คู่มือที่ดีที่สุดสำหรับ Port Mirroring

คู่มือที่ดีที่สุดสำหรับ Port Mirroring (1)

ซอฟต์แวร์ตรวจสอบเครือข่ายที่ทันสมัยมีเครื่องมือที่ทันสมัยเช่นการแสดงกราฟิกและเครื่องมือวิเคราะห์ อย่างไรก็ตามจะมีบางครั้งที่คุณจะต้องย้อนกลับไปที่เทคนิคการวิเคราะห์การยึดจับของแพ็กเก็ตขณะเดินทางไปทั่วเครือข่าย การมิเรอร์พอร์ตเป็นเทคนิคการจับแพ็คเก็ต.

การจับแพ็คเก็ตต้องใช้องค์ประกอบฮาร์ดแวร์ซึ่งเรียกว่า TAP (ทดสอบจุดเชื่อมต่อ) โชคดีที่คุณมีฮาร์ดแวร์ที่สามารถรับส่งข้อมูลเครือข่ายทั้งหมดของคุณ: สวิตช์และฮับ คุณสามารถควบคุมความสามารถของอุปกรณ์เหล่านี้เพื่อลดความจำเป็นในการซื้อเซ็นเซอร์อินไลน์แยกหรือตัวแยกสัญญาณไฟจราจร เทคนิคการใช้อุปกรณ์เครือข่ายของคุณเพื่อรับส่งข้อมูลเรียกว่า“มิเรอร์พอร์ต.” คู่มือนี้จะให้ข้อมูลทั้งหมดที่คุณต้องการในการติดตั้งพอร์ตมิเรอร์บนเครือข่ายของคุณ.

>>> ข้ามไปยังรายการเครื่องมือตรวจสอบที่แนะนำด้านล่าง<<<

สลับการประมวลผลข้อมูล

เครือข่ายขนาดเล็กมากจะมีเพียงสวิตช์เดียวหรือฮับ อย่างไรก็ตามมันไม่ได้เติบโตมากในเครือข่ายเพื่อสร้างข้อกำหนดสำหรับสวิตช์อื่น เมื่อคุณมีสวิตช์หลายตัวในเครือข่ายของคุณสวิตช์เหล่านั้นจะเคลื่อนย้ายทราฟฟิกโดยไม่ต้องใช้ช่องสัญญาณแพ็กเก็ตทั้งหมดผ่านจุดศูนย์กลาง.

การกำหนดค่าการกระจายอำนาจนี้หมายความว่าคุณไม่สามารถเลือกสวิตช์บนเครือข่ายเดียวสำหรับการรวบรวมข้อมูลหากคุณต้องการ ปริมาณการใช้ตัวอย่าง จากข้อมูลทั้งหมดของคุณ เนื่องจากสวิตช์อื่น ๆ ในเครือข่ายของคุณจะแลกเปลี่ยนการรับส่งข้อมูลระหว่างสวิตช์ที่ไม่จำเป็นต้องทำการส่งสัญญาณผ่านอุปกรณ์ที่คุณเลือก อย่างไรก็ตามปัญหานี้ก็จะเกิดขึ้นเช่นกันหากคุณเลือกที่จะใช้ TAP เป็นเครื่องมือจับแพ็คเก็ต.

เมื่อจับภาพการรับส่งข้อมูลเครือข่ายคุณต้องตัดสินใจว่าความต้องการของคุณสามารถทำได้โดยแพ็กเก็ตที่ผ่านจุดหนึ่งหรือไม่หรือคุณต้องเห็นพฤติกรรมการรับส่งข้อมูลเครือข่ายทั้งหมดในเครือข่ายทั้งหมดพร้อมกัน.

ในความเป็นจริงเป็นไปได้มากกว่าที่คุณจะต้องดูปริมาณการใช้ต่อการเชื่อมโยง ในสถานการณ์ดังกล่าวคุณอาจจะพยายามดูว่าทำไมหนึ่งลิงก์ในเครือข่ายของคุณมีการใช้งานมากเกินไปและการรับส่งข้อมูลประเภทใดที่คุณสามารถเปลี่ยนเส้นทางหรือเค้นเพื่อแก้ไขปัญหา.

แม้ว่าคุณอาจต้องการ ดูการรับส่งข้อมูลเครือข่ายทั้งหมด, การจับภาพทั้งหมดในครั้งเดียวในไม่ช้าก็กลายเป็นเป้าหมายที่ทะเยอทะยาน หากคุณสามารถจับแพ็คเก็ตเครือข่ายทั้งหมดคุณจะได้รับข้อมูลที่รวบรวมทั้งหมด.

เพื่อประเมินประสิทธิภาพเครือข่ายของคุณอย่างถูกต้องคุณจะจัดหมวดหมู่ปริมาณการใช้งานทั้งหมดโดยอุปกรณ์เครือข่ายอยู่แล้วดังนั้นจึงเป็นการดีกว่าที่จะใช้พอร์ตมิเรอร์บนอุปกรณ์แบบอุปกรณ์ต่ออุปกรณ์ เครื่องมืออื่น ๆ เหมาะสมกว่าที่จะให้คุณเห็นเครือข่ายทั้งหมด ในกรณีเหล่านี้คุณควรใช้ NetFlow ในการสุ่มตัวอย่างข้อมูลจากหลายจุดเครือข่ายพร้อมกัน คุณจะต้องมีเครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่ายที่ซับซ้อน รวมและสรุป ข้อมูลการจราจรทั้งหมด.

เกี่ยวกับพอร์ตมิเรอร์

การทำมิเรอร์พอร์ตเสนอวิธีการทำซ้ำทราฟฟิกเครือข่ายและนำสำเนาไปยังที่เก็บข้อมูล ในตัวแยกคุณใช้อุปกรณ์ที่ ทำซ้ำปริมาณการใช้ทั้งหมด ด้วยหนึ่งสำเนาดำเนินการต่อไปยังปลายทางที่ตั้งใจไว้และอีกรายการหนึ่งแสดงบนหน้าจอหรือไปที่ไฟล์ ด้วยการมิเรอร์พอร์ตคุณใช้เทคนิคเดียวกันทั้งหมด แต่คุณเปลี่ยนการตั้งค่าสวิตช์เพื่อสร้างฟังก์ชันการทำสำเนาข้อมูลจึงไม่จำเป็นต้องติดตั้งอุปกรณ์ทางกายภาพแยกต่างหาก.

คำสั่งการมิเรอร์พอร์ตบอกให้สวิตช์ส่งสำเนาของทราฟฟิกไปยังพอร์ตเฉพาะ วิธีการนั้นมีตัวเลือกมากมายให้คุณเลือก เลือกการเข้าชมเฉพาะ เริ่มต้นจากหรือเดินทางไปยังที่อยู่ที่ระบุหรือเลือกที่จะคัดลอกปริมาณข้อมูลทั้งหมด เมื่อสวิตช์แยกทราฟฟิกที่ต้องการทั้งหมดที่คุณต้องทำคือรวบรวมแพ็กเก็ตที่ส่งไปยังพอร์ตที่กำหนดเป็นจุดส่งข้อมูล.

สวิตช์และฮับ

ลิงค์, หรือ “กระโดด,” บนเครือข่ายเป็นการเชื่อมต่อระหว่างอุปกรณ์สองเครื่อง ลิงก์อาจเป็นส่วนขยายสุดท้ายที่เชื่อมต่อ ปลายทาง, หรืออาจจะอยู่ระหว่างสอง อุปกรณ์เครือข่าย. จะมีอุปกรณ์เครือข่ายอยู่เสมอที่ปลายด้านหนึ่งของลิงก์ สำหรับการรับส่งข้อมูลภายในเครือข่ายอุปกรณ์นั้นจะเป็น สวิตซ์ หรือ ดุม.

ฮับส่งการรับส่งข้อมูลทั้งหมดที่ได้รับจากการเชื่อมต่อหนึ่งไปยังการเชื่อมต่อทั้งหมด ไม่ได้สนใจที่อยู่ปลายทางของแพ็กเก็ตที่เข้ามา สวิตช์เลือกได้มากกว่าเพราะมัน ตรวจสอบส่วนหัวของแพ็กเก็ต และส่งต่อไปยังพอร์ตที่ระบุไว้สำหรับที่อยู่นั้น สายเคเบิลที่เชื่อมต่อกับพอร์ตปลายทางนั้นอาจไม่นำไปสู่จุดปลายทางที่ระบุโดยที่อยู่นั้น หากมีอุปกรณ์เครือข่ายอื่นระหว่างสวิตช์นั้นและปลายทางสายเคเบิลที่รับข้อมูลที่เคลื่อนไหวจะนำไปสู่อุปกรณ์ระดับกลางนั้นซึ่งในทางกลับกันจะส่งต่อต่อไป.

โชคดีสำหรับการดักจับแพ็กเก็ตสวิตช์และฮับจะไม่ปลอมลิงก์ทางกายภาพชั่วคราวระหว่างแหล่งต้นทางและพอร์ตปลายทางในการเชื่อมต่อ แทน, อุปกรณ์รวบรวมข้อมูลที่เข้ามา. มันแล้ว สร้างสำเนาที่แน่นอนของข้อมูลนั้น และนำไปใช้กับพอร์ตปลายทาง ในกรณีของฮับการกระทำนี้ สร้างการทำซ้ำ. ตัวอย่างเช่นหากฮับได้รับแพ็คเก็ตบนหนึ่งในสิบพอร์ตมันจะส่งแพ็กเก็ตเดียวกันนั้นออกไปบนพอร์ตเก้าพอร์ตอื่นทั้งหมด.

ดังนั้นหนึ่งแพ็คเก็ตกลายเป็นเก้าสำเนา สวิตช์ทำสิ่งเดียวกันกับแพ็คเก็ตที่ทำเครื่องหมายไว้ ออกอากาศ. การรับส่งข้อมูลที่เดินทางไปยังปลายทางหนึ่งจะถูกคัดลอกไปยังพอร์ตที่สวิตช์ระบุไว้สำหรับที่อยู่นั้นเท่านั้น ดังนั้นจึงยังคงมีเพียงหนึ่งอินสแตนซ์ของข้อมูลนั้นที่เดินทางออกจากสวิตช์.

การทำซ้ำของแพ็กเก็ตที่ดำเนินการโดยสวิตช์และเราเตอร์นั้นเหมือนกับงานที่ดำเนินการโดยตัวแยกสัญญาณข้อมูล.

การมิเรอร์พอร์ตด้วยฮับ

อย่างที่คุณเห็นจากคำอธิบายวิธีการทำงานของสวิตช์และฮับ, ฮับจะทำซ้ำปริมาณการรับส่งข้อมูลทั้งหมดโดยอัตโนมัติ. ดังนั้นหากคุณมีฮับบนเครือข่ายของคุณเท่านั้นมันเป็นเรื่องง่ายมากที่จะได้รับสำเนาของปริมาณข้อมูลทั้งหมดที่ไหลเวียนอยู่ภายใน ฮับส่งปริมาณข้อมูลทั้งหมดไปยังปลายทางทั้งหมด หากการรับส่งข้อมูลนั้นต้องเดินทางผ่านอุปกรณ์เครือข่ายอื่น ๆ เพื่อไปถึงจุดปลายบนเครือข่ายนั่นจะไม่ปิดกั้นการรับส่งข้อมูลที่ไปยังปลายทางเหล่านั้นหากอุปกรณ์ระดับกลางเป็นฮับด้วย.

เมื่อคอมพิวเตอร์ของคุณเชื่อมต่อกับหนึ่งในฮับในเครือข่ายการรับส่งข้อมูลทั้งหมดในเครือข่ายจะถูกส่งไปยังคอมพิวเตอร์ของคุณโดยอัตโนมัติโดยไม่ต้องเปลี่ยนการตั้งค่าของฮับ อย่างไรก็ตามคอมพิวเตอร์ของคุณจะไม่ได้รับข้อมูลปริมาณการใช้งานทั้งหมด.

เฟิร์มแวร์ในการ์ดเครือข่ายของคอมพิวเตอร์ของคุณมีรหัสระบุไว้ซึ่งเป็นรหัส: หมายเลขทางกายภาพ, ซึ่งหมายถึง“ควบคุมการเข้าถึงสื่อ.” การ์ดเครือข่ายจะตอบสนองต่อข้อความที่มาถึงที่มีที่อยู่ MAC นั้นเท่านั้น อื่น ๆ ทั้งหมดจะถูกละเว้น คิดว่าการ์ดเครือข่ายเป็นคนเฝ้าประตูที่สโมสรส่วนตัว ผู้ที่เดินทางมาถึงจะต้องให้รหัสผ่านเพื่อเข้าใช้ ผู้ที่ไม่มีรหัสผ่านจะถูกบล็อกไม่ให้เข้า ที่อยู่ MAC คือรหัสผ่านนั้น.

หากคุณต้องการดูการรับส่งข้อมูลทั้งหมดบนเครือข่ายที่ติดตั้งฮับทั้งหมดสิ่งที่คุณต้องทำคือแจ้งให้การ์ดเครือข่ายลดความต้องการที่อยู่ MAC ของตัวเอง ในคำศัพท์เครือข่ายการตั้งค่านี้เรียกว่า“โหมดสำส่อน.”

ผู้สอนจะยืนยันว่าการวางการ์ดเครือข่ายของคุณในโหมดที่หลากหลายนั้นไม่ใช่ “การทำมิเรอร์พอร์ต” เนื่องจากการ์ดเครือข่ายของคุณไม่ได้ทำซ้ำแพ็คเก็ต พวกเขาบอกว่าการ์ดเพิ่งวางข้อกำหนดสำหรับที่อยู่ MAC ของตนเพื่อรับรู้แพ็กเก็ตที่มาถึงและส่งต่อไปยังแอปพลิเคชันบนคอมพิวเตอร์.

ในความเป็นจริง “การทำมิเรอร์พอร์ตบนฮับ” เป็นแนวคิดที่ซ้ำซ้อนเพราะฮับทำซ้ำแพ็กเก็ตทั้งหมดโดยค่าเริ่มต้น โดยทั่วไปคำว่า“ การมิเรอร์พอร์ต” จะใช้กับสวิตช์เท่านั้น.

การมิเรอร์พอร์ตด้วยสวิตช์

เมื่อสวิตช์ได้รับแพ็คเก็ตมันจะอ้างอิงที่อยู่ปลายทางในส่วนหัวของดาตาแกรม จากนั้นจะทำสำเนาของแพ็คเก็ตและส่งเวอร์ชั่นใหม่นั้นออกมาที่หมายเลขพอร์ตที่เกี่ยวข้องกับที่อยู่ MAC นั้น.

ในการดำเนินงานมาตรฐานซึ่งเรียกว่า“unicast,” หนึ่งสำเนาเท่านั้นที่ทำจากข้อความขาเข้าและนั่นจะถูกส่งออกไปที่พอร์ตเดียวเท่านั้น. สวิตช์มีความสามารถในการทำซ้ำการรับส่งข้อมูล, อย่างไรก็ตาม ตัวอย่างเช่นเมื่อสวิตช์ได้รับข้อความออกอากาศมันจะทำสำเนาจำนวนเดียวกันกับจำนวนพอร์ตที่ใช้งานและส่งสำเนาหนึ่งชุดในแต่ละพอร์ตเหล่านั้น สวิทช์ยังมี“หลายผู้รับความสามารถ” ซึ่งต้องการให้พวกเขาสร้างสำเนาจำนวน จำกัด.

เนื่องจากสวิตช์ทั้งหมดได้รับการโปรแกรมด้วยความสามารถในการจัดการข้อความออกอากาศและมัลติคาสต์งานการทำแพ็กเก็ตที่ซ้ำกันจึงไม่ได้แสดงปัญหาฮาร์ดแวร์ โดยหลักการแล้วการได้สวิตช์ของคุณเพื่อทำแพ็กเก็ตซ้ำต้องใช้งานน้อยมาก:

  1. สวิทช์ได้รับคำสั่งให้ทำสำเนาการรับส่งข้อมูลทั้งหมด.
  2. สวิตช์จะส่งทราฟฟิกทั้งหมดไปยังปลายทางที่ต้องการ.
  3. สวิตช์ส่งสำเนาการรับส่งข้อมูลทั้งหมดไปยังพอร์ตที่ระบุ.
  4. คุณรวบรวมทราฟฟิกทั้งหมดที่พอร์ตที่ระบุ.

การรับแพ็คเก็ตทั้งหมดที่ทำซ้ำการเดินทางผ่านสวิตช์เป็นงานที่ง่ายมากและไม่ใช้ความพยายามในการประมวลผลพิเศษอย่างมากในส่วนของอุปกรณ์ หากคุณต้องการตรวจสอบแพ็กเก็ตที่เดินทางผ่านสวิตช์เฉพาะคุณเพียงแค่ต้องบอกให้ทำซ้ำการรับส่งข้อมูลทั้งหมดนั้นและส่งไปยังพอร์ตและบอกให้ เชื่อมโยงที่อยู่ MAC ของคอมพิวเตอร์ของคุณกับหมายเลขพอร์ตที่กำหนด. จากนั้นคุณต้องใส่การ์ดเครือข่ายของคอมพิวเตอร์ของคุณเข้าสู่โหมดที่หลากหลายเพื่อให้แน่ใจว่าจะรับการรับส่งข้อมูลทั้งหมดไม่ใช่เฉพาะดาตาแกรมที่มีที่อยู่ MAC ในนั้น.

ทำซ้ำการรับส่งข้อมูลเครือข่ายทั้งหมด

วิธีแก้ปัญหาข้างต้นเป็นเวอร์ชั่นที่เรียบง่ายของสิ่งที่เกิดขึ้นจริงในสวิตช์เมื่อทำการจำลองพอร์ต ในความเป็นจริงงานนั้นซับซ้อนกว่าเล็กน้อย ตัวอย่างเช่นมันจะไม่สะดวกที่จะต้องเชื่อมต่อคอมพิวเตอร์ของคุณโดยตรงด้วยสายเคเบิลไปยังสวิทช์เพื่อรับปริมาณการใช้งานทั้งหมด ในสมัยก่อนนั้นเป็นความต้องการของตัววิเคราะห์ LAN และการเชื่อมต่อเฉพาะสถานที่ยังคงเป็นคุณสมบัติที่สำคัญของ TAP ของเครือข่าย.

ต้องขอบคุณเทคโนโลยีการกำหนดเส้นทางการทำมิเรอร์พอร์ตที่ทันสมัยจึงมีความซับซ้อนมากขึ้น. คุณสามารถตรวจสอบการจราจรที่ผ่านสวิตช์ใดก็ได้ในโลก, ตราบเท่าที่สวิตช์นั้นสามารถเข้าถึงได้จากตำแหน่งของคุณผ่านเครือข่ายหรืออินเทอร์เน็ต คุณไม่จำเป็นต้องเชื่อมต่อคอมพิวเตอร์ของคุณกับสวิตช์นั้น เมื่อเดินทางผ่านอินเทอร์เน็ตการทำมิเรอร์พอร์ตจะมีความซับซ้อนเพิ่มขึ้นเล็กน้อยเนื่องจากดาตาแกรมต้องการแพ็คเกจเพิ่มเติมที่เลเยอร์เครือข่ายอินเทอร์เน็ต สำหรับคำแนะนำนี้เราจะจัดการกับการมิเรอร์พอร์ตจากภายในเครือข่ายเท่านั้น.

สวิตช์ส่วนใหญ่มีความสามารถในการส่งแพ็คเก็ตที่ถูกจับข้ามเครือข่ายเดินทางผ่านอุปกรณ์เครือข่ายอื่น ๆ ผู้ผลิตสวิตช์แต่ละรายผลิตเฟิร์มแวร์ของตนเองสำหรับสวิตช์และเมนูคอนโซลการจัดการแตกต่างกันไป สำหรับวัตถุประสงค์ของคู่มือนี้เราจะมุ่งเน้นไปที่วิธีการที่ใช้ ระบบของซิสโก้ เพื่อทำให้พอร์ตมิเรอร์พร้อมใช้งานบนสวิตช์เครือข่าย.

เกี่ยวกับสวิตช์ Cisco SPAN

สิ่งอำนวยความสะดวกในการมิเรอร์พอร์ตสวิตช์ของ Cisco นั้นเรียกว่า SPAN. สิ่งนี้หมายถึง ตัววิเคราะห์พอร์ตที่สลับ. SPAN มอบความสามารถทั้งหมดให้คุณในการจับแพ็คเก็ตบนสวิตช์ Cisco ไม่ว่าคุณจะเชื่อมต่อโดยตรงกับสวิตช์นั้นหรือไม่ก็ตาม อย่างไรก็ตามคุณต้องมีพอร์ตสำรองบนสวิตช์ที่สามารถเป็นจุดรวบรวมสำหรับแพ็กเก็ตที่ทำซ้ำ.

ในคำศัพท์ SPAN คำว่า“พอร์ตต้นทาง” เป็นพอร์ตที่มีการรับส่งข้อมูลซ้ำซ้อน “พอร์ตปลายทาง” คือที่อยู่ของพอร์ตที่ส่งแพ็คเก็ตที่ซ้ำกันเพื่อรวบรวม ใช้ความระมัดระวังเป็นอย่างยิ่งที่จะจดจำคำศัพท์ที่โดดเด่นเหล่านี้เพราะคุณจะถูกอ้างถึงคำศัพท์เครือข่ายแบบดั้งเดิมที่คุณกำลังดูที่แพ็กเก็ตที่เรียกใช้จากพอร์ตต้นทางไปยังพอร์ตปลายทาง.

ระบบ SPAN สามารถมอนิเตอร์หนึ่งพอร์ตหรือหลายพอร์ต นอกจากนี้ยังเป็นไปได้ที่จะระบุทิศทางของการรับส่งข้อมูลที่พอร์ตนั้นโดยให้คุณมีเพียงการไหลเข้าเท่านั้นการไหลออกหรือทั้งสองอย่าง อย่างไรก็ตามหากคุณตรวจสอบพอร์ตจำนวนหนึ่งพร้อมกันพวกเขาทั้งหมดจะต้องได้รับการตรวจสอบทิศทางการไหลของข้อมูลเดียวกัน.

คุณไม่สามารถระบุพอร์ตจากและไปยังพอร์ตที่จะจับภาพได้ (เช่นรับเฉพาะทราฟฟิกที่มาถึงพอร์ตเฉพาะที่ออกจากพอร์ตเฉพาะ) หากนี่คือฟังก์ชั่นที่คุณกำลังมองหา, เลือกพอร์ตการไหลเข้า และจับแพ็คเก็ตที่ได้รับทั้งหมดที่นั่น จากนั้นคุณสามารถกรองทราฟฟิกทั้งหมดยกเว้นสิ่งที่เหลืออยู่บนพอร์ตที่สนใจส่งเมื่อคุณมีข้อมูลทั้งหมดใน ซอฟต์แวร์การวิเคราะห์.

ในเซสชันคุณสามารถมอนิเตอร์พอร์ตหรือมอนิเตอร์ VLANs – คุณไม่สามารถครอบคลุมทั้งสองพอร์ตได้ในคราวเดียว.

โหมด Cisco SPAN

Cisco SPAN ช่วยให้คุณสามารถจับแพ็คเก็ตได้สามโหมด:

  • ช่วงท้องถิ่น: ตรวจสอบปริมาณการใช้งานบนสวิตช์ที่คุณเชื่อมต่อโดยตรง.
  • SPAN ระยะไกล (RSPAN): ตรวจสอบปริมาณการใช้งานบนพอร์ตระยะไกล แต่รับแพ็คเก็ตที่จับได้ที่ส่งไปยังพอร์ตบนสวิตช์โลคัลของคุณเพื่อรวบรวม.
  • SPAN ระยะไกลแบบห่อหุ้ม (ERSPAN): กระบวนการเดียวกับ RSPAN ยกเว้นว่าการถ่ายโอนแพ็กเก็ตที่มิร์เรอร์ไปยังสวิตช์โลคัลของคุณนั้นจะถูกดำเนินการโดยการห่อหุ้ม GRE.

ตัวเลือก RSPAN ไม่สามารถใช้ได้กับสวิตช์ Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 และ 2900XL.

ความพร้อมใช้งานของ Cisco SPAN

SPAN มีให้ในทุกรุ่นสวิตช์ของ Cisco ดังต่อไปนี้:

Catalyst Express 500/520 ซีรี่ส์

  • Catalyst 1900 Series
  • Catalyst 2900XL Series
  • Catalyst 2940 Series
  • ตัวเร่งปฏิกิริยา 2948G-L2, 2948G-GE-TX, 2980G-A
  • Catalyst 2950 Series
  • Catalyst 2955 Series
  • Catalyst 2960 Series
  • Catalyst 2970 Series
  • Catalyst 3500 XL Series
  • Catalyst 3550 Series
  • Catalyst 3560 / 3560E / 3650X ซีรี่ส์
  • Catalyst 3750 / 3750E / 3750X ซีรี่ส์
  • Catalyst 3750 Metro Series
  • Catalyst 4500/4000 Series
  • Catalyst 4900 Series
  • Catalyst 5500/5000 ซีรี่ส์
  • Catalyst 6500/6000 ซีรี่ส์

น่าเสียดายที่ชุดคำสั่งไม่เหมือนกันในทุกสวิตช์ นี่เป็นส่วนใหญ่เนื่องจาก บริษัท มีเฟิร์มแวร์พิเศษสำหรับอุปกรณ์ Catalyst บางตัวซึ่งเรียกว่า CatOS. สวิตช์ Cisco อื่น ๆ ใช้ระบบปฏิบัติการที่เรียกว่า IOS, ซึ่งไม่เหมือนกับระบบปฏิบัติการ iOS ที่ใช้โดยอุปกรณ์ Apple.

สวิตช์ Cisco บางตัวไม่มีความสามารถในการมิเรอร์พอร์ตเนทีฟ แต่มียูทิลิตีฟรีที่คุณสามารถใช้ได้ในสถานการณ์เหล่านี้ซึ่งคุณจะอ่านได้เร็ว ๆ นี้.

ตั้งค่า SPAN บนสวิตช์ IOS

สำหรับสวิตช์รุ่นที่มีเฟิร์มแวร์ IOS คุณจะต้องไปที่ระบบปฏิบัติการของอุปกรณ์และออกคำสั่งเพื่อระบุพอร์ต SPAN และพอร์ตที่จะตรวจสอบ งานนี้ดำเนินการโดยคำสั่งสองบรรทัด หนึ่งต้องการที่จะ ระบุแหล่งที่มา, ซึ่งหมายถึงพอร์ตที่จะมีปริมาณข้อมูลที่จำลองแบบและอื่น ๆ ให้หมายเลขพอร์ตที่เชื่อมต่อกับดมกลิ่น – นี่คือบรรทัดปลายทาง.

มอนิเตอร์แหล่งเซสชัน รีโมต vlan] [rx | tx | ทั้ง]
ตรวจสอบอินเตอร์เฟสปลายทางเซสชัน

เมื่อคุณกำหนดกระจกเสร็จแล้วคุณต้องกด CTRL-Z เพื่อสิ้นสุดนิยามการกำหนดค่า.

หมายเลขเซสชันช่วยให้คุณสามารถสร้างจอภาพที่แตกต่างกันหลายตัวทำงานพร้อมกัน หากคุณใช้หมายเลขเซสชันเดียวกันในคำสั่งที่ตามมาคุณจะยกเลิกการติดตามดั้งเดิมและแทนที่ด้วยข้อกำหนดใหม่. ช่วงพอร์ตถูกกำหนดโดยเส้นประ (“ -“) และลำดับของพอร์ตจะถูกคั่นด้วยเครื่องหมายจุลภาค (“,”).

องค์ประกอบสุดท้ายในบรรทัดคำสั่งสำหรับพอร์ตต้นทาง (พอร์ตที่จะตรวจสอบ) เป็นข้อมูลจำเพาะว่าสวิทช์ควรทำซ้ำแพ็กเก็ตที่ส่งหรือไม่ จากทั้งพอร์ต, หรือ ทั้งสอง.

ตั้งค่า SPAN บนสวิตช์ CatOS

ช่วง Catalyst ล่าสุดจะมาพร้อมกับระบบปฏิบัติการรุ่นใหม่ที่เรียกว่า CatOS, แทนระบบปฏิบัติการ IOS รุ่นเก่า คำสั่งที่ใช้ในการตั้งค่าการทำมิเรอร์ SPAN ในสวิตช์เหล่านี้แตกต่างกันเล็กน้อย ด้วยระบบปฏิบัติการนี้คุณสร้างการมิเรอร์ด้วยคำสั่งเดียวแทนที่จะเป็นสองคำสั่ง.

กำหนดช่วง [rx | tx | ทั้งสอง]

[inpkts]

[การเรียนรู้]

[มัลติคาสต์]

[ตัวกรอง]

[สร้าง]

พอร์ตต้นทางถูกกำหนดโดยองค์ประกอบแรกในคำสั่งนี้ซึ่งเป็น“src_mod / src_ports” ส่วนหนึ่ง ตัวระบุพอร์ตที่สองของคำสั่งนั้นจะถูกอ่านโดยอัตโนมัติว่าเป็นพอร์ตปลายทางนั่นคือพอร์ตที่แพ็กเก็ตดมกลิ่นแนบอยู่ “rx | tx | ทั้งสององค์ประกอบ” บอกสวิตช์เพื่อทำซ้ำแพ็กเก็ตที่ส่ง จากทั้งพอร์ต, หรือ ทั้งสอง.

นอกจากนี้ยังมีคำสั่ง set span เพื่อปิดการมิเรอร์:

กำหนดช่วงปิดการใช้งาน [dest_mod / dest_port | ทั้งหมด]

ตั้งค่า SPAN บนสวิตช์ Catalyst Express 500 และ Catalyst Express 520

หากคุณมีสวิตช์ Catalyst Express 500 หรือ Catalyst Express 520 คุณจะไม่ป้อนการตั้งค่า SPAN ที่ระบบปฏิบัติการ ในการสื่อสารกับสวิตช์และเปลี่ยนการตั้งค่าคุณต้องติดตั้ง Cisco Network Assistant (CNA) ซอฟต์แวร์การจัดการเครือข่ายนี้ฟรีและทำงานบนสภาพแวดล้อม Windows ทำตามขั้นตอนเหล่านี้เพื่อให้ SPAN เปิดใช้งานบนสวิตช์.

  1. ล็อกอินเข้าสวิตช์ผ่านอินเตอร์เฟส CNA.
  2. เลือก Smartports ตัวเลือกใน CNA เมนู. สิ่งนี้จะแสดงกราฟิกที่แสดงถึงอาร์เรย์พอร์ตของสวิตช์.
  3. คลิกที่พอร์ตที่คุณต้องการเชื่อมต่อแพ็คเก็ตดมกลิ่นและเลือก ปรับเปลี่ยน ตัวเลือก นี่จะเป็นการเปิดหน้าต่างป็อปอัพขึ้นมา.
  4. เลือก การวินิจฉัย ใน บทบาท รายการและเลือกพอร์ตที่จะตรวจสอบการจราจรจาก แหล่ง รายการแบบหล่นลง หากคุณต้องการมอนิเตอร์ VLAN โดยเฉพาะให้เลือกจาก VLAN ที่เข้ามา รายการ. หากคุณไม่ได้ตั้งใจจะดูปริมาณข้อมูลสำหรับ VLAN ให้ปล่อยค่านี้ไว้ที่ค่าเริ่มต้น คลิกที่ ตกลง เพื่อบันทึกการตั้งค่า.
  5. คลิกที่ ตกลง แล้ว ใช้ ใน Smartports จอภาพ.

ปัญหาอย่างหนึ่งของวิธีการ CNA ก็คือซอฟต์แวร์นั้นจะทำงานได้เฉพาะใน Windows เวอร์ชั่นสูงสุดเท่านั้น วินโดว 7.

การประมวลผลแพ็คเก็ตจับ

การทำมิเรอร์พอร์ตที่ติดตั้งบนสวิตช์ของคุณจะไม่เก็บหรือวิเคราะห์แพ็กเก็ตที่ดักจับไว้ คุณสามารถใช้ได้ ซอฟต์แวร์การวิเคราะห์เครือข่ายใด ๆ เพื่อประมวลผลแพ็กเก็ตที่ส่งไปยังอุปกรณ์ของคุณ.

ปัญหาสำคัญที่คุณจะต้องจดจำเมื่อคุณจับแพ็กเก็ตคือคุณจะต้องจัดการกับข้อมูลจำนวนมาก การถ่ายโอนข้อมูลข้อความดิบของการรับส่งข้อมูลผ่านเครือข่ายแทบเป็นไปไม่ได้เลยหากไม่มีเครื่องมือดูข้อมูล นี่คือเครื่องมือเข้าถึงข้อมูลประเภทที่ต่ำที่สุดที่คุณควรพิจารณา โปรแกรมอรรถประโยชน์การวิเคราะห์ทราฟฟิกแบบเต็มจะดียิ่งขึ้นกว่าเดิม.

คุณสามารถดูรายการที่ครอบคลุมของ เครื่องมือวิเคราะห์ปริมาณการใช้เครือข่ายที่แนะนำ ในบทความ 9 สุดยอด Packet Analyzers / Packet Sniffers สำหรับ [year] เพื่อความสะดวกเครื่องมือสองอันดับแรกในการตรวจสอบสรุปได้ดังนี้.

เครื่องมือตรวจสอบและวิเคราะห์ SolarWinds Deep Packet (ทดลองฟรี)

การตรวจสอบแพ็คเก็ตลึก

SolarWinds ผลิตแคตตาล็อกขนาดใหญ่ของเครื่องมือตรวจสอบและจัดการเครือข่าย สำหรับการวิเคราะห์ผลลัพธ์ของการมิเรอร์พอร์ตคุณควรพิจารณา บริษัท แพ็คเก็ตลึกและการวิเคราะห์ เครื่องมือที่จะเป็นตัวเลือกที่ดีที่สุดของคุณ นี่เป็นส่วนหนึ่งของ Network Performance Monitor ของ บริษัท ซึ่งเป็นผลิตภัณฑ์กลาง.

เครื่องมือนี้สามารถตีความข้อมูลที่มาจาก เครื่องมือรวบรวมแพ็คเก็ตที่หลากหลาย และจะช่วยให้คุณเห็นว่าการจราจรเกิดขึ้นได้ที่ไหน คุณต้องดูแอปพลิเคชันที่สร้างความต้องการส่วนใหญ่ในเครือข่ายของคุณเพื่อสร้างกลยุทธ์เพื่อปรับปรุงประสิทธิภาพ เครื่องมือวิเคราะห์นี้สนับสนุนการตรวจสอบเหล่านั้น.

การตรวจสอบประสิทธิภาพเครือข่ายเป็นเครื่องมือระดับแนวหน้าซึ่งไม่ได้ฟรี อย่างไรก็ตามคุณสามารถทดลองใช้ฟรี 30 วัน โปรดจำไว้ว่าการจับแพ็คเก็ตไม่ใช่ตัวเลือกที่เป็นไปได้จริง ๆ ในการตรวจสอบปริมาณการใช้งานทั้งหมดในเครือข่ายของคุณทั้งหมด สำหรับสถานการณ์เหล่านั้นคุณน่าจะดีขึ้นด้วยตัววิเคราะห์ปริมาณการใช้งาน SolarWinds NetFlow พนักงานคนนี้ Cisco NetFlow ฟังก์ชั่นเพื่อสุ่มตัวอย่างปริมาณการใช้ข้อมูลจากเครือข่าย นอกจากนี้ยังสามารถสื่อสารกับ จูนิเปอร์เน็ตเวิร์ค อุปกรณ์ผ่าน J-Flow มาตรฐานการสุ่มตัวอย่างแพ็คเก็ตด้วย หัวเว่ย อุปกรณ์ที่ใช้ NetStream, และยังสามารถใช้ผู้ผลิตอิสระ sFlow และ IPFIX ระบบการวิเคราะห์การจราจร คุณยังสามารถรับ NetFlow Traffic Analyzer ในช่วงทดลองฟรี 30 วัน.

การตรวจสอบประสิทธิภาพเครือข่ายและเครื่องวิเคราะห์ปริมาณการใช้ NetFlow สร้างคอมโบที่ดีสำหรับการวิเคราะห์เครือข่ายเพราะจะให้มุมมองภาพรวมและเครื่องมือในการตรวจสอบปริมาณการใช้แพ็คเก็ตที่ทำงานผ่านอุปกรณ์แต่ละชิ้น SolarWinds นำเสนอเครื่องมือทั้งสองนี้ร่วมกันเป็น Network Bandwidth Analyzer Pack ซึ่งคุณสามารถทดลองใช้ฟรี 30 วัน.

SolarWinds Deep Packet การตรวจสอบและวิเคราะห์ดาวน์โหลดทดลองใช้ฟรี 30 วัน

เครื่องมือจับภาพ Paessler Packet

Paessler-PRTG

Paessler PRTG เป็นเครื่องมือตรวจสอบเครือข่ายที่ประกอบด้วยเซ็นเซอร์หลายตัว หนึ่งในเครื่องมือเหล่านี้คือ เซ็นเซอร์ตรวจจับแพ็คเก็ต. เซ็นเซอร์นี้ไม่ได้มาพร้อมกับ TAP จริง แต่จะอาศัยข้อมูลที่ให้ในสตรีมจากสวิตช์ของคุณแทน เครื่องมือนี้นำเสนอการสร้างภาพข้อมูลที่ยอดเยี่ยมสำหรับทั้งข้อมูลสดและแพ็คเก็ตที่อ่านจากที่เก็บไฟล์.

สิ่งที่ยอดเยี่ยมเกี่ยวกับ PRTG ก็คือมันสามารถให้ชั้นการมองเห็นที่แตกต่างจากภายในเครื่องมือเดียวกัน นอกจากนี้ยังมีเซ็นเซอร์ที่สุ่มตัวอย่างข้อมูลเครือข่ายโดยจับเฉพาะส่วนหัวแพ็คเก็ตจากตำแหน่งต่างๆในเครือข่าย นอกจากนี้คุณยังสามารถ ลดปริมาณข้อมูล ที่ต้องดำเนินการโดยจอภาพโดยการสุ่มตัวอย่าง.

เช่นเดียวกับเซ็นเซอร์ตรวจจับแพ็คเก็ต PRTG รวมถึงระบบการสุ่มตัวอย่างปริมาณการใช้งานต่อไปนี้:

  • เซ็นเซอร์ NetFlow
  • เซ็นเซอร์ sFlow
  • เซ็นเซอร์ J-Flow

ด้วยระบบนี้คุณสามารถใช้เซ็นเซอร์ NetFlow, sFlow และ J-Flow เพื่อดูภาพรวมของเครือข่ายทั้งหมดของคุณจากนั้นไปที่แพ็กเก็ตดมกลิ่นเพื่อมุ่งเน้นกระแสทั่วไปที่อุปกรณ์หนึ่ง เมื่อคุณแยกสวิตช์ที่โอเวอร์โหลดแล้วคุณสามารถกลับมาที่พอร์ตเฉพาะที่มีการรับส่งข้อมูลมากเกินไปและดูประเภทของการรับส่งข้อมูลที่ครอบงำได้ ด้วยข้อมูลนี้คุณสามารถใช้การวัดปริมาณการใช้ข้อมูลหรือเลือกเพิ่มโครงสร้างพื้นฐานเพิ่มเติมเพื่อเปลี่ยนเส้นทางจุดรับส่งข้อมูลจำนวนมากและกระจายภาระ.

เซ็นเซอร์แพ็คเก็ตดมกลิ่นจะประมวลผลเฉพาะส่วนหัวของดาตาแกรมข้อมูลการเดินทางที่เดินทางผ่านเครือข่าย กลยุทธ์นี้ช่วยลดปริมาณการประมวลผลที่จำเป็นในการรวมตัวชี้วัดการไหลและการวิเคราะห์ความเร็วสูงอย่างมาก.

ปัญหาการมิเรอร์พอร์ต

การจับและการจัดเก็บแพ็คเก็ตแบบเต็มอาจทำให้คุณประสบปัญหากับการรักษาความลับของข้อมูล แม้ว่าการรับส่งข้อมูลส่วนใหญ่ที่ผ่านเครือข่ายของคุณจะถูกเข้ารหัสหากถูกกำหนดไว้สำหรับไซต์ภายนอกการรับส่งข้อมูลภายในจะไม่ถูกเข้ารหัสทั้งหมด เว้นแต่องค์กรของคุณตัดสินใจที่จะใช้ความปลอดภัยเพิ่มเติมสำหรับอีเมลปริมาณการใช้งานจดหมายในเครือข่ายของคุณจะไม่ถูกเข้ารหัสตามค่าเริ่มต้น.

เป็นเทคนิคการวิเคราะห์ทราฟฟิกทางเลือกคุณสามารถพิจารณาใช้ NetFlow นี่คือระบบส่งข้อความที่เปิดใช้งานบนอุปกรณ์ทั้งหมดของ Cisco และจะส่งต่อเฉพาะส่วนหัวของแพ็คเก็ตไปยังจอภาพส่วนกลาง คุณสามารถอ่านเกี่ยวกับการตรวจสอบเครือข่ายที่รวบรวมข้อมูล NetFlow ในบทความ 10 เครื่องมือวิเคราะห์และตัวสะสม NetFlow ที่ดีที่สุดและฟรี.

เมื่อคุณมีข้อมูลที่ปลายนิ้วของคุณเกี่ยวกับความสามารถในการตรวจสอบปริมาณการใช้งานทั้งหมดของสวิตช์ Cisco ของคุณคุณจะอยู่ในตำแหน่งที่ดีกว่าในการตัดสินใจว่าจะใช้วิธีใดในการจับแพ็คเก็ต.

การเลือกกลยุทธ์การวิเคราะห์เครือข่ายที่เหมาะสม

หวังว่าคู่มือนี้จะทำให้คุณตระหนักถึงปัญหาที่เกิดขึ้นกับพอร์ตมิเรอร์พอร์ตมิเรอร์ แม้ว่าจะมีบางครั้งที่คุณไม่สามารถหลีกเลี่ยงการลงไปถึงระดับแพ็คเก็ตเพื่อประเมินปริมาณการใช้เครือข่ายของคุณอย่างถูกต้องคุณควร จำกัด ขอบเขตงานวิจัยของคุณ ด้วยเครื่องมืออื่น ๆ ก่อนที่คุณจะจัดการแพ็คเก็ตจับภาพเป็นงาน.

การทำมิเรอร์พอร์ตมีปัญหา – มันทำลายความลับของข้อมูลและสามารถสร้างข้อมูลจำนวนมาก สำรวจวิธีการ ข้อมูลการจราจรโดยรวม เป็นบรรทัดแรกของการสอบสวนและไปที่พอร์ตมิเรอร์เมื่อคุณระบุลิงก์ที่มีปัญหา เมื่อคุณตั้งค่าพอร์ตมิเรอร์บนสวิตช์ของคุณแล้วให้แน่ใจว่าได้ทำการแชนเนลข้อมูลทั้งหมดลงในเครื่องมือวิเคราะห์เพื่อให้คุณสามารถใช้ข้อมูลทั้งหมดที่เหมาะสมซึ่งกลยุทธ์นี้จะสร้างขึ้น.

About the author