ซอฟต์แวร์ตรวจสอบเครือข่ายที่ทันสมัยมีเครื่องมือที่ทันสมัยเช่นการแสดงกราฟิกและเครื่องมือวิเคราะห์ อย่างไรก็ตามจะมีบางครั้งที่คุณจะต้องย้อนกลับไปที่เทคนิคการวิเคราะห์การยึดจับของแพ็กเก็ตขณะเดินทางไปทั่วเครือข่าย การมิเรอร์พอร์ตเป็นเทคนิคการจับแพ็คเก็ต.
การจับแพ็คเก็ตต้องใช้องค์ประกอบฮาร์ดแวร์ซึ่งเรียกว่า TAP (ทดสอบจุดเชื่อมต่อ) โชคดีที่คุณมีฮาร์ดแวร์ที่สามารถรับส่งข้อมูลเครือข่ายทั้งหมดของคุณ: สวิตช์และฮับ คุณสามารถควบคุมความสามารถของอุปกรณ์เหล่านี้เพื่อลดความจำเป็นในการซื้อเซ็นเซอร์อินไลน์แยกหรือตัวแยกสัญญาณไฟจราจร เทคนิคการใช้อุปกรณ์เครือข่ายของคุณเพื่อรับส่งข้อมูลเรียกว่า“มิเรอร์พอร์ต.” คู่มือนี้จะให้ข้อมูลทั้งหมดที่คุณต้องการในการติดตั้งพอร์ตมิเรอร์บนเครือข่ายของคุณ.
>>> ข้ามไปยังรายการเครื่องมือตรวจสอบที่แนะนำด้านล่าง<<<
สลับการประมวลผลข้อมูล
เครือข่ายขนาดเล็กมากจะมีเพียงสวิตช์เดียวหรือฮับ อย่างไรก็ตามมันไม่ได้เติบโตมากในเครือข่ายเพื่อสร้างข้อกำหนดสำหรับสวิตช์อื่น เมื่อคุณมีสวิตช์หลายตัวในเครือข่ายของคุณสวิตช์เหล่านั้นจะเคลื่อนย้ายทราฟฟิกโดยไม่ต้องใช้ช่องสัญญาณแพ็กเก็ตทั้งหมดผ่านจุดศูนย์กลาง.
การกำหนดค่าการกระจายอำนาจนี้หมายความว่าคุณไม่สามารถเลือกสวิตช์บนเครือข่ายเดียวสำหรับการรวบรวมข้อมูลหากคุณต้องการ ปริมาณการใช้ตัวอย่าง จากข้อมูลทั้งหมดของคุณ เนื่องจากสวิตช์อื่น ๆ ในเครือข่ายของคุณจะแลกเปลี่ยนการรับส่งข้อมูลระหว่างสวิตช์ที่ไม่จำเป็นต้องทำการส่งสัญญาณผ่านอุปกรณ์ที่คุณเลือก อย่างไรก็ตามปัญหานี้ก็จะเกิดขึ้นเช่นกันหากคุณเลือกที่จะใช้ TAP เป็นเครื่องมือจับแพ็คเก็ต.
เมื่อจับภาพการรับส่งข้อมูลเครือข่ายคุณต้องตัดสินใจว่าความต้องการของคุณสามารถทำได้โดยแพ็กเก็ตที่ผ่านจุดหนึ่งหรือไม่หรือคุณต้องเห็นพฤติกรรมการรับส่งข้อมูลเครือข่ายทั้งหมดในเครือข่ายทั้งหมดพร้อมกัน.
ในความเป็นจริงเป็นไปได้มากกว่าที่คุณจะต้องดูปริมาณการใช้ต่อการเชื่อมโยง ในสถานการณ์ดังกล่าวคุณอาจจะพยายามดูว่าทำไมหนึ่งลิงก์ในเครือข่ายของคุณมีการใช้งานมากเกินไปและการรับส่งข้อมูลประเภทใดที่คุณสามารถเปลี่ยนเส้นทางหรือเค้นเพื่อแก้ไขปัญหา.
แม้ว่าคุณอาจต้องการ ดูการรับส่งข้อมูลเครือข่ายทั้งหมด, การจับภาพทั้งหมดในครั้งเดียวในไม่ช้าก็กลายเป็นเป้าหมายที่ทะเยอทะยาน หากคุณสามารถจับแพ็คเก็ตเครือข่ายทั้งหมดคุณจะได้รับข้อมูลที่รวบรวมทั้งหมด.
เพื่อประเมินประสิทธิภาพเครือข่ายของคุณอย่างถูกต้องคุณจะจัดหมวดหมู่ปริมาณการใช้งานทั้งหมดโดยอุปกรณ์เครือข่ายอยู่แล้วดังนั้นจึงเป็นการดีกว่าที่จะใช้พอร์ตมิเรอร์บนอุปกรณ์แบบอุปกรณ์ต่ออุปกรณ์ เครื่องมืออื่น ๆ เหมาะสมกว่าที่จะให้คุณเห็นเครือข่ายทั้งหมด ในกรณีเหล่านี้คุณควรใช้ NetFlow ในการสุ่มตัวอย่างข้อมูลจากหลายจุดเครือข่ายพร้อมกัน คุณจะต้องมีเครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่ายที่ซับซ้อน รวมและสรุป ข้อมูลการจราจรทั้งหมด.
เกี่ยวกับพอร์ตมิเรอร์
การทำมิเรอร์พอร์ตเสนอวิธีการทำซ้ำทราฟฟิกเครือข่ายและนำสำเนาไปยังที่เก็บข้อมูล ในตัวแยกคุณใช้อุปกรณ์ที่ ทำซ้ำปริมาณการใช้ทั้งหมด ด้วยหนึ่งสำเนาดำเนินการต่อไปยังปลายทางที่ตั้งใจไว้และอีกรายการหนึ่งแสดงบนหน้าจอหรือไปที่ไฟล์ ด้วยการมิเรอร์พอร์ตคุณใช้เทคนิคเดียวกันทั้งหมด แต่คุณเปลี่ยนการตั้งค่าสวิตช์เพื่อสร้างฟังก์ชันการทำสำเนาข้อมูลจึงไม่จำเป็นต้องติดตั้งอุปกรณ์ทางกายภาพแยกต่างหาก.
คำสั่งการมิเรอร์พอร์ตบอกให้สวิตช์ส่งสำเนาของทราฟฟิกไปยังพอร์ตเฉพาะ วิธีการนั้นมีตัวเลือกมากมายให้คุณเลือก เลือกการเข้าชมเฉพาะ เริ่มต้นจากหรือเดินทางไปยังที่อยู่ที่ระบุหรือเลือกที่จะคัดลอกปริมาณข้อมูลทั้งหมด เมื่อสวิตช์แยกทราฟฟิกที่ต้องการทั้งหมดที่คุณต้องทำคือรวบรวมแพ็กเก็ตที่ส่งไปยังพอร์ตที่กำหนดเป็นจุดส่งข้อมูล.
สวิตช์และฮับ
ลิงค์, หรือ “กระโดด,” บนเครือข่ายเป็นการเชื่อมต่อระหว่างอุปกรณ์สองเครื่อง ลิงก์อาจเป็นส่วนขยายสุดท้ายที่เชื่อมต่อ ปลายทาง, หรืออาจจะอยู่ระหว่างสอง อุปกรณ์เครือข่าย. จะมีอุปกรณ์เครือข่ายอยู่เสมอที่ปลายด้านหนึ่งของลิงก์ สำหรับการรับส่งข้อมูลภายในเครือข่ายอุปกรณ์นั้นจะเป็น สวิตซ์ หรือ ดุม.
ฮับส่งการรับส่งข้อมูลทั้งหมดที่ได้รับจากการเชื่อมต่อหนึ่งไปยังการเชื่อมต่อทั้งหมด ไม่ได้สนใจที่อยู่ปลายทางของแพ็กเก็ตที่เข้ามา สวิตช์เลือกได้มากกว่าเพราะมัน ตรวจสอบส่วนหัวของแพ็กเก็ต และส่งต่อไปยังพอร์ตที่ระบุไว้สำหรับที่อยู่นั้น สายเคเบิลที่เชื่อมต่อกับพอร์ตปลายทางนั้นอาจไม่นำไปสู่จุดปลายทางที่ระบุโดยที่อยู่นั้น หากมีอุปกรณ์เครือข่ายอื่นระหว่างสวิตช์นั้นและปลายทางสายเคเบิลที่รับข้อมูลที่เคลื่อนไหวจะนำไปสู่อุปกรณ์ระดับกลางนั้นซึ่งในทางกลับกันจะส่งต่อต่อไป.
โชคดีสำหรับการดักจับแพ็กเก็ตสวิตช์และฮับจะไม่ปลอมลิงก์ทางกายภาพชั่วคราวระหว่างแหล่งต้นทางและพอร์ตปลายทางในการเชื่อมต่อ แทน, อุปกรณ์รวบรวมข้อมูลที่เข้ามา. มันแล้ว สร้างสำเนาที่แน่นอนของข้อมูลนั้น และนำไปใช้กับพอร์ตปลายทาง ในกรณีของฮับการกระทำนี้ สร้างการทำซ้ำ. ตัวอย่างเช่นหากฮับได้รับแพ็คเก็ตบนหนึ่งในสิบพอร์ตมันจะส่งแพ็กเก็ตเดียวกันนั้นออกไปบนพอร์ตเก้าพอร์ตอื่นทั้งหมด.
ดังนั้นหนึ่งแพ็คเก็ตกลายเป็นเก้าสำเนา สวิตช์ทำสิ่งเดียวกันกับแพ็คเก็ตที่ทำเครื่องหมายไว้ ออกอากาศ. การรับส่งข้อมูลที่เดินทางไปยังปลายทางหนึ่งจะถูกคัดลอกไปยังพอร์ตที่สวิตช์ระบุไว้สำหรับที่อยู่นั้นเท่านั้น ดังนั้นจึงยังคงมีเพียงหนึ่งอินสแตนซ์ของข้อมูลนั้นที่เดินทางออกจากสวิตช์.
การทำซ้ำของแพ็กเก็ตที่ดำเนินการโดยสวิตช์และเราเตอร์นั้นเหมือนกับงานที่ดำเนินการโดยตัวแยกสัญญาณข้อมูล.
การมิเรอร์พอร์ตด้วยฮับ
อย่างที่คุณเห็นจากคำอธิบายวิธีการทำงานของสวิตช์และฮับ, ฮับจะทำซ้ำปริมาณการรับส่งข้อมูลทั้งหมดโดยอัตโนมัติ. ดังนั้นหากคุณมีฮับบนเครือข่ายของคุณเท่านั้นมันเป็นเรื่องง่ายมากที่จะได้รับสำเนาของปริมาณข้อมูลทั้งหมดที่ไหลเวียนอยู่ภายใน ฮับส่งปริมาณข้อมูลทั้งหมดไปยังปลายทางทั้งหมด หากการรับส่งข้อมูลนั้นต้องเดินทางผ่านอุปกรณ์เครือข่ายอื่น ๆ เพื่อไปถึงจุดปลายบนเครือข่ายนั่นจะไม่ปิดกั้นการรับส่งข้อมูลที่ไปยังปลายทางเหล่านั้นหากอุปกรณ์ระดับกลางเป็นฮับด้วย.
เมื่อคอมพิวเตอร์ของคุณเชื่อมต่อกับหนึ่งในฮับในเครือข่ายการรับส่งข้อมูลทั้งหมดในเครือข่ายจะถูกส่งไปยังคอมพิวเตอร์ของคุณโดยอัตโนมัติโดยไม่ต้องเปลี่ยนการตั้งค่าของฮับ อย่างไรก็ตามคอมพิวเตอร์ของคุณจะไม่ได้รับข้อมูลปริมาณการใช้งานทั้งหมด.
เฟิร์มแวร์ในการ์ดเครือข่ายของคอมพิวเตอร์ของคุณมีรหัสระบุไว้ซึ่งเป็นรหัส: หมายเลขทางกายภาพ, ซึ่งหมายถึง“ควบคุมการเข้าถึงสื่อ.” การ์ดเครือข่ายจะตอบสนองต่อข้อความที่มาถึงที่มีที่อยู่ MAC นั้นเท่านั้น อื่น ๆ ทั้งหมดจะถูกละเว้น คิดว่าการ์ดเครือข่ายเป็นคนเฝ้าประตูที่สโมสรส่วนตัว ผู้ที่เดินทางมาถึงจะต้องให้รหัสผ่านเพื่อเข้าใช้ ผู้ที่ไม่มีรหัสผ่านจะถูกบล็อกไม่ให้เข้า ที่อยู่ MAC คือรหัสผ่านนั้น.
หากคุณต้องการดูการรับส่งข้อมูลทั้งหมดบนเครือข่ายที่ติดตั้งฮับทั้งหมดสิ่งที่คุณต้องทำคือแจ้งให้การ์ดเครือข่ายลดความต้องการที่อยู่ MAC ของตัวเอง ในคำศัพท์เครือข่ายการตั้งค่านี้เรียกว่า“โหมดสำส่อน.”
ผู้สอนจะยืนยันว่าการวางการ์ดเครือข่ายของคุณในโหมดที่หลากหลายนั้นไม่ใช่ “การทำมิเรอร์พอร์ต” เนื่องจากการ์ดเครือข่ายของคุณไม่ได้ทำซ้ำแพ็คเก็ต พวกเขาบอกว่าการ์ดเพิ่งวางข้อกำหนดสำหรับที่อยู่ MAC ของตนเพื่อรับรู้แพ็กเก็ตที่มาถึงและส่งต่อไปยังแอปพลิเคชันบนคอมพิวเตอร์.
ในความเป็นจริง “การทำมิเรอร์พอร์ตบนฮับ” เป็นแนวคิดที่ซ้ำซ้อนเพราะฮับทำซ้ำแพ็กเก็ตทั้งหมดโดยค่าเริ่มต้น โดยทั่วไปคำว่า“ การมิเรอร์พอร์ต” จะใช้กับสวิตช์เท่านั้น.
การมิเรอร์พอร์ตด้วยสวิตช์
เมื่อสวิตช์ได้รับแพ็คเก็ตมันจะอ้างอิงที่อยู่ปลายทางในส่วนหัวของดาตาแกรม จากนั้นจะทำสำเนาของแพ็คเก็ตและส่งเวอร์ชั่นใหม่นั้นออกมาที่หมายเลขพอร์ตที่เกี่ยวข้องกับที่อยู่ MAC นั้น.
ในการดำเนินงานมาตรฐานซึ่งเรียกว่า“unicast,” หนึ่งสำเนาเท่านั้นที่ทำจากข้อความขาเข้าและนั่นจะถูกส่งออกไปที่พอร์ตเดียวเท่านั้น. สวิตช์มีความสามารถในการทำซ้ำการรับส่งข้อมูล, อย่างไรก็ตาม ตัวอย่างเช่นเมื่อสวิตช์ได้รับข้อความออกอากาศมันจะทำสำเนาจำนวนเดียวกันกับจำนวนพอร์ตที่ใช้งานและส่งสำเนาหนึ่งชุดในแต่ละพอร์ตเหล่านั้น สวิทช์ยังมี“หลายผู้รับความสามารถ” ซึ่งต้องการให้พวกเขาสร้างสำเนาจำนวน จำกัด.
เนื่องจากสวิตช์ทั้งหมดได้รับการโปรแกรมด้วยความสามารถในการจัดการข้อความออกอากาศและมัลติคาสต์งานการทำแพ็กเก็ตที่ซ้ำกันจึงไม่ได้แสดงปัญหาฮาร์ดแวร์ โดยหลักการแล้วการได้สวิตช์ของคุณเพื่อทำแพ็กเก็ตซ้ำต้องใช้งานน้อยมาก:
- สวิทช์ได้รับคำสั่งให้ทำสำเนาการรับส่งข้อมูลทั้งหมด.
- สวิตช์จะส่งทราฟฟิกทั้งหมดไปยังปลายทางที่ต้องการ.
- สวิตช์ส่งสำเนาการรับส่งข้อมูลทั้งหมดไปยังพอร์ตที่ระบุ.
- คุณรวบรวมทราฟฟิกทั้งหมดที่พอร์ตที่ระบุ.
การรับแพ็คเก็ตทั้งหมดที่ทำซ้ำการเดินทางผ่านสวิตช์เป็นงานที่ง่ายมากและไม่ใช้ความพยายามในการประมวลผลพิเศษอย่างมากในส่วนของอุปกรณ์ หากคุณต้องการตรวจสอบแพ็กเก็ตที่เดินทางผ่านสวิตช์เฉพาะคุณเพียงแค่ต้องบอกให้ทำซ้ำการรับส่งข้อมูลทั้งหมดนั้นและส่งไปยังพอร์ตและบอกให้ เชื่อมโยงที่อยู่ MAC ของคอมพิวเตอร์ของคุณกับหมายเลขพอร์ตที่กำหนด. จากนั้นคุณต้องใส่การ์ดเครือข่ายของคอมพิวเตอร์ของคุณเข้าสู่โหมดที่หลากหลายเพื่อให้แน่ใจว่าจะรับการรับส่งข้อมูลทั้งหมดไม่ใช่เฉพาะดาตาแกรมที่มีที่อยู่ MAC ในนั้น.
ทำซ้ำการรับส่งข้อมูลเครือข่ายทั้งหมด
วิธีแก้ปัญหาข้างต้นเป็นเวอร์ชั่นที่เรียบง่ายของสิ่งที่เกิดขึ้นจริงในสวิตช์เมื่อทำการจำลองพอร์ต ในความเป็นจริงงานนั้นซับซ้อนกว่าเล็กน้อย ตัวอย่างเช่นมันจะไม่สะดวกที่จะต้องเชื่อมต่อคอมพิวเตอร์ของคุณโดยตรงด้วยสายเคเบิลไปยังสวิทช์เพื่อรับปริมาณการใช้งานทั้งหมด ในสมัยก่อนนั้นเป็นความต้องการของตัววิเคราะห์ LAN และการเชื่อมต่อเฉพาะสถานที่ยังคงเป็นคุณสมบัติที่สำคัญของ TAP ของเครือข่าย.
ต้องขอบคุณเทคโนโลยีการกำหนดเส้นทางการทำมิเรอร์พอร์ตที่ทันสมัยจึงมีความซับซ้อนมากขึ้น. คุณสามารถตรวจสอบการจราจรที่ผ่านสวิตช์ใดก็ได้ในโลก, ตราบเท่าที่สวิตช์นั้นสามารถเข้าถึงได้จากตำแหน่งของคุณผ่านเครือข่ายหรืออินเทอร์เน็ต คุณไม่จำเป็นต้องเชื่อมต่อคอมพิวเตอร์ของคุณกับสวิตช์นั้น เมื่อเดินทางผ่านอินเทอร์เน็ตการทำมิเรอร์พอร์ตจะมีความซับซ้อนเพิ่มขึ้นเล็กน้อยเนื่องจากดาตาแกรมต้องการแพ็คเกจเพิ่มเติมที่เลเยอร์เครือข่ายอินเทอร์เน็ต สำหรับคำแนะนำนี้เราจะจัดการกับการมิเรอร์พอร์ตจากภายในเครือข่ายเท่านั้น.
สวิตช์ส่วนใหญ่มีความสามารถในการส่งแพ็คเก็ตที่ถูกจับข้ามเครือข่ายเดินทางผ่านอุปกรณ์เครือข่ายอื่น ๆ ผู้ผลิตสวิตช์แต่ละรายผลิตเฟิร์มแวร์ของตนเองสำหรับสวิตช์และเมนูคอนโซลการจัดการแตกต่างกันไป สำหรับวัตถุประสงค์ของคู่มือนี้เราจะมุ่งเน้นไปที่วิธีการที่ใช้ ระบบของซิสโก้ เพื่อทำให้พอร์ตมิเรอร์พร้อมใช้งานบนสวิตช์เครือข่าย.
เกี่ยวกับสวิตช์ Cisco SPAN
สิ่งอำนวยความสะดวกในการมิเรอร์พอร์ตสวิตช์ของ Cisco นั้นเรียกว่า SPAN. สิ่งนี้หมายถึง ตัววิเคราะห์พอร์ตที่สลับ. SPAN มอบความสามารถทั้งหมดให้คุณในการจับแพ็คเก็ตบนสวิตช์ Cisco ไม่ว่าคุณจะเชื่อมต่อโดยตรงกับสวิตช์นั้นหรือไม่ก็ตาม อย่างไรก็ตามคุณต้องมีพอร์ตสำรองบนสวิตช์ที่สามารถเป็นจุดรวบรวมสำหรับแพ็กเก็ตที่ทำซ้ำ.
ในคำศัพท์ SPAN คำว่า“พอร์ตต้นทาง” เป็นพอร์ตที่มีการรับส่งข้อมูลซ้ำซ้อน “พอร์ตปลายทาง” คือที่อยู่ของพอร์ตที่ส่งแพ็คเก็ตที่ซ้ำกันเพื่อรวบรวม ใช้ความระมัดระวังเป็นอย่างยิ่งที่จะจดจำคำศัพท์ที่โดดเด่นเหล่านี้เพราะคุณจะถูกอ้างถึงคำศัพท์เครือข่ายแบบดั้งเดิมที่คุณกำลังดูที่แพ็กเก็ตที่เรียกใช้จากพอร์ตต้นทางไปยังพอร์ตปลายทาง.
ระบบ SPAN สามารถมอนิเตอร์หนึ่งพอร์ตหรือหลายพอร์ต นอกจากนี้ยังเป็นไปได้ที่จะระบุทิศทางของการรับส่งข้อมูลที่พอร์ตนั้นโดยให้คุณมีเพียงการไหลเข้าเท่านั้นการไหลออกหรือทั้งสองอย่าง อย่างไรก็ตามหากคุณตรวจสอบพอร์ตจำนวนหนึ่งพร้อมกันพวกเขาทั้งหมดจะต้องได้รับการตรวจสอบทิศทางการไหลของข้อมูลเดียวกัน.
คุณไม่สามารถระบุพอร์ตจากและไปยังพอร์ตที่จะจับภาพได้ (เช่นรับเฉพาะทราฟฟิกที่มาถึงพอร์ตเฉพาะที่ออกจากพอร์ตเฉพาะ) หากนี่คือฟังก์ชั่นที่คุณกำลังมองหา, เลือกพอร์ตการไหลเข้า และจับแพ็คเก็ตที่ได้รับทั้งหมดที่นั่น จากนั้นคุณสามารถกรองทราฟฟิกทั้งหมดยกเว้นสิ่งที่เหลืออยู่บนพอร์ตที่สนใจส่งเมื่อคุณมีข้อมูลทั้งหมดใน ซอฟต์แวร์การวิเคราะห์.
ในเซสชันคุณสามารถมอนิเตอร์พอร์ตหรือมอนิเตอร์ VLANs – คุณไม่สามารถครอบคลุมทั้งสองพอร์ตได้ในคราวเดียว.
โหมด Cisco SPAN
Cisco SPAN ช่วยให้คุณสามารถจับแพ็คเก็ตได้สามโหมด:
- ช่วงท้องถิ่น: ตรวจสอบปริมาณการใช้งานบนสวิตช์ที่คุณเชื่อมต่อโดยตรง.
- SPAN ระยะไกล (RSPAN): ตรวจสอบปริมาณการใช้งานบนพอร์ตระยะไกล แต่รับแพ็คเก็ตที่จับได้ที่ส่งไปยังพอร์ตบนสวิตช์โลคัลของคุณเพื่อรวบรวม.
- SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN): กระบวนการเดียวกับ RSPAN ยกเว้นว่าการถ่ายโอนแพ็กเก็ตที่มิร์เรอร์ไปยังสวิตช์โลคัลของคุณนั้นจะถูกดำเนินการโดยการห่อหุ้ม GRE.
ตัวเลือก RSPAN ไม่สามารถใช้ได้กับสวิตช์ Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 และ 2900XL.
ความพร้อมใช้งานของ Cisco SPAN
SPAN มีให้ในทุกรุ่นสวิตช์ของ Cisco ดังต่อไปนี้:
Catalyst Express 500/520 ซีรี่ส์
- Catalyst 1900 Series
- Catalyst 2900XL Series
- Catalyst 2940 Series
- ตัวเร่งปฏิกิริยา 2948G-L2, 2948G-GE-TX, 2980G-A
- Catalyst 2950 Series
- Catalyst 2955 Series
- Catalyst 2960 Series
- Catalyst 2970 Series
- Catalyst 3500 XL Series
- Catalyst 3550 Series
- Catalyst 3560 / 3560E / 3650X ซีรี่ส์
- Catalyst 3750 / 3750E / 3750X ซีรี่ส์
- Catalyst 3750 Metro Series
- Catalyst 4500/4000 Series
- Catalyst 4900 Series
- Catalyst 5500/5000 ซีรี่ส์
- Catalyst 6500/6000 ซีรี่ส์
น่าเสียดายที่ชุดคำสั่งไม่เหมือนกันในทุกสวิตช์ นี่เป็นส่วนใหญ่เนื่องจาก บริษัท มีเฟิร์มแวร์พิเศษสำหรับอุปกรณ์ Catalyst บางตัวซึ่งเรียกว่า CatOS. สวิตช์ Cisco อื่น ๆ ใช้ระบบปฏิบัติการที่เรียกว่า IOS, ซึ่งไม่เหมือนกับระบบปฏิบัติการ iOS ที่ใช้โดยอุปกรณ์ Apple.
สวิตช์ Cisco บางตัวไม่มีความสามารถในการมิเรอร์พอร์ตเนทีฟ แต่มียูทิลิตีฟรีที่คุณสามารถใช้ได้ในสถานการณ์เหล่านี้ซึ่งคุณจะอ่านได้เร็ว ๆ นี้.
ตั้งค่า SPAN บนสวิตช์ IOS
สำหรับสวิตช์รุ่นที่มีเฟิร์มแวร์ IOS คุณจะต้องไปที่ระบบปฏิบัติการของอุปกรณ์และออกคำสั่งเพื่อระบุพอร์ต SPAN และพอร์ตที่จะตรวจสอบ งานนี้ดำเนินการโดยคำสั่งสองบรรทัด หนึ่งต้องการที่จะ ระบุแหล่งที่มา, ซึ่งหมายถึงพอร์ตที่จะมีปริมาณข้อมูลที่จำลองแบบและอื่น ๆ ให้หมายเลขพอร์ตที่เชื่อมต่อกับดมกลิ่น – นี่คือบรรทัดปลายทาง.
มอนิเตอร์แหล่งเซสชัน รีโมต vlan] [rx | tx | ทั้ง]
ตรวจสอบอินเตอร์เฟสปลายทางเซสชัน
เมื่อคุณกำหนดกระจกเสร็จแล้วคุณต้องกด CTRL-Z เพื่อสิ้นสุดนิยามการกำหนดค่า.
หมายเลขเซสชันช่วยให้คุณสามารถสร้างจอภาพที่แตกต่างกันหลายตัวทำงานพร้อมกัน หากคุณใช้หมายเลขเซสชันเดียวกันในคำสั่งที่ตามมาคุณจะยกเลิกการติดตามดั้งเดิมและแทนที่ด้วยข้อกำหนดใหม่. ช่วงพอร์ตถูกกำหนดโดยเส้นประ (“ -“) และลำดับของพอร์ตจะถูกคั่นด้วยเครื่องหมายจุลภาค (“,”).
องค์ประกอบสุดท้ายในบรรทัดคำสั่งสำหรับพอร์ตต้นทาง (พอร์ตที่จะตรวจสอบ) เป็นข้อมูลจำเพาะว่าสวิทช์ควรทำซ้ำแพ็กเก็ตที่ส่งหรือไม่ จากทั้งพอร์ต, หรือ ทั้งสอง.
ตั้งค่า SPAN บนสวิตช์ CatOS
ช่วง Catalyst ล่าสุดจะมาพร้อมกับระบบปฏิบัติการรุ่นใหม่ที่เรียกว่า CatOS, แทนระบบปฏิบัติการ IOS รุ่นเก่า คำสั่งที่ใช้ในการตั้งค่าการทำมิเรอร์ SPAN ในสวิตช์เหล่านี้แตกต่างกันเล็กน้อย ด้วยระบบปฏิบัติการนี้คุณสร้างการมิเรอร์ด้วยคำสั่งเดียวแทนที่จะเป็นสองคำสั่ง.
กำหนดช่วง [rx | tx | ทั้งสอง]
[inpkts]
[การเรียนรู้]
[มัลติคาสต์]
[ตัวกรอง]
[สร้าง]
พอร์ตต้นทางถูกกำหนดโดยองค์ประกอบแรกในคำสั่งนี้ซึ่งเป็น“src_mod / src_ports” ส่วนหนึ่ง ตัวระบุพอร์ตที่สองของคำสั่งนั้นจะถูกอ่านโดยอัตโนมัติว่าเป็นพอร์ตปลายทางนั่นคือพอร์ตที่แพ็กเก็ตดมกลิ่นแนบอยู่ “rx | tx | ทั้งสององค์ประกอบ” บอกสวิตช์เพื่อทำซ้ำแพ็กเก็ตที่ส่ง จากทั้งพอร์ต, หรือ ทั้งสอง.
นอกจากนี้ยังมีคำสั่ง set span เพื่อปิดการมิเรอร์:
กำหนดช่วงปิดการใช้งาน [dest_mod / dest_port | ทั้งหมด]
ตั้งค่า SPAN บนสวิตช์ Catalyst Express 500 และ Catalyst Express 520
หากคุณมีสวิตช์ Catalyst Express 500 หรือ Catalyst Express 520 คุณจะไม่ป้อนการตั้งค่า SPAN ที่ระบบปฏิบัติการ ในการสื่อสารกับสวิตช์และเปลี่ยนการตั้งค่าคุณต้องติดตั้ง Cisco Network Assistant (CNA) ซอฟต์แวร์การจัดการเครือข่ายนี้ฟรีและทำงานบนสภาพแวดล้อม Windows ทำตามขั้นตอนเหล่านี้เพื่อให้ SPAN เปิดใช้งานบนสวิตช์.
- ล็อกอินเข้าสวิตช์ผ่านอินเตอร์เฟส CNA.
- เลือก Smartports ตัวเลือกใน CNA เมนู. สิ่งนี้จะแสดงกราฟิกที่แสดงถึงอาร์เรย์พอร์ตของสวิตช์.
- คลิกที่พอร์ตที่คุณต้องการเชื่อมต่อแพ็คเก็ตดมกลิ่นและเลือก ปรับเปลี่ยน ตัวเลือก นี่จะเป็นการเปิดหน้าต่างป็อปอัพขึ้นมา.
- เลือก การวินิจฉัย ใน บทบาท รายการและเลือกพอร์ตที่จะตรวจสอบการจราจรจาก แหล่ง รายการแบบหล่นลง หากคุณต้องการมอนิเตอร์ VLAN โดยเฉพาะให้เลือกจาก VLAN ที่เข้ามา รายการ. หากคุณไม่ได้ตั้งใจจะดูปริมาณข้อมูลสำหรับ VLAN ให้ปล่อยค่านี้ไว้ที่ค่าเริ่มต้น คลิกที่ ตกลง เพื่อบันทึกการตั้งค่า.
- คลิกที่ ตกลง แล้ว ใช้ ใน Smartports จอภาพ.
ปัญหาอย่างหนึ่งของวิธีการ CNA ก็คือซอฟต์แวร์นั้นจะทำงานได้เฉพาะใน Windows เวอร์ชั่นสูงสุดเท่านั้น วินโดว 7.
การประมวลผลแพ็คเก็ตจับ
การทำมิเรอร์พอร์ตที่ติดตั้งบนสวิตช์ของคุณจะไม่เก็บหรือวิเคราะห์แพ็กเก็ตที่ดักจับไว้ คุณสามารถใช้ได้ ซอฟต์แวร์การวิเคราะห์เครือข่ายใด ๆ เพื่อประมวลผลแพ็กเก็ตที่ส่งไปยังอุปกรณ์ของคุณ.
ปัญหาสำคัญที่คุณจะต้องจดจำเมื่อคุณจับแพ็กเก็ตคือคุณจะต้องจัดการกับข้อมูลจำนวนมาก การถ่ายโอนข้อมูลข้อความดิบของการรับส่งข้อมูลผ่านเครือข่ายแทบเป็นไปไม่ได้เลยหากไม่มีเครื่องมือดูข้อมูล นี่คือเครื่องมือเข้าถึงข้อมูลประเภทที่ต่ำที่สุดที่คุณควรพิจารณา โปรแกรมอรรถประโยชน์การวิเคราะห์ทราฟฟิกแบบเต็มจะดียิ่งขึ้นกว่าเดิม.
คุณสามารถดูรายการที่ครอบคลุมของ เครื่องมือวิเคราะห์ปริมาณการใช้เครือข่ายที่แนะนำ ในบทความ 9 สุดยอด Packet Analyzers / Packet Sniffers สำหรับ [year] เพื่อความสะดวกเครื่องมือสองอันดับแรกในการตรวจสอบสรุปได้ดังนี้.
เครื่องมือตรวจสอบและวิเคราะห์ SolarWinds Deep Packet (ทดลองฟรี)
SolarWinds ผลิตแคตตาล็อกขนาดใหญ่ของเครื่องมือตรวจสอบและจัดการเครือข่าย สำหรับการวิเคราะห์ผลลัพธ์ของการมิเรอร์พอร์ตคุณควรพิจารณา บริษัท แพ็คเก็ตลึกและการวิเคราะห์ เครื่องมือที่จะเป็นตัวเลือกที่ดีที่สุดของคุณ นี่เป็นส่วนหนึ่งของ Network Performance Monitor ของ บริษัท ซึ่งเป็นผลิตภัณฑ์กลาง.
เครื่องมือนี้สามารถตีความข้อมูลที่มาจาก เครื่องมือรวบรวมแพ็คเก็ตที่หลากหลาย และจะช่วยให้คุณเห็นว่าการจราจรเกิดขึ้นได้ที่ไหน คุณต้องดูแอปพลิเคชันที่สร้างความต้องการส่วนใหญ่ในเครือข่ายของคุณเพื่อสร้างกลยุทธ์เพื่อปรับปรุงประสิทธิภาพ เครื่องมือวิเคราะห์นี้สนับสนุนการตรวจสอบเหล่านั้น.
การตรวจสอบประสิทธิภาพเครือข่ายเป็นเครื่องมือระดับแนวหน้าซึ่งไม่ได้ฟรี อย่างไรก็ตามคุณสามารถทดลองใช้ฟรี 30 วัน โปรดจำไว้ว่าการจับแพ็คเก็ตไม่ใช่ตัวเลือกที่เป็นไปได้จริง ๆ ในการตรวจสอบปริมาณการใช้งานทั้งหมดในเครือข่ายของคุณทั้งหมด สำหรับสถานการณ์เหล่านั้นคุณน่าจะดีขึ้นด้วยตัววิเคราะห์ปริมาณการใช้งาน SolarWinds NetFlow พนักงานคนนี้ Cisco NetFlow ฟังก์ชั่นเพื่อสุ่มตัวอย่างปริมาณการใช้ข้อมูลจากเครือข่าย นอกจากนี้ยังสามารถสื่อสารกับ จูนิเปอร์เน็ตเวิร์ค อุปกรณ์ผ่าน J-Flow มาตรฐานการสุ่มตัวอย่างแพ็คเก็ตด้วย หัวเว่ย อุปกรณ์ที่ใช้ NetStream, และยังสามารถใช้ผู้ผลิตอิสระ sFlow และ IPFIX ระบบการวิเคราะห์การจราจร คุณยังสามารถรับ NetFlow Traffic Analyzer ในช่วงทดลองฟรี 30 วัน.
การตรวจสอบประสิทธิภาพเครือข่ายและเครื่องวิเคราะห์ปริมาณการใช้ NetFlow สร้างคอมโบที่ดีสำหรับการวิเคราะห์เครือข่ายเพราะจะให้มุมมองภาพรวมและเครื่องมือในการตรวจสอบปริมาณการใช้แพ็คเก็ตที่ทำงานผ่านอุปกรณ์แต่ละชิ้น SolarWinds นำเสนอเครื่องมือทั้งสองนี้ร่วมกันเป็น Network Bandwidth Analyzer Pack ซึ่งคุณสามารถทดลองใช้ฟรี 30 วัน.
SolarWinds Deep Packet การตรวจสอบและวิเคราะห์ดาวน์โหลดทดลองใช้ฟรี 30 วัน
เครื่องมือจับภาพ Paessler Packet
Paessler PRTG เป็นเครื่องมือตรวจสอบเครือข่ายที่ประกอบด้วยเซ็นเซอร์หลายตัว หนึ่งในเครื่องมือเหล่านี้คือ เซ็นเซอร์ตรวจจับแพ็คเก็ต. เซ็นเซอร์นี้ไม่ได้มาพร้อมกับ TAP จริง แต่จะอาศัยข้อมูลที่ให้ในสตรีมจากสวิตช์ของคุณแทน เครื่องมือนี้นำเสนอการสร้างภาพข้อมูลที่ยอดเยี่ยมสำหรับทั้งข้อมูลสดและแพ็คเก็ตที่อ่านจากที่เก็บไฟล์.
สิ่งที่ยอดเยี่ยมเกี่ยวกับ PRTG ก็คือมันสามารถให้ชั้นการมองเห็นที่แตกต่างจากภายในเครื่องมือเดียวกัน นอกจากนี้ยังมีเซ็นเซอร์ที่สุ่มตัวอย่างข้อมูลเครือข่ายโดยจับเฉพาะส่วนหัวแพ็คเก็ตจากตำแหน่งต่างๆในเครือข่าย นอกจากนี้คุณยังสามารถ ลดปริมาณข้อมูล ที่ต้องดำเนินการโดยจอภาพโดยการสุ่มตัวอย่าง.
เช่นเดียวกับเซ็นเซอร์ตรวจจับแพ็คเก็ต PRTG รวมถึงระบบการสุ่มตัวอย่างปริมาณการใช้งานต่อไปนี้:
- เซ็นเซอร์ NetFlow
- เซ็นเซอร์ sFlow
- เซ็นเซอร์ J-Flow
ด้วยระบบนี้คุณสามารถใช้เซ็นเซอร์ NetFlow, sFlow และ J-Flow เพื่อดูภาพรวมของเครือข่ายทั้งหมดของคุณจากนั้นไปที่แพ็กเก็ตดมกลิ่นเพื่อมุ่งเน้นกระแสทั่วไปที่อุปกรณ์หนึ่ง เมื่อคุณแยกสวิตช์ที่โอเวอร์โหลดแล้วคุณสามารถกลับมาที่พอร์ตเฉพาะที่มีการรับส่งข้อมูลมากเกินไปและดูประเภทของการรับส่งข้อมูลที่ครอบงำได้ ด้วยข้อมูลนี้คุณสามารถใช้การวัดปริมาณการใช้ข้อมูลหรือเลือกเพิ่มโครงสร้างพื้นฐานเพิ่มเติมเพื่อเปลี่ยนเส้นทางจุดรับส่งข้อมูลจำนวนมากและกระจายภาระ.
เซ็นเซอร์แพ็คเก็ตดมกลิ่นจะประมวลผลเฉพาะส่วนหัวของดาตาแกรมข้อมูลการเดินทางที่เดินทางผ่านเครือข่าย กลยุทธ์นี้ช่วยลดปริมาณการประมวลผลที่จำเป็นในการรวมตัวชี้วัดการไหลและการวิเคราะห์ความเร็วสูงอย่างมาก.
ปัญหาการมิเรอร์พอร์ต
การจับและการจัดเก็บแพ็คเก็ตแบบเต็มอาจทำให้คุณประสบปัญหากับการรักษาความลับของข้อมูล แม้ว่าการรับส่งข้อมูลส่วนใหญ่ที่ผ่านเครือข่ายของคุณจะถูกเข้ารหัสหากถูกกำหนดไว้สำหรับไซต์ภายนอกการรับส่งข้อมูลภายในจะไม่ถูกเข้ารหัสทั้งหมด เว้นแต่องค์กรของคุณตัดสินใจที่จะใช้ความปลอดภัยเพิ่มเติมสำหรับอีเมลปริมาณการใช้งานจดหมายในเครือข่ายของคุณจะไม่ถูกเข้ารหัสตามค่าเริ่มต้น.
เป็นเทคนิคการวิเคราะห์ทราฟฟิกทางเลือกคุณสามารถพิจารณาใช้ NetFlow นี่คือระบบส่งข้อความที่เปิดใช้งานบนอุปกรณ์ทั้งหมดของ Cisco และจะส่งต่อเฉพาะส่วนหัวของแพ็คเก็ตไปยังจอภาพส่วนกลาง คุณสามารถอ่านเกี่ยวกับการตรวจสอบเครือข่ายที่รวบรวมข้อมูล NetFlow ในบทความ 10 เครื่องมือวิเคราะห์และตัวสะสม NetFlow ที่ดีที่สุดและฟรี.
เมื่อคุณมีข้อมูลที่ปลายนิ้วของคุณเกี่ยวกับความสามารถในการตรวจสอบปริมาณการใช้งานทั้งหมดของสวิตช์ Cisco ของคุณคุณจะอยู่ในตำแหน่งที่ดีกว่าในการตัดสินใจว่าจะใช้วิธีใดในการจับแพ็คเก็ต.
การเลือกกลยุทธ์การวิเคราะห์เครือข่ายที่เหมาะสม
หวังว่าคู่มือนี้จะทำให้คุณตระหนักถึงปัญหาที่เกิดขึ้นกับพอร์ตมิเรอร์พอร์ตมิเรอร์ แม้ว่าจะมีบางครั้งที่คุณไม่สามารถหลีกเลี่ยงการลงไปถึงระดับแพ็คเก็ตเพื่อประเมินปริมาณการใช้เครือข่ายของคุณอย่างถูกต้องคุณควร จำกัด ขอบเขตงานวิจัยของคุณ ด้วยเครื่องมืออื่น ๆ ก่อนที่คุณจะจัดการแพ็คเก็ตจับภาพเป็นงาน.
การทำมิเรอร์พอร์ตมีปัญหา – มันทำลายความลับของข้อมูลและสามารถสร้างข้อมูลจำนวนมาก สำรวจวิธีการ ข้อมูลการจราจรโดยรวม เป็นบรรทัดแรกของการสอบสวนและไปที่พอร์ตมิเรอร์เมื่อคุณระบุลิงก์ที่มีปัญหา เมื่อคุณตั้งค่าพอร์ตมิเรอร์บนสวิตช์ของคุณแล้วให้แน่ใจว่าได้ทำการแชนเนลข้อมูลทั้งหมดลงในเครื่องมือวิเคราะห์เพื่อให้คุณสามารถใช้ข้อมูลทั้งหมดที่เหมาะสมซึ่งกลยุทธ์นี้จะสร้างขึ้น.
