راهنمای نهایی Port Mirroring

راهنمای نهایی Port Mirroring (1)

نرم افزار مدرن نظارت بر شبکه شامل ابزارهای پیشرفته ای مانند نمایش های گرافیکی و ابزارهای تحلیلی است. با این وجود مواقعی وجود خواهد داشت که هنگام مسافرت به شبکه می توانید به تکنیک های تجزیه و تحلیل آجیل و پیچ و مهره برای گرفتن بسته ها برگردید. آینه پورت یک تکنیک ضبط بسته است.

ضبط بسته به یک عنصر سخت افزاری نیاز دارد ، که به آن a گفته می شود TAP (نقطه دسترسی تست)) خوشبختانه ، شما در حال حاضر سخت افزاری دارید که تمام ترافیک شبکه شما را هدایت می کند: سوئیچ ها و هاب ها. شما می توانید از قابلیت های این دستگاه ها استفاده کنید تا نیاز به خرید یک سنسور درون خط جداگانه یا شکاف ترافیکی را از بین ببرید. تکنیک استفاده از تجهیزات شبکه شما برای گرفتن ترافیک ""آینه کاری بندر."این راهنما تمام اطلاعات مورد نیاز برای پیاده سازی mirroring پورت در شبکه خود را به شما می دهد.

>>> به لیست ابزارهای نظارت توصیه شده زیر بروید<<<

پردازش ترافیک را تغییر دهید

یک شبکه بسیار کوچک فقط دارای یک سوئیچ یا توپی است. با این حال ، رشد زیادی در شبکه ایجاد نمی کند تا نیاز به سوئیچ دیگری ایجاد کند. هنگامی که چندین سوئیچ در شبکه خود دارید ، بدون نیاز به کانال کردن تمام بسته ها از طریق یک نقطه مرکزی ، ترافیک را روشن می کنند.

این پیکربندی غیر متمرکز به این معنی است که در صورت تمایل نمی توانید فقط یک سوئیچ روی شبکه برای جمع آوری داده ها انتخاب کنید نمونه ترافیک از همه داده های شما دلیل این است که سوئیچ های دیگر در شبکه شما تبادل ترافیکی بین آنها را انجام می دهند که نیازی به انتقال از طریق دستگاه انتخابی شما ندارند. با این حال ، اگر شما تصمیم به اجرای a گرفتید ، این مسئله نیز بوجود می آید ضربه زدن به عنوان یک ابزار ضبط بسته.

هنگام ضبط ترافیک شبکه ، باید تصمیم بگیرید که آیا بسته های منتهی به یک نقطه می توانند الزامات شما را برآورده سازند یا اینکه باید تمام رفت و آمد شبکه را در کل شبکه به یکباره مشاهده کنید یا خیر..

در واقعیت ، بیشتر محتمل است که شما نیاز به ترافیک در هر لینک داشته باشید. در چنین سناریویی ، شما احتمالاً سعی خواهید کرد که ببینید چرا یک پیوند در شبکه شما بیش از حد بارگذاری شده است و برای حل مشکل ، از کدام نوع ترافیک استفاده کرده اید که می توانید مجدداً به آن سوار شوید یا دریچه گاز بزنید..

اگرچه ممکن است بخواهید همه ترافیک شبکه را مشاهده کنید, گرفتن همه ی اینها به یکباره به زودی به یک هدف بیش از حد تبدیل می شود. اگر می توانید تمام بسته های شبکه را ضبط کنید ، به کلیه داده های جمع آوری شده دچار ناراحتی می شوید.

به منظور ارزیابی صحیح عملکرد شبکه ، می خواهید به هر حال همه ترافیک را توسط دستگاه شبکه طبقه بندی کنید ، بنابراین بهتر است از Mirroring port استفاده کنید. سایر ابزارها برای نمایش کامل شبکه مناسب تر هستند. در این موارد ، بهتر است از NetFlow برای نمونه برداری همزمان از چندین نقطه شبکه استفاده کنید. به یک ابزار پیشرفته تجزیه و تحلیل ترافیک شبکه نیاز دارید جمع و خلاصه همه داده های ترافیک.

درباره آینه کاری بندر

آینه سازی بندری روشی برای تکرار ترافیک شبکه و هدایت نسخه به سمت فروشگاه داده ارائه می دهد. در یک تقسیم کننده از دستگاهی استفاده می کنید همه ترافیک را کپی می کند یکی از کپی ها به مقصد مورد نظر خود ادامه می دهد و دیگری روی صفحه نمایش یا رفتن به پرونده. با آینه کاری پورت ، شما دقیقاً از همان تکنیک استفاده می کنید ، اما تنظیمات سوئیچ خود را تغییر می دهید تا یک تابع تکثیر داده ایجاد کنید ، بنابراین نیاز به نصب یک دستگاه فیزیکی جداگانه را برطرف می کنید..

در اصل ، یک دستورالعمل آینه سازی پورت به سوئیچ می گوید که یک نسخه از ترافیک را به یک درگاه خاص بفرستد. این روش شامل طیف وسیعی از گزینه ها است که شما را قادر می سازد ترافیک خاص را انتخاب کنید از مبدأ یا مسافرت به آدرسهای داده شده ، یا انتخاب کپی کردن همه ترافیک. هنگامی که سوئیچ ترافیک مورد نیاز را تقسیم می کند ، تنها کاری که باید انجام دهید جمع آوری بسته هایی است که به پورت ارسال شده به عنوان نقطه تحویل داده ها ارسال می شود..

کلید و توپی

آ ارتباط دادن, یا "هاپ,"در شبکه اتصال بین دو دستگاه است. این پیوند ممکن است آخرین کششی باشد که an را به هم وصل می کند نقطه پایانی, یا ممکن است بین دو نفر باشد دستگاه های شبکه. حداقل در یک انتهای پیوند همیشه یک دستگاه شبکه وجود خواهد داشت. برای ترافیک درون یک شبکه ، آن دستگاه یا یک خواهد بود تعویض یا یک توپی.

یک هاب کلیه ترافیکی را که در یکی از اتصالات خود دریافت می کند به سایر موارد منتقل می کند. به آدرس مقصد روی بسته های ورودی توجه نمی کند. سوئیچ انتخابی تر است زیرا این گزینه را انتخاب می کند هدرهای بسته را بررسی می کند و هرکدام را به پورت که برای آن آدرس ذکر کرده است ، انتقال می دهد. کابل متصل به آن درگاه مقصد ممکن است به نقطه انتهایی که توسط آن آدرس مشخص می شود منجر نشود. اگر یک وسیله شبکه دیگر بین آن سوئیچ و نقطه انتهایی وجود داشته باشد ، کابل که داده متحرک را دریافت می کند به آن وسیله واسطه منتهی می شود که به نوبه خود ، آن را به جلو هدایت می کند..

خوشبختانه ، برای ضبط بسته ، سوئیچ ها و هاب ها پیوندهای فیزیکی موقت را بین پورت های مبدا و مقصد در یک اتصال ایجاد نمی کنند. بجای, دستگاه داده های ورودی را جمع می کند. پس از آن یک کپی دقیق از آن داده ایجاد می کند و آن را در بندر مقصد اعمال می کند. در مورد هاب ها ، این عمل تکثیر ایجاد می کند. به عنوان مثال ، اگر هاب بسته ای را در یکی از ده درگاه خود دریافت کند ، آن بسته را در تمام نه پورت دیگر خود ارسال می کند.

بنابراین ، یک بسته به نه نسخه تبدیل می شود. یک سوئیچ دقیقاً همان کار را با بسته هایی انجام می دهد که برای آنها مشخص شده است پخش. ترافیکی که به یک مقصد سفر می کنید فقط بر روی پستی که سوئیچ برای آن آدرس ذکر شده کپی می شود. بنابراین همچنان که از طریق سوئیچ حرکت می کند ، فقط یک نمونه از آن داده ها وجود دارد.

تکثیر بسته های انجام شده توسط سوئیچ ها و روترها دقیقاً مشابه کارهایی است که توسط یک شکاف ترافیکی انجام می شود.

آینه کاری بندر با توپی

همانطور که از توضیحات نحوه کار سوئیچ ها و هاب ها می بینید, یک هاب به طور خودکار تمام ترافیکی را که دریافت می کند ، کپی می کند. بنابراین ، اگر فقط توپی در شبکه خود دارید ، می توانید یک کپی از کل ترافیکی که در آن گردش می شود ، بسیار آسان کنید. توپی تمام ترافیک را به تمام نقاط انتهایی ارسال می کند. اگر آن ترافیک برای رسیدن به برخی از نقاط انتهایی شبکه ، باید از طریق سایر دستگاه های شبکه سفر کند ، اگر وسایل واسطه ای نیز قطب باشند ، نمی توانند در رسیدن به آن نقاط انتهایی ترافیک را مسدود کنند..

از آنجا که رایانه شخصی شما به یکی از قطب های شبکه متصل است ، تمام ترافیک موجود در شبکه بطور خودکار بدون نیاز به تغییر تنظیمات هاب به رایانه شما ارسال می شود. با این حال رایانه شما در تمام آن ترافیک نخوانده است.

سیستم عامل موجود در کارت شبکه رایانه شما دارای یک شناسه رمزگذاری شده در آن است: این همان است آدرس MAC, که مخفف "کنترل کننده دسترسی به رسانه.کارت شبکه فقط به پیام های وارد شده که آدرس MAC را روی آنها نشان می دهد ، واکنش نشان می دهد. همه دیگران نادیده گرفته می شوند. به کارت شبکه به عنوان یک doorman در یک باشگاه خصوصی فکر کنید. هرکسی که وارد شود مجبور است برای ورود به سیستم رمز ورود دهد. کسانی که رمز عبور ندارند از ورود آنها مسدود می شوند. آدرس MAC آن رمز عبور است.

اگر می خواهید تمام ترافیک ها در شبکه ای که کاملاً به هاب ها مجهز است را ببینید ، تنها کاری که باید انجام دهید این است که به کارت شبکه بگویید که نیاز به آدرس MAC خود را کاهش دهد. در اصطلاحات شبکه ، این تنظیمات ""حالت پیشگویی."

Purists استدلال می کنند که قرار دادن کارت شبکه شما در حالت پیش فرض "آینه پورت نیست" زیرا کارت شبکه شما بسته های تکراری نیست. آنها می گویند این کارت فقط به منظور شناسایی بسته های وارد شده و ارسال آنها به برنامه های رایانه شما ، نیاز به آدرس MAC خود را کاهش می دهد..

در حقیقت ، "آینه کاری بندر در هاب" یک مفهوم کارآمد است زیرا توپی به طور پیش فرض تمام بسته ها را کپی می کند. به طور کلی ، اصطلاح "آینه پورت" فقط در سوئیچ ها اعمال می شود.

آینه کاری بندر با سوئیچ

هنگامی که یک سوئیچ یک بسته را دریافت می کند ، به آدرس مقصد در عنوان هدر داده مراجعه می کند. سپس یک نسخه از بسته را تهیه کرده و آن نسخه جدید را بر روی شماره پورت که با آن آدرس MAC همراه است ارسال می کند..

در عملیات استاندارد ، که "unicast,فقط یک کپی از یک پیام دریافتی ساخته شده است و فقط در یک پورت ارسال می شود. سوئیچ ها می توانند ترافیک را کپی کنند, با این حال. به عنوان مثال ، هنگامی که سوئیچ یک پیام پخش را دریافت می کند ، به همان تعداد تعداد درگاه های فعال خود ساخته می شود و در هر کدام از این پورت ها یک نسخه از آن ارسال می کند. سوئیچ ها همچنین دارای "چندکارهقابلیت هایی که به آنها نیاز دارد تعداد محدودی از نسخه ها را ایجاد کنند.

از آنجا که همه سوئیچ ها با امکان کنترل پیام های پخش شده و چندکاره ای برنامه ریزی شده اند ، وظیفه تکثیر بسته ها سخت افزاری آنها را با مشکل مواجه نمی کند. از نظر مفهومی ، دریافت سوئیچ برای انجام تکثیر بسته نیاز به کارهای بسیار کمی دارد:

  1. به سوئیچ دستور داده می شود یک کپی از همه ترافیک ها تهیه کند.
  2. سوئیچ تمام ترافیک را به مقصد مورد نظر خود ارسال می کند.
  3. سوئیچ نسخه ای از کل ترافیک را به درگاه نامگذاری شده ارسال می کند.
  4. شما کلیه ترافیک را در بندر نامگذاری شده جمع می کنید.

دریافت همه بسته های کپی شده با سفر از طریق سوئیچ کار بسیار ساده ای است و از پردازش اضافی زیادی در بخش دستگاه استفاده نمی کنید. اگر می خواهید بسته هایی را که از طریق یک سوئیچ خاص در حال سفر هستند بررسی کنید ، فقط کافی است به آن بگویید که تمام آن ترافیک را کپی کرده و آن را به درگاه بفرستید و همچنین به آن بگویید آدرس MAC رایانه خود را با آن شماره درگاه تعیین شده مرتبط کنید. سپس باید کارت شبکه رایانه خود را در حالت اعلان قرار دهید تا اطمینان حاصل شود که تمام ترافیک و نه فقط آن دسته از داده ها را با آدرس MAC خود در آنها انتخاب می کند..

کپی کردن همه ترافیک شبکه

راه حل فوق یک نسخه ساده از آنچه در واقع در یک سوئیچ هنگام انجام آینه کاری بندر اتفاق می افتد است. در واقعیت ، کار کمی پیچیده تر است. به عنوان مثال ، ناخوشایند است که بتوانید کامپیوتر خود را مستقیماً با یک کابل به یک سوئیچ وصل کنید تا تمام ترافیک آن را انتخاب کنید. در قدیم این مورد نیاز آنالایزرهای LAN بود و یک اتصال خاص برای مکان هنوز ویژگی اصلی TAP های شبکه است..

به لطف تکنولوژی مسیریابی ، آینه کاری بندر مدرن پیشرفته تر است. شما می توانید ترافیک عبور از هر سوئیچ را در هر نقطه از جهان بررسی کنید, فقط تا زمانی که آن سوئیچ از طریق شبکه یا از طریق اینترنت قابل دسترسی باشد. نیازی نیست کامپیوتر خود را به آن سوئیچ متصل کنید. هنگام مسافرت از طریق اینترنت ، آینه کاری بندر کمی پیچیده تر می شود زیرا دیتاگرام ها نیاز به بسته بندی اضافی در لایه شبکه اینترنت دارند. برای این راهنما ، ما فقط با آینه کاری بندر از داخل شبکه سروکار خواهیم داشت.

بیشتر سوئیچ ها قابلیت تحویل بسته های ضبط شده از طریق شبکه را دارند و از طریق سایر دستگاه های شبکه سفر می کنند. هر سازنده سوییچ سیستم عامل خود را برای سوییچ های خود تولید می کند و منوی کنسول مدیریت برای هر یک متفاوت است. برای اهداف این راهنما ، ما بر روی روشهایی که توسط آنها استفاده می شود ، تمرکز خواهیم کرد سیستمهای سیسکو برای آینه کاری پورت در سوئیچ های شبکه خود در دسترس باشد.

درباره کلیدهای CAN SPAN

تأسیسات آینه سازی پورت سوئیچ سیسکو نامیده می شود طول. این مخفف است آنالایزر بندری. SPAN به شما این امکان را می دهد که بتوانید بسته های روی هر سوئیچ سیسکو را ضبط کنید ، خواه مستقیماً به آن سوئیچ وصل باشید یا نه. با این وجود ، شما باید یک درگاه یدکی روی سوئیچ داشته باشید که می تواند تبدیل به نقطه جمع آوری بسته های تکراری شود.

در اصطلاحات SPAN ، یک "بندر منبع"بندری است که ترافیک از آن تکثیر می شود. "بندر مقصد"آدرس پورت است که بسته های تکراری برای جمع آوری به آن ارسال می شوند. خیلی مراقب باشید که این اصطلاحات متمایز را به خاطر بسپارید زیرا شما را وسوسه می کنید تا به اصطلاحات شبکه سنتی خود مراجعه کنید که به دنبال بسته هایی هستید که از درگاه مبدأ به بندر مقصد منتقل می شوند.

سیستم SPAN قادر به نظارت بر یک پورت یا بسیاری از درگاه ها است. همچنین می توان جهت حرکت ترافیک در آن بندر را شناسایی کرد و به شما فقط جریان ورودی ، فقط جریان خروجی یا هر دو را می دهد. با این حال ، اگر تعدادی درگاه را به طور هم زمان بررسی می کنید ، همه آنها باید جهت گردش ترافیک یکسان را تحت نظر داشته باشند.

شما نمی توانید پورت های ضبط شده از و از طریق پورت ها را مشخص کنید ، (یعنی فقط ترافیک را به پورت خاصی که از یک بندر خاص خارج می شود برسید). اگر این عملکردی است که به دنبال آن هستید, پورت ورودی را انتخاب کنید و همه بسته های دریافت شده را در آنجا اسیر کنید. بعد از آنکه همه داده ها را در خود داشته باشید ، می توانید تمام ترافیک ها را به استثنای ترک در بندر مورد علاقه منتقل کنید نرم افزار آنالیز.

در یک جلسه می توانید پورت ها را تحت نظر بگیرید یا مانیتور کنید VLAN ها - شما نمی توانید هر دو نوع پورت را به طور همزمان پوشش دهید.

حالت SPAN Cisco

Cisco SPAN شما را قادر به ضبط بسته ها از طریق سه حالت می کند:

  • SPAN محلی: نظارت بر ترافیک روی سوئیسی که مستقیماً به آن وصل هستید.
  • SPAN از راه دور (RSPAN): نظارت بر ترافیک در یک درگاه از راه دور ، اما بسته های ضبط شده را برای جمع آوری به پورت در سوئیچ محلی خود ارسال کنید.
  • SPAN از راه دور محصور شده (ERSPAN): همان روند RSPAN به جز انتقال بسته های آینه ای به سوئیچ محلی شما توسط کپسوله سازی GRE انجام می شود.

گزینه RSPAN در سوئیچ های Express 500/520 ، 5500/5000 ، 3500 XL ، 2940 ، 2948G-L3 و 2900XL در دسترس نیست.

در دسترس بودن Cisco SPAN

SPAN در کلیه مدل های سوئیچ زیر Cisco موجود است:

سری Catalyst Express 500/520

  • سری کاتالیزور 1900
  • سری 2900XL کاتالیزور
  • سری کاتالیست 2940
  • کاتالیزور 2948G-L2 ، 2948G-GE-TX ، 2980G-A
  • سری کاتالیست 2950
  • سری کاتالیست 2955
  • سری کاتالیست 2960
  • سری کاتالیست 2970
  • سری Catalyst 3500 XL
  • سری کاتالیزور 3550
  • سری کاتالیزور 3560 / 3560E / 3650X
  • سری کاتالیزور 3750 / 3750E / 3750X
  • سری مترو کاتالیست 3750
  • سری کاتالیزور 4500/4000
  • سری کاتالیست 4900
  • سری کاتالیزور 5500/5000
  • سری کاتالیست 6500/6000

متأسفانه ، مجموعه فرمان در همه سوئیچ ها یکسان نیست. این بیشتر به این دلیل است که این شرکت برای برخی از دستگاه های Catalyst خود سیستم عامل ویژه ای دارد که به آن می گویند CatOS. سوئیچ های دیگر سیسکو از یک سیستم عامل به نام استفاده می کنند IOS, که همان سیستم عامل iOS مورد استفاده دستگاههای اپل نیست.

چند سوئیچ سیسکو از قابلیت آینه سازی بندر بومی برخوردار نیستند ، اما یک ابزار رایگان وجود دارد که می توانید در این شرایط از آنها استفاده کنید ، که به زودی در مورد آنها می خوانید.

SPAN را روی کلیدهای IOS تنظیم کنید

برای مدل های سوئیچ با سیستم عامل IOS ، باید به سیستم عامل دستگاه مراجعه کرده و فرمان را صادر کنید تا پورت SPAN و پورت برای نظارت مشخص شود. این کار توسط دو خط دستور انجام می شود. شخص باید منبع را مشخص کنید, که به معنی بندری است که ترافیک خود را تکرار می کند و دیگری به شماره پورت که اسنیفر به آن متصل است می دهد - این خط مقصد است.

مانیتور منبع جلسه [رابط | از راه دور | vlan] [rx | tx | هر دو] نظارت بر رابط مقصد جلسه

پس از پایان یافتن آینه ، باید فشار دهید CTRL-Z برای پایان دادن به تعریف پیکربندی.

شماره جلسه فقط شما را قادر می سازد چندین مانیتور مختلف را بطور همزمان اجرا کنید. اگر در یک فرمان بعدی از همان جلسه استفاده کنید ، ردپای اصلی را لغو کرده و مشخصات جدید را جایگزین آن می کنید. دامنه بندر توسط یک خط کش تعریف می شود ("-") و دنباله ای از درگاه ها با کاما از هم جدا می شوند ("،").

آخرین عنصر در خط فرمان برای پورت منبع (پورت مورد نظارت) مشخصات این است که آیا سوئیچ باید همانند بسته های منتقل شده باشد. از هر دو بندر, یا هر دو.

SPAN را روی کلیدهای CatOS تنظیم کنید

دامنه های اخیر کاتالیزور با یک سیستم عامل جدیدتر به نام (حمل و نقل) ارسال می شود CatOS, به جای سیستم عامل IOS قدیمی تر. دستوراتی که برای تنظیم آینه های SPAN در این سوئیچ ها استفاده می شود کمی متفاوت است. با استفاده از این سیستم عامل ، شما به جای دو فرمان ، معکوس سازی را ایجاد می کنید.

مجموعه دهانه [rx | tx | هر دو] [ورودی] [یادگیری ] [multicast] [فیلتر] [ايجاد كردن]

درگاه های منبع توسط اولین عنصر در این دستور تعریف می شود که عبارت است از:src_mod / src_ports"قسمت شناسه پورت دوم روی دستور به صورت خودکار به عنوان پورت مقصد خوانده می شود - یعنی پستی که پکیج بسته به آن وصل شده است. "rx | tx | هر دوعنصر به سوئیچ می گوید بسته های منتقل شده را تکرار کند از هر دو بندر, یا هر دو.

همچنین یک دستور تنظیم دهانه برای خاموش کردن آینه کاری وجود دارد:

تنظیم فاصله را غیرفعال کنید [dest_mod / dest_port | همه]

SPAN را روی کلیدهای Catalyst Express 500 و Catalyst Express 520 تنظیم کنید

اگر سوئیچ Catalyst Express 500 یا Catalyst Express 520 دارید ، تنظیمات SPAN را در سیستم عامل وارد نمی کنید. برای برقراری ارتباط با سوئیچ و تغییر تنظیمات آن ، باید دستیار شبکه سیسکو را نصب کنید (CNA) این نرم افزار مدیریت شبکه رایگان است و در محیط ویندوز اجرا می شود. برای فعال کردن SPAN روی سوئیچ این مراحل را دنبال کنید.

  1. از طریق رابط CNA وارد سوئیچ شوید.
  2. انتخاب کنید Smartports گزینه در CNA منو. این یک گرافیکی را نشان می دهد که آرایه پورت سوئیچ را نشان می دهد.
  3. بر روی پورت که می خواهید sniffer بسته را به آن وصل کنید کلیک کنید و گزینه را انتخاب کنید تغییر گزینه. این یک پنجره بازشو به وجود می آورد.
  4. انتخاب کنید تشخیصی در نقش بندری را که نظارت بر ترافیک آن را دارد از لیست لیست کرده و انتخاب کنید منبع لیست کشویی اگر می خواهید به طور خاص VLAN را رصد کنید ، آن را از بین گزینه ها را انتخاب کنید Ingress VLAN لیست اگر قصد ندارید فقط ترافیک یک VLAN را تماشا کنید ، این مقدار را به طور پیش فرض قرار دهید. کلیک کنید خوب برای ذخیره تنظیمات.
  5. کلیک کنید خوب و بعد درخواست دادن در Smartports صفحه نمایش.

یک مشکل در روش CNA این است که این نرم افزار فقط تا نسخه های ویندوز اجرا می شود ویندوز 7.

پردازش بسته ضبط شده

آینه کاری پورت تنظیم شده روی سوئیچ شما بسته های ضبط شده را ذخیره یا تجزیه و تحلیل نمی کند. شما می توانید استفاده کنید هر نرم افزار تجزیه و تحلیل شبکه برای پردازش بسته های ارسال شده به دستگاه شما.

مسئله اصلی که می خواهید هنگام گرفتن بسته ها ، آن را تشخیص دهید این است که می خواهید با تعداد بسیار زیادی از داده ها مقابله کنید. دور ریختن متنی خام از عبور و مرور شبکه تقریباً غیرممکن است بدون مشاهدهگر داده هدایت شویم. این پایین ترین دسته ابزار دسترسی به داده است که باید در نظر بگیرید. یک ابزار تحلیل کامل ترافیک حتی بهتر خواهد بود.

می توانید لیست کاملی از آنها را مشاهده کنید ابزارهای پیشنهادی برای تحلیل ترافیک شبکه در مقاله ، 9 بهترین آنالایزر Packet / Sniffers Packet for 2019. برای راحتی ، دو ابزار برتر در این بررسی در زیر خلاصه شده است.

ابزار بازرسی و تجزیه و تحلیل SolarWinds Deep Packet (امتحان رایگان)

بازرسی بسته عمیق

SolarWinds فروشگاه بزرگی از ابزارهای نظارت و مدیریت شبکه را تولید می کند. برای آنالیز خروجی آینه کاری بندر ، باید شرکت را در نظر بگیرید بسته های عمیق و آنالیز ابزاری برای بهترین گزینه شماست این بخشی از مانیتور شبکه عملکرد شرکت است که محصول اصلی آن است.

این ابزار قادر به تفسیر داده های منبع می باشد طیف گسترده ای از ابزارهای جمع آوری بسته و به شما امکان می دهد مکان افزایش ترافیک را ببینید. برای ایجاد استراتژی هایی برای بهبود کارایی ، باید به برنامه هایی که بیشترین تقاضا را در شبکه شما ایجاد می کنند ، نگاه کنید. این ابزار تجزیه و تحلیل از این تحقیقات پشتیبانی می کند.

مانیتور عملکرد شبکه ابزاری برتر از خط است و رایگان نیست. با این حال ، شما می توانید یک آزمایش 30 روزه رایگان دریافت کنید. به یاد داشته باشید که گرفتن بسته در واقع گزینه ای امکان پذیر برای نظارت بر تمام ترافیک در همه شبکه شما نیست. در چنین شرایطی ، بهتر است از SolarWinds NetFlow Analyser Traffic Analyser استفاده کنید. این کار Cisco NetFlow عملکرد برای نمونه برداری از ترافیک از شبکه. همچنین قادر به برقراری ارتباط با آن است شبکه های Juniper تجهیزات از طریق جی جریان استاندارد نمونه گیری بسته ، با هواوی دستگاه ها ، با استفاده از NetStream, و همچنین می تواند مستقل از سازنده باشد sFlow و IPFIX سیستم های تحلیل ترافیک. همچنین می توانید در یک آزمایش 30 روزه رایگان ، آنالایزر ترافیک NetFlow را دریافت کنید.

مانیتور عملکرد شبکه و آنالایزر ترافیک NetFlow یک دسته کوچک موسیقی جاز خوب برای تجزیه و تحلیل شبکه ایجاد می کنند زیرا آنها یک دید کلی را به شما می دهند و ابزاری برای بررسی ترافیک بسته های موجود در دستگاه های جداگانه هستند. SolarWinds این دو ابزار را به عنوان شبکه پهنای باند آنالایزر پکیج ارائه می دهد ، که می توانید در یک آزمایش رایگان 30 روزه نیز دریافت کنید.

SolarWinds Deep Packet Inspection and AnalysisDownload 30 روز آزمایشی رایگان

ابزار ضبط بسته های Paessler

paessler-PRTG

Paessler PRTG ابزاری برای نظارت بر شبکه است که از بسیاری از سنسورهای فردی تشکیل شده است. یکی از این ابزارها a سنسور ضبط بسته. این سنسور TAP فیزیکی ندارد؛ در عوض ، به داده های تهیه شده در جریان از سوئیچ های شما متکی است. این ابزار تجسم داده های خوبی را هم برای داده های زنده و هم برای بسته های خوانده شده از ذخیره فایل ارائه می دهد.

نکته جالب در مورد PRTG این است که می تواند لایه های مختلفی از دید را از همان ابزار به شما ارائه دهد. همچنین شامل سنسورهایی است که داده های شبکه را نمونه برداری می کنند و فقط هدرهای بسته را از مکانهای مختلف روی شبکه ضبط می کنند. شما همچنین می توانید مقدار داده را کاهش دهید که باید با مشخص کردن نمونه گیری توسط مانیتور پردازش شود.

PRTG و همچنین حسگر ضربه گیر بسته ، سیستم های نمونه برداری از ترافیک زیر را شامل می شود:

  • یک سنسور NetFlow
  • یک سنسور sFlow
  • یک سنسور J-Flow

با استفاده از این سیستم می توانید از سنسورهای NetFlow ، sFlow و J-Flow استفاده کنید تا کلی از شبکه خود را مرور کنید و سپس به sniffer بسته بروید تا بر روی جریانهای معمولی در یک دستگاه متمرکز شوید. پس از جدا کردن سوئیچ بیش از حد ، می توانید در ورودی بنادر خاصی که ترافیک بیش از حد دارند ، مستقر شوید و به انواع ترافیکی که بر آن غلبه دارد نگاه کنید. با استفاده از این اطلاعات می توانید اقدامات مربوط به شکل دهی به ترافیک را انجام داده و یا برای بازگرداندن نقاط ترافیکی سنگین و گسترش بار ، زیرساخت های بیشتری را اضافه کنید..

سنسور sniffer بسته فقط عناوین داده های ترافیکی را که در اطراف شبکه حرکت می کنند ، پردازش می کند. این استراتژی میزان پردازش مورد نیاز برای جمع آوری معیارهای جریان را کاهش داده و آنالیز سرعت را بسیار بالا می برد.

مسائل مربوط به آینه در بندر

ضبط و ذخیره کامل بسته ممکن است شما را در زمینه محرمانه بودن داده ها با مشکل مواجه کند. اگرچه بیشتر ترافیک عبوری در شبکه شما رمزگذاری می شود ، در صورت مقاصد سایت های خارجی ، همه ترافیک درون خانه رمزگذاری نمی شوند. تا زمانی که سازمان شما تصمیم به ایجاد امنیت اضافی برای ایمیل ها نداشته باشد ، ترافیک نامه در اطراف شبکه شما بصورت پیش فرض رمزگذاری نمی شود.

به عنوان یک روش تحلیل ترافیک جایگزین ، می توانید از NetFlow استفاده کنید. این یک سیستم پیام رسانی است که در تمام دستگاه های سیسکو فعال شده و فقط هدر بسته ها را به یک مانیتور مرکزی منتقل می کند. می توانید در مورد مانیتورهای شبکه که داده های NetFlow را جمع آوری می کنند ، در مقاله 10 بهترین آنالیزورها و جمع کننده های رایگان و حق بیمه NetFlow مطالعه کنید.

هنگامی که اطلاعات لازم را در مورد همه قابلیت های کنترل ترافیک سوئیچ های سیسکو در دست دارید ، در موقعیت بهتری قرار خواهید گرفت تا تصمیم بگیرید از کدام روش ضبط بسته استفاده کنید..

انتخاب استراتژی مناسب برای تحلیل شبکه

امیدوارم این راهنما شما را از مواردی که در مورد آینه کاری بندر احاطه کرده است ، آگاه سازد. اگرچه مواقعی وجود دارد که شما به منظور ارزیابی درست ترافیک شبکه خود ، نمی توانید از پایین آمدن سطح بسته ها جلوگیری کنید ، تحقیقات خود را محدود کنید قبل از اینکه ضبط بسته را به عنوان کار انجام دهید ، با سایر ابزارها ترتیب دهید.

آینه پورت مشکلات خود را دارد - محرمانه بودن داده ها را می شکند و می تواند مقادیر بسیار زیادی از داده ها را تولید کند. روشها را کاوش کنید اطلاعات ترافیک جمع شده به عنوان اولین تحقیق خود و هنگامی که پیوندها را با مشکلات مشخص کردید به آینه بندری بروید. پس از تنظیم معکوس کردن درگاه روی سوئیچ های خود ، حتماً تمام داده ها را در یک ابزار تجزیه و تحلیل قرار دهید تا بتوانید از تمام اطلاعاتی که این استراتژی ایجاد می کند ، استفاده صحیح کنید..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

75 − 69 =

Adblock
detector