Какво е Port Mirroring? Най-доброто ръководство
Съвременният софтуер за наблюдение на мрежата включва сложни инструменти, като например графични изображения и аналитични инструменти. Въпреки това, ще има моменти, когато ще трябва да се върнете към техниките за анализ на гайките и болтовете за улавяне на пакети, докато пътуват из мрежата. Дублирането на портове е техника за улавяне на пакети.
Захващането на пакети изисква хардуерен елемент, който се нарича a TAP (тестова точка за достъп ). За щастие вече имате хардуер, който канализира целия ви мрежов трафик: комутатори и хъбове. Можете да впрегнете възможностите на тези устройства, за да елиминирате необходимостта от закупуване на отделен вграден сензор или трафик сплитер. Техниката за използване на вашето мрежово оборудване за улавяне на трафик се нарича „ дублиране на портове .” Това ръководство ще ви даде цялата информация, от която се нуждаете, за да внедрите дублиране на порт във вашата мрежа.
>>> Преминете към списъка с препоръчани инструменти за наблюдение по-долу <<<
Превключете обработката на трафика
Много малка мрежа би имала само един комутатор или хъб. Въпреки това не е необходим голям растеж в мрежата, за да се създаде изискване за друг превключвател. Когато имате няколко комутатора във вашата мрежа, те преместват трафика, без да канализират всички пакети през централна точка.
Тази децентрализирана конфигурация означава, че не можете да изберете само един комутатор в мрежата за събиране на данни, ако искатепримерен трафикот всички ваши данни. Това е така, защото другите превключватели във вашата мрежа ще обменят трафик между тях, който не е необходимо да се канализира през избраното от вас устройство. Този проблем обаче би възникнал и ако решите да приложите aТАПкато инструмент за улавяне на пакети.
Когато улавяте мрежовия трафик, трябва да решите дали вашите изисквания могат да бъдат изпълнени от пакетите, преминаващи през една точка, или трябва да видите цялото поведение на мрежовия трафик в цялата мрежа наведнъж.
В действителност е по-вероятно да трябва да разгледате трафика на връзка. При такъв сценарий вероятно ще се опитвате да видите защо една връзка във вашата мрежа е претоварена и кои типове трафик бихте могли да пренасочите или ограничите, за да разрешите проблема.
Въпреки че може да искате вижте целия мрежов трафик , заснемането на всичко наведнъж скоро се превръща в свръхамбициозна цел. Ако можете да уловите всички входящи и изходящи пакети, ще бъдете затрупани от всички събрани данни.
За да оцените правилно производителността на вашата мрежа, вие така или иначе ще категоризирате целия трафик по мрежово устройство, така че е по-добре да използвате отразяване на порт за всяко устройство по устройство. Други инструменти са по-подходящи да ви осигурят видимост на цялата мрежа. В тези случаи би било по-добре да използвате NetFlow за извадка на данни от няколко мрежови точки едновременно. Ще ви е необходим сложен инструмент за анализ на мрежовия трафик, за даобобщават и обобщаватвсички данни за трафика.
Какво е дублиране на портове?
Дублирането на порт предлага метод за дублиране на мрежов трафик и насочване на копието към хранилище на данни.
В сплитер използвате устройство, коетодублира целия трафиккато едно копие продължава към предвидените дестинации, а другото се показва на екрана или отива към файл. С дублирането на порта вие използвате абсолютно същата техника, но променяте настройките на вашия комутатор, за да създадете функция за дублиране на данни, като по този начин премахвате необходимостта от инсталиране на отделно физическо устройство.
По същество инструкцията за дублиране на порт казва на комутатора да изпрати копие на трафика към конкретен порт. Методологията включва набор от опции, които ви позволяват да изберете конкретен трафик произхождащи от или пътуващи до дадени IP адреси, или избирайки да копирате целия трафик. След като комутаторът раздели необходимия трафик, всичко, което трябва да направите, е да съберете пакетите, които се изпращат до порта, определен като точка за доставка на данни.
Суичове и хъбове
А връзка , или ' хоп ,” в мрежа е връзката между две устройства. Връзката може да е последният участък, който свързва един крайна точка , или може да е между две мрежови устройства . Винаги ще има мрежово устройство в поне единия край на връзката. За трафик в мрежа това устройство ще бъде или a превключвател или а хъб .
Хъбът предава целия трафик, който получава по една от своите връзки, към всички останали. Той не обръща внимание на адреса на местоназначението на входящите пакети. Превключвателят е по-селективен, защотопроверява заглавките на пакетитеи препраща всеки към порта, който е посочил за този адрес. Кабелът, свързан към този целеви порт, може да не води до крайната точка, идентифицирана от този адрес. Ако има друго мрежово устройство между този комутатор и крайната точка, кабелът, който получава движещите се данни, ще доведе до това междинно устройство, което от своя страна ще ги препрати нататък.
За щастие, за улавяне на пакети, комутаторите и хъбовете не създават временни физически връзки между портовете източник и дестинация във връзка. Вместо, устройството събира входящите данни . То тогава създава точно копие на тези данни и го прилага към целевия порт. В случай на хъбове това действие създава дублиране . Например, ако хъб получи пакет на един от десетте си порта, той ще изпрати същия пакет на всички останали девет порта.
И така, един пакет става девет копия. Превключвателят прави абсолютно същото с пакети, които са маркирани за излъчване . Трафикът, който пътува до една дестинация, се копира само в порта, който комутаторът е посочил за този адрес. Така че продължава да има само един екземпляр от тези данни, докато излизат от комутатора.
Дублирането на пакети, извършвано от комутатори и рутери, е точно същото като работата, извършвана от трафик сплитер.
Дублиране на портове с хъб
Както можете да видите от описанията как работят комутаторите и хъбовете, хъб автоматично дублира целия трафик, който получава . Така че, ако имате само хъбове във вашата мрежа, е много лесно да получите копие на целия трафик, циркулиращ в нея. Хъбът изпраща целия трафик към всички крайни точки. Ако този трафик трябва да премине през други мрежови устройства, за да достигне до някои от крайните точки в мрежата, това няма да блокира трафика, достигащ до тези крайни точки, ако междинните устройства също са хъбове.
Тъй като вашият собствен компютър е свързан към един от хъбовете в мрежата, целият трафик в мрежата автоматично ще бъде изпратен към вашия компютър, без да се налага да променяте настройките на хъба. Вашият компютър обаче няма да чете целия този трафик.
Фърмуерът на мрежовата интерфейсна карта на вашия компютър има идентификатор, твърдо кодиран в него: това е Мак адрес , което означава „ контролер за достъп до медия .” Мрежовата карта ще реагира само на пристигащи съобщения, които съдържат този MAC адрес. Всички останали ще бъдат игнорирани. Мислете за мрежовата карта като за портиер в частен клуб. Всеки, който пристига, трябва да даде парола, за да влезе; тези без паролата се блокират за влизане. MAC адресът е тази парола.
Ако искате да видите целия трафик в мрежа, която е оборудвана изцяло с концентратори, всичко, което трябва да направите, е да кажете на мрежовата карта да премахне изискването за собствен MAC адрес. В мрежовата терминология тази настройка се нарича „ безразборен режим .”
Пуристите ще твърдят, че поставянето на вашата мрежова карта в безразборен режим не е „отразяване на портове“, защото вашата мрежова карта не дублира пакети. Казват, че картата просто премахва изискването за своя MAC адрес, за да разпознава пристигащите пакети и да ги препраща към приложенията на вашия компютър.
Всъщност „отразяването на портове в хъб“ е излишна концепция, тъй като хъбът дублира всички пакети по подразбиране. По принцип терминът „отразяване на портове“ се прилага само за комутатори.
Дублиране на портове с превключвател
Когато комутаторът получи пакет, той препраща към адреса на местоназначението в заглавката на дейтаграмата. След това прави копие на пакета и изпраща тази нова версия на номера на порта, който е асоциирал с този MAC адрес.
При стандартните операции, които се наричат „ уникаст ”, се прави само едно копие на входящо съобщение и то се изпраща само на един порт. Превключвателите са способни да дублират трафик , въпреки това. Например, когато превключвателят получи излъчено съобщение, той прави същия брой копия като броя на активните си портове и изпраща по едно копие на всеки от тези портове. Превключвателите също имат „ мултикаст ” възможности, които изискват от тях да създават ограничен брой копия.
Тъй като всички комутатори са програмирани със способността да обработват излъчвани и групови съобщения, задачата за дублиране на пакети не представлява проблем за техния хардуер. Концептуално, да накарате вашия комутатор да изпълнява дублиране на пакети изисква много малко задачи:
- Превключвателят е инструктиран да направи копие на целия трафик.
- Превключвателят изпраща целия трафик към желаната дестинация.
- Комутаторът изпраща копие на целия трафик към определен порт.
- Събирате целия трафик на посоченото пристанище.
Дублирането на всички пакети, преминаващи през комутатор, е много проста работа и не изисква много допълнителни усилия за обработка от страна на устройството. Ако искате да прегледате пакетите, преминаващи през конкретен комутатор, просто трябва да му кажете да дублира целия този трафик и да го изпрати до порт и също така да му кажете свържете MAC адреса на вашия компютър с посочения номер на порт . След това трябва да поставите мрежовата карта на компютъра си в безразборен режим, за да сте сигурни, че ще поеме целия трафик, а не само тези дейтаграми с MAC адреса си върху тях.
Дублиране на целия мрежов трафик
Решението по-горе е опростена версия на това, което всъщност се случва в превключвател, когато той изпълнява отразяване на порт. В действителност задачата е малко по-сложна. Например би било неудобно да свързвате компютъра си директно с кабел към превключвател, за да поемете целия му трафик. В старите времена това беше изискване на LAN анализаторите и специфичната за местоположение връзка все още е ключова характеристика на мрежовите TAP.
Благодарение на технологията за маршрутизиране, модерното дублиране на портове е по-усъвършенствано. Можете да изследвате трафика, преминаващ през всеки комутатор навсякъде по света , стига този превключвател да е достъпен от вашето местоположение или през мрежата, или през интернет. Не е необходимо да свързвате физически компютъра си към този комутатор. Когато пътувате из интернет, дублирането на портовете става малко по-сложно, тъй като дейтаграмите се нуждаят от допълнително опаковане на мрежовия слой на Интернет. За това ръководство ще се занимаваме само с дублиране на портове от мрежа.
Повечето комутатори имат способността да доставят уловени пакети през мрежа, пътувайки през други мрежови устройства. Всеки производител на суичове произвежда свой собствен фърмуер за своите суичове и менюто на конзолата за управление е различно за всеки. За целите на това ръководство ще се съсредоточим върху методите, използвани от Cisco Systems за да направи дублиране на портове достъпно на своите мрежови комутатори.
Относно комутаторите Cisco SPAN
Извиква се функцията за дублиране на порт на комутатора на Cisco SPAN . Това означава Анализатор на комутирани портове . SPAN ви дава всички възможности за улавяне на пакети на всеки комутатор на Cisco, независимо дали сте директно свързани към този комутатор или не. Трябва обаче да имате резервен порт на комутатор, който може да стане точка за събиране на дублирани пакети.
В терминологията на SPAN, „ изходен порт ” е порт, от който се дублира трафикът. „ пристанище на местоназначение ” е адресът на порта, към който се изпращат дублираните пакети за събиране. Бъдете много внимателни, за да запомните тези отличителни термини, защото ще се изкушите да се позовавате на вашата традиционна мрежова терминология, когато разглеждате пакети, които се изпълняват от порт източник към порт местоназначение.
Системата SPAN може да наблюдава един порт или много портове. Възможно е също така да се идентифицира посоката на трафика в това пристанище, което ви дава само входящ, само изходящ или и двете. Въпреки това, ако разглеждате няколко порта наведнъж, всички те трябва да имат една и съща наблюдавана посока на потока на трафика.
Не можете да посочите от и към портовете за улавяне (т.е. получавате само трафик, пристигащ на конкретен порт, който тръгва от конкретен порт). Ако това е функционалността, която търсите, изберете входящия порт и да улови всички получени пакети там. След това можете да филтрирате целия трафик, с изключение на този, който напуска предадения порт, който ви интересува, след като имате всички данни във вашия софтуер за анализ .
По време на сесия можете или да наблюдавате портове, или да наблюдавате VLAN мрежи – не можете да покриете двата типа портове наведнъж.
Cisco SPAN режими
Cisco SPAN ви позволява да улавяте пакети чрез три режима:
- Локален SPAN: Наблюдавайте трафика на суич, към който сте директно свързани.
- Отдалечен SPAN (RSPAN): Наблюдавайте трафика на отдалечен порт, но получете заснетите пакети, изпратени до порт на вашия локален комутатор за събиране.
- Капсулиран отдалечен SPAN (ERSPAN): Същият процес като RSPAN, с изключение на това, че прехвърлянето на огледални пакети към вашия локален комутатор се извършва от GRE капсулиране.
Опцията RSPAN не е налична на комутатори Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 и 2900XL.
Наличност на Cisco SPAN
SPAN се предлага на всички от следните модели комутатори на Cisco:
Серия Catalyst Express 500 / 520
- Серия Catalyst 1900
- Серия Catalyst 2900XL
- Серия Catalyst 2940
- Катализатор 2948G-L2, 2948G-GE-TX, 2980G-A
- Серия Catalyst 2950
- Серия Catalyst 2955
- Серия Catalyst 2960
- Серия Catalyst 2970
- Серия Catalyst 3500 XL
- Серия Catalyst 3550
- Серия Catalyst 3560 / 3560E / 3650X
- Серия Catalyst 3750 / 3750E /3750X
- Серия Catalyst 3750 Metro
- Серия Catalyst 4500/4000
- Серия Catalyst 4900
- Серия Catalyst 5500/5000
- Серия Catalyst 6500/6000
За съжаление, наборът от команди не е еднакъв за всички превключватели. Това е основно защото компанията има специализиран фърмуер за някои от своите устройства Catalyst, който се нарича Катос . Други комутатори на Cisco използват операционна система, наречена IOS , което не е същото като операционната система iOS, използвана от устройствата на Apple.
Няколко комутатора на Cisco нямат собствени възможности за дублиране на портове, но има безплатна помощна програма, която можете да използвате при тези обстоятелства, за която ще прочетете след малко.
Настройте SPAN на IOS комутатори
За модели на комутатори с фърмуер на IOS трябва да стигнете до операционната система на устройството и да издадете команда, за да посочите SPAN порта и порта за наблюдение. Тази задача се изпълнява от два реда команди. Човек трябва да посочете източника , което означава портът, който ще има репликиран трафик и другият дава номера на порта, към който е свързан сниферът – това е крайната линия.
|_+_|След като приключите с дефинирането на огледалото, трябва да натиснете CTRL-Z за да прекратите дефиницията на конфигурацията за отразяване на порт.
Номерът на сесията просто ви позволява да създадете няколко различни монитора, работещи едновременно. Ако използвате същия номер на сесия на монитор в следваща команда, вие ще отмените оригиналното проследяване и ще го замените с новата спецификация. Диапазоните на портовете се определят с тире („-“), а поредица от портове се разделят със запетаи (“,“) .
Последният елемент в командния ред за порта източник (портът, който ще се наблюдава) е спецификацията дали комутаторът трябва да репликира предадените пакети от всяко пристанище , или и двете .
Настройте SPAN на CatOS комутатори
По-новите серии Catalyst се доставят с по-нова операционна система, наречена Катос , вместо по-старата операционна система IOS. Командите, използвани за настройка на дублиране на SPAN в тези комутатори, са малко по-различни. С тази операционна система създавате дублиране само с една команда вместо две.
|_+_|Изходните портове се дефинират от първия елемент в тази команда, който е „ src_mod/src_ports ” част. Идентификатор на втори порт в командата автоматично се чете като порт на местоназначение – тоест портът, към който е прикрепен снифърът на пакети. „ rx | tx | и двете ” казва на комутатора да репликира предадените пакети от всяко пристанище , или и двете .
Има и команда за задаване на обхват за изключване на дублирането:
|_+_|Настройте SPAN на комутатори Catalyst Express 500 и Catalyst Express 520
Ако имате комутатор Catalyst Express 500 или Catalyst Express 520, не въвеждате настройките на SPAN в операционната система. За да комуникирате с комутатора и да промените неговите настройки, трябва да инсталирате Мрежов асистент на Cisco ( CNA ). Този софтуер за управление на мрежата е безплатен и работи в среда на Windows. Следвайте тези стъпки, за да активирате SPAN на комутатора.
- Влезте в комутатора през интерфейса на CNA.
- Изберете Smartports опция в CNA меню. Това ще покаже графика, представяща масива от портове на комутатора.
- Щракнете върху порта, към който искате да свържете снифера на пакети, и изберете Променете опция. Това ще доведе до изскачащ прозорец.
- Изберете Диагностика в Роля и изберете порта, чийто трафик ще бъде наблюдаван от Източник падащ списък. Ако искате конкретно да наблюдавате VLAN, изберете го от Входящ VLAN списък. Ако не се стремите просто да наблюдавате трафика за VLAN, оставете тази стойност по подразбиране. Кликнете върху Добре за да запазите настройките.
- Кликнете върху Добре и тогава Приложи в Smartports екран.
Един проблем с метода CNA е, че софтуерът работи само на версии на Windows до Windows 7 .
Обработка на уловените пакети
Дублирането на портове, настроено на вашия комутатор, няма да съхранява или анализира уловените пакети. Можеш да използваш всеки софтуер за мрежов анализ за обработка на пакетите, изпратени до вашето устройство.
Ключов проблем, който ще трябва да осъзнаете, когато улавяте пакети, е, че ще трябва да се справите с много голямо количество данни. Изхвърляне на необработен текст на преминаващ мрежов трафик е почти невъзможно да се пречисти без насочен преглед на данни. Това е най-ниската категория инструменти за достъп до данни, които трябва да имате предвид. Пълна помощна програма за анализ на трафика би била още по-добра.
Можете да видите изчерпателен списък на препоръчани инструменти за анализ на мрежовия трафик в статията, Най-добрите пакетни анализатори / пакетни снифери . За удобство двата най-добри мрежови инструмента в този преглед са обобщени по-долу.
Инструмент за дълбока проверка и анализ на пакети SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
SolarWinds произвежда голям каталог от инструменти за наблюдение и управление на мрежата. За анализ на изхода при дублиране на портове трябва да имате предвид този на компанията Дълбок пакет и анализ инструмент, за да бъде най-добрият ви вариант. Това е част от Network Performance Monitor на компанията, който е нейният централен продукт.
Този инструмент може да интерпретира данни, получени от широк набор от инструменти за събиране на пакети и ще ви позволи да видите къде възникват скокове на трафика. Трябва да разгледате приложенията, които генерират по-голямата част от търсенето във вашата мрежа, за да изградите стратегии за подобряване на производителността. Този инструмент за анализ поддържа тези разследвания.
Мониторът на производителността на мрежата е най-добрият инструмент и не е безплатен. Можете обаче да получите 30-дневен безплатен пробен период. Не забравяйте, че улавянето на пакети всъщност не е възможна опция за наблюдение на целия трафик в цялата ви мрежа. За тези ситуации би било по-добре с SolarWinds NetFlow Traffic Analyzer. Това наема Cisco NetFlow функционалност за извадка на трафик от мрежата. Също така е в състояние да общува с Juniper Networks оборудване чрез J-Flow стандарт за вземане на проби от пакети, с Huawei устройства, използващи NetStream , и може също да използва независимия от производителя sFlow и IPFIX системи за анализ на трафика. Можете също така да получите NetFlow Traffic Analyzer на 30-дневен безплатен пробен период.
Мониторът на производителността на мрежата и анализаторът на трафика NetFlow представляват добра комбинация за мрежов анализ, защото ви дават обща перспектива и инструментите за изследване на трафика на пакети, преминаващ през отделни устройства. SolarWinds предлага тези два инструмента заедно като Network Bandwidth Analyzer Pack, който можете да получите и на 30-дневен безплатен пробен период.
SolarWinds Deep Packet Inspection and Analysis Изтеглете 30-дневна БЕЗПЛАТНА пробна версия
Инструмент за улавяне на пакети Paessler
Paessler PRTG е инструмент за наблюдение на мрежата, който се състои от много отделни сензори. Един от тези инструменти е a сензор за улавяне на пакети . Този сензор не идва с физически кран; вместо това той разчита на данните, предоставени в поток от вашите комутатори. Този инструмент предлага страхотни визуализации на данни както за живи данни, така и за пакети, прочетени от файлово хранилище.
Страхотното при PRTG е, че може да ви предложи различни слоеве на видимост от един и същи инструмент. Той също така включва сензори, които вземат проби от мрежови данни, като улавят само заглавки на пакети от различни места в мрежата. Можете също намалете количеството данни които трябва да бъдат обработени от монитора чрез указване на вземане на проби.
Освен сензора за подслушване на пакети, PRTG включва следните системи за вземане на проби от трафик:
- Сензор NetFlow
- Сензорът sFlow
- Сензор J-Flow
С тази система можете да използвате сензорите NetFlow, sFlow и J-Flow, за да получите общ преглед на цялата си мрежа и след това да отидете на снифера на пакети, за да се съсредоточите върху типичните потоци на едно устройство. След като изолирате претоварен комутатор, можете да се ориентирате към конкретните портове, които имат твърде много трафик, и да разгледате типовете трафик, които го претоварват. С тази информация можете или да приложите мерки за оформяне на трафика, или да изберете да добавите повече инфраструктура, за да пренасочите точките с тежък трафик и да разпределите товара.
Сензорът за снифър на пакети обработва само заглавките на трафик дейтаграми, пътуващи из мрежата. Тази стратегия намалява количеството обработка, необходима за агрегиране на показателите на потока и значително ускорява анализа.
Проблеми с отразяването на портове
Пълното улавяне и съхранение на пакети може да ви създаде проблеми с поверителността на данните. Въпреки че по-голямата част от трафика, преминаващ през вашата мрежа, ще бъде криптиран, ако е предназначен за външни сайтове, не целият вътрешен трафик ще бъде криптиран. Освен ако вашата организация не е решила да внедри допълнителна защита за имейли, пощенският трафик около вашата мрежа няма да бъде шифрован по подразбиране.
Като алтернативна техника за анализ на трафика можете да обмислите използването на NetFlow. Това е система за съобщения, която е активирана на всички устройства на Cisco и ще препраща само заглавките на пакетите към централен монитор. Можете да прочетете за мрежовите монитори, които събират NetFlow данни в статията Най-добрите NetFlow анализатори и инструменти за събиране .
След като разполагате с информацията на една ръка разстояние за всички възможности за наблюдение на трафика на вашите комутатори на Cisco, вие ще бъдете в по-добра позиция да решите кой метод за улавяне на пакети да използвате.
Избор на правилната стратегия за мрежов анализ
Надяваме се, че това ръководство ви е запознало с проблемите, свързани с дублирането на портове. Въпреки че има моменти, когато наистина не можете да избегнете слизането до ниво пакет, за да оцените правилно мрежовия си трафик, трябва стеснете изследването си с други инструменти, преди да организирате улавяне на пакети като задача.
Дублирането на портове има своите проблеми – нарушава поверителността на данните и може да генерира много големи количества данни. Разгледайте методите за обобщена информация за трафика като първа линия на разследване и стигнете до отразяване на портове, след като идентифицирате връзки с проблеми. След като настроите отразяване на портове на вашите комутатори, не забравяйте да насочите всички данни към инструмент за анализ, така че да можете да използвате правилно цялата информация, която тази стратегия ще генерира.
ЧЗВ за дублиране на портове
Каква е разликата между отразяване на портове и отразяване на трафик?
Основната разлика между дублирането на портове и мониторинга на трафика е, че мониторът на трафика събира статистически данни за пакетите, докато преминават през комутирани и рутери, но дублирането на портове взема пълно копие на всички тези пакети.
Дублирането на портове влияе ли върху производителността на мрежата?
Според Cisco Systems, водещият производител на мрежови комутатори, дублирането на портовете не натоварва много комутаторите. Превключвателят не трябва да обработва допълнителния поток, който се генерира от отразяване, той само дублира изход, върху който вече трябваше да работи.
Какво е span порт на комутатор?
Портът span всъщност е порт SPAN – SPAN означава Switched Port Analyzer. SPAN портът е посветен на предоставянето на канал за анализ на пакети – той всъщност е виртуален порт.