс (БЕСПЛАТНА РЕКЛАМА)

Дубински преглед пакета

СоларВиндс производи велики каталог мрежних алата за надгледање и управљање. За анализу излазних података зрцаљења треба да размислите о компанији Дубински пакет и анализа алат да вам буде најбоља опција. Ово је део компаније Нетворк Монитор Монитор, који је његов централни производ.

Овај алат је у стању да протумачи податке добијене из широк спектар алата за прикупљање пакета и омогућиће вам да видите где долази до налета промета. Морате погледати апликације које генеришу већину потражње на вашој мрежи да бисте конструисали стратегије за побољшање перформанси. Овај алат за анализу подржава те истраге.

Мрежни монитор перформанси је врхунски алат и није бесплатан. Међутим, можете добити 30-дневно бесплатно пробно време. Имајте на уму да снимање пакета није заиста изводљива опција за праћење свих промета на вашој мрежи. У тим ситуацијама, боље би вам било да уз помоћ СоларВиндс НетФлов анализатора саобраћаја. Ово запошљава Цисцо НетФлов функционалност за узорковање промета са мреже. Такође је у стању да комуницира са њима Јунипер Нетворкс опреме кроз Ј-Флов стандард узорковања пакета, са Хуавеи уређаји, користећи НетСтреам, а може се користити и независно од произвођача сФлов и ИПФИКС системи за анализу саобраћаја Такође можете добити НетФлов анализатор саобраћаја на 30-дневној бесплатној пробној верзији.

Мрежни монитор перформанси и НетФлов анализатор промета чине добру комбинацију за мрежну анализу, јер вам дају прегледну перспективу и алате за испитивање пакета промета који пролазе кроз појединачне уређаје. СоларВиндс нуди ова два алата заједно као Нетворк Бандвидтх Анализер Пацк, који такође можете добити на 30-дневној бесплатној пробној верзији.

СоларВиндс инспекција и анализа дубинских пакетаПреузмите 30-дневно бесплатно пробно раздобље

Паесслер Алат за хватање пакета

паесслер-ПРТГ

Паесслер ПРТГ је алат за праћење мреже који се састоји од многих појединачних сензора. Један од ових алата је а сензор за хватање пакета. Овај сензор не долази са физичким ТАП-ом; уместо тога, он се ослања на податке који су у току испоручени са ваших склопки. Овај алат нуди сјајне визуелизације података и за живе податке и за пакете који се читају из датотеке за складиштење.

Сјајна ствар ПРТГ-а је да вам може понудити различите слојеве видљивости унутар истог алата. Такође укључује сензоре који узоркују мрежне податке, снимајући само заглавље пакета са различитих локација на мрежи. Можете такође смањите количину података које монитор треба да обради одредивањем узорковања.

Осим сензора њушења пакета, ПРТГ укључује следеће системе за узорковање у саобраћају:

  • НетФлов сензор
  • Сензор за спуштање
  • Ј-сензор протока

Помоћу овог система могли бисте да користите НетФлов, сФлов и Ј-Флов сензоре да бисте добили преглед целокупне мреже, а затим идите до снајпера пакета да бисте се фокусирали на типичне токове на једном уређају. Једном када изолирате преоптерећен прекидач, можете се вратити у одређене портове који имају превише промета и погледати врсте саобраћаја који га преплављују. Помоћу ових информација можете или применити мере обликовања саобраћаја или изабрати додатну инфраструктуру за преусмеравање тешких саобраћајних тачака и ширење терета.

Сензор сниффер пакета обрађује само заглавље датаграме промета који путују мрежом. Ова стратегија смањује количину обраде која је потребна за обједињавање метрика протока и увелике убрзава анализу.

Проблеми са зрцаљењем портова

Потпуно хватање и складиштење пакета могло би вам створити проблеме са повјерљивошћу података. Иако ће највећи део саобраћаја који пролази кроз вашу мрежу бити шифриран, ако је намењен спољним веб локацијама, неће сав интерни саобраћај бити шифриран. Ако се ваша организација није одлучила да имплементира додатну сигурност за е-пошту, саобраћај поште око ваше мреже неће се подразумевано шифровати.

Као алтернативну технику анализе саобраћаја могли бисте размотрити коришћење НетФлов-а. Ово је систем за размену порука који је омогућен на свим Цисцо уређајима и прослеђиват ће само заглавље пакета на централни монитор. О мрежним мониторима који сакупљају податке НетФлова можете прочитати у чланку 10 Најбољи бесплатни и премиум НетФлов анализатори и сакупљачи.

Једном када имате информације на дохват руке о свим могућностима праћења саобраћаја на вашим Цисцо преклопницима, бићете у бољој позицији да одлучите који метод хватања пакета ћете користити.

Одабир праве стратегије анализе мреже

Надамо се да вас је овај водич упознао са проблемима који окружују зрцаљење портова. Иако постоје случајеви када заиста не можете да избегнете пад на ниво пакета да бисте правилно проценили ваш мрежни саобраћај, требали бисте сузите своје истраживање с другим алатима прије него што договорите снимање пакета као задатак.

Зрцаљење портова има својих проблема - нарушава поверљивост података и може да генерише веома велике количине података. Истражите методе за збирне информације о саобраћају као ваш први ред истраге и пређите на зрцаљење портова након што утврдите везе са проблемима. Једном када поставите зрцаљење портова на својим прекидачима, будите сигурни да каналирате све податке у алат за анализу како бисте могли правилно користити све информације које ће створити ова стратегија.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

3 + 1 =

Adblock
detector