Den ultimative guide til portspejling

Ultimate Guide til Port Mirroring (1)


Moderne netværksovervågningssoftware inkluderer sofistikerede værktøjer, såsom grafiske repræsentationer og analyseværktøjer. Der vil dog være tidspunkter, hvor du bliver nødt til at gå tilbage til møtrikker og bolte-analyseteknikker til at fange pakker, når de rejser rundt på netværket. Port spejling er en pakkeindfangningsteknik.

Packet capture kræver et hardwareelement, der kaldes a TAP (testadgangspunkt). Heldigvis har du allerede hardware, der kanaliserer al din netværkstrafik: switches og hubs. Du kan udnytte disse enheds muligheder for at eliminere behovet for at købe en separat inline sensor eller trafikopdeling. Teknikken til at bruge dit netværksudstyr til at fange trafik kaldes "port spejling.”Denne vejledning giver dig alle de oplysninger, du har brug for for at implementere portspejling på dit netværk.

>>> Gå til listen over anbefalede overvågningsværktøjer nedenfor<<<

Skift trafikbehandling

Et meget lille netværk har kun en switch eller hub. Det kræver dog ikke meget vækst i netværket for at skabe et krav til en anden switch. Når du har flere kontakter på dit netværk, flytter de trafik uden at behøve at kanalisere alle pakker gennem et centralt punkt.

Denne decentrale konfiguration betyder, at du ikke kun kan vælge en switch på netværket til dataindsamling, hvis du vil prøve trafik fra alle dine data. Dette skyldes, at de andre switches på dit netværk udveksler trafik mellem dem, som ikke behøver at kanaliseres gennem din valgte enhed. Dette problem vil dog også opstå, hvis du valgte at implementere en TAP som et pakkeoptagelsesværktøj.

Når du fanger netværkstrafik, skal du beslutte, om dine krav kan opfyldes ved at pakkerne passerer et punkt, eller om du skal se al netværkstrafikadfærd på hele netværket på én gang.

I virkeligheden er det mere sandsynligt, at du bliver nødt til at se på trafikken pr. Link. I et sådant scenarie vil du sandsynligvis prøve at se, hvorfor et link på dit netværk er overbelastet, og hvilke typer trafik, du kan omdirigere eller smøre for at løse problemet.

Selvom du måske vil se al netværkstrafik, at fange det hele på én gang bliver hurtigt et overambitiøst mål. Hvis du kunne fange alle netværkspakker, ville du blive overvældet af alle de indsamlede data.

For korrekt at vurdere netværkets ydelse skal du alligevel kategorisere al trafik efter netværksenhed, så det er bedre at bruge portspejling på en enhed-for-enhed-basis. Andre værktøjer er bedre egnet til at give dig en hel netværkssynlighed. I disse tilfælde ville du have det bedre med at bruge NetFlow til at prøve data fra flere netværkspunkter samtidigt. Du har brug for et sofistikeret værktøj til netværkstrafikanalyse til samlet og opsummer alle trafikdata.

Om havnespejling

Port spejling tilbyder en metode til at duplikere netværkstrafik og dirigere kopien mod et datalager. I en splitter bruger du en enhed der duplikerer al trafik med den ene kopi, der fortsætter til de tilsigtede destinationer, og den anden vises på en skærm eller går til en fil. Med portspejling bruger du nøjagtigt den samme teknik, men du ændrer indstillingerne på din switch for at oprette en datatuplikationsfunktion, hvilket fjerner behovet for at installere en separat fysisk enhed.

I det væsentlige fortæller en port spejlinstruktion kontakten at sende en kopi af trafik til en bestemt port. Metodikken indeholder en række muligheder, der gør det muligt for dig vælg specifik trafik stammer fra eller rejser til gitte adresser, eller vælger at kopiere al trafik. Når kontakten har delt den krævede trafik, er alt hvad du skal gøre at indsamle de pakker, der sendes til den port, der er udpeget som dataleveringssted.

Kontakter og nav

EN link, eller "hoppe,”På et netværk er forbindelsen mellem to enheder. Linket kan være den sidste strækning, der forbinder en endepunkt, eller det kan være mellem to netværksenheder. Der vil altid være en netværksenhed i mindst den ene ende af linket. For trafik inden for et netværk er den enhed enten en kontakt eller a hub.

En hub overfører al den trafik, den modtager på en af ​​dens forbindelser, til alle de andre. Det er ikke opmærksom på destinationsadressen på de indgående pakker. En switch er mere selektiv, fordi den undersøger pakkeoverskrifter og videresender hver til den port, den har angivet til den adresse. Kablet, der er tilsluttet denne destinationsport, fører muligvis ikke til det slutpunkt, der identificeres af den adresse. Hvis der er en anden netværksenhed mellem denne switch og slutpunktet, fører kablet, der modtager de bevægelige data, til den mellemliggende enhed, som igen videresender den til.

Heldigvis skaber og hub'er til pakkeindfang ikke midlertidige fysiske forbindelser mellem kilde- og destinationsportene i en forbindelse. I stedet, enheden indsamler de indkommende data. Derefter opretter en nøjagtig kopi af disse data og anvender det til destinationshavnen. I tilfælde af hubs, denne handling skaber duplikering. For eksempel, hvis en hub modtager en pakke på en af ​​sine ti porte, sender den den samme pakke ud på alle sine andre ni porte.

Så en pakke bliver ni kopier. En switch gør nøjagtigt det samme med pakker, der er markeret til udsende. Trafik, der rejser til en destination, kopieres kun til den port, som kontakten har angivet til den adresse. Så der er fortsat kun én forekomst af disse data, når de bevæger sig ud af kontakten.

Kopieringen af ​​pakker, der udføres af switches og routere, er nøjagtigt det samme som det arbejde, der udføres af en trafikopdeling.

Port spejling med et hub

Som du kan se fra beskrivelserne af hvordan switches og hubs fungerer, en hub duplikerer automatisk al den trafik, den modtager. Så hvis du kun har hubs på dit netværk, er det meget let at få en kopi af al den trafik, der cirkulerer på det. Navet sender al trafik til alle slutpunkter. Hvis denne trafik skal rejse gennem andre netværksenheder for at nå nogle af slutpunkterne på netværket, blokerer det ikke for trafikken, der kommer til disse slutpunkter, hvis mellemenhederne også er hubs.

Da din egen computer er tilsluttet et af hubs på netværket, sendes al trafik på netværket automatisk til din computer uden at skulle ændre hubens indstillinger. Din computer læser dog ikke i al den trafik.

Firmwaren på din computers netværkskort har en identifikation, der er hardkodet ind i det: dette er den Mac-adresse, som står for “medieadgangscontroller.”Netværkskortet reagerer kun på ankomne meddelelser, der har den MAC-adresse på dem. Alle andre vil blive ignoreret. Tænk på netværkskortet som en dørmand i en privat klub. Enhver, der ankommer, skal give et kodeord for at komme ind; dem uden adgangskode blokeres for at komme ind. MAC-adressen er den adgangskode.

Hvis du vil se al trafikken på et netværk, der er udstyret fuldstændigt med hubs, skal du bare bede netværkskortet om at droppe kravet til sin egen MAC-adresse. I netværksterminologi kaldes denne indstilling "promiskuøs tilstand.”

Purister vil hævde, at det at sætte dit netværkskort i promiskuøs tilstand ikke er "portspejling", fordi dit netværkskort ikke duplikerer pakker. De siger, at kortet bare dropper kravet til sin MAC-adresse for at genkende ankomne pakker og videresende dem til applikationer på din computer.

I sandhed er "portspejling på et hub" et overflødigt koncept, fordi huben duplikerer alle pakker som standard. Generelt anvendes udtrykket "portspejling" kun på switches.

Port spejling med en switch

Når en switch modtager en pakke, refererer den til destinationsadressen i overskriften på datagrammet. Den opretter derefter en kopi af pakken og sender den nye version ud på portnummeret, som den har tilknyttet den MAC-adresse.

I standardoperationer, der kaldes "unicast,”Kun en kopi er lavet af en indgående meddelelse, og den sendes kun på en port. Kontakter er i stand til at duplikere trafik, imidlertid. Når kontakten f.eks. Modtager en udsendelsesmeddelelse, foretager den det samme antal kopier som antallet af aktive porte og sender en kopi ud på hver af disse porte. Kontakterne har også “multicast”-Funktioner, som kræver, at de opretter et begrænset antal kopier.

Da alle switches er programmeret med evnen til at håndtere broadcast- og multicast-meddelelser, giver opgaven med at duplikere pakker ikke deres hardware et problem. Konceptuelt kræver det meget få opgaver at få din switch til at udføre pakkeduplicering:

  1. Kontakten instrueres om at kopiere al trafik.
  2. Kontakten sender al trafik til den ønskede destination.
  3. Kontakten sender en kopi af al trafik til en nomineret havn.
  4. Du samler al trafik i den nominerede havn.

At få alle pakker, der duplikeres, rejser gennem en switch er et meget simpelt job og bruger ikke meget ekstra behandlingsindsats fra enhedens side. Hvis du vil undersøge pakkerne, der kører gennem en bestemt switch, skal du bare fortælle den at duplikere al den trafik og sende den til en port og også fortælle den til knyt MAC-adressen på din computer til det angivne portnummer. Derefter skal du sætte din computers netværkskort i promisk mode for at sikre, at det henter al trafik og ikke kun disse datagrammer med dens MAC-adresse på dem.

Kopiering af al netværkstrafik

Opløsningen ovenfor er en forenklet version af, hvad der faktisk sker i en switch, når den udfører portspejling. I virkeligheden er opgaven lidt mere kompliceret. For eksempel ville det være upraktisk at skulle tilslutte din computer direkte med et kabel til en switch for at hente al dens trafik. I gamle dage var det et krav fra LAN-analysatorer, og en lokaliseringsspecifik forbindelse er stadig en nøglefunktion i netværks-TAP'er.

Takket være routing-teknologi er moderne portspejling mere sofistikeret. Du kan undersøge trafikken, der passerer gennem enhver switch overalt i verden, bare så længe denne switch kan nås fra din placering enten over netværket eller over internettet. Du behøver ikke fysisk tilslutte din computer til denne switch. Når du rejser over internettet, bliver havnespejling lidt mere kompliceret, fordi datagrammer har brug for ekstra emballage i internetnetværkslaget. Til denne vejledning beskæftiger vi kun portspejling fra et netværk.

De fleste switches har kapacitet til at levere fangede pakker over et netværk ved at rejse gennem andre netværksenheder. Hver switch-producent fremstiller sin egen firmware til sine switches, og menuen til administrationskonsol er forskellig for hver. I denne vejlednings formål fokuserer vi på de metoder, der bruges af Cisco Systems for at gøre havnespejling tilgængelig på dets netværkskontakter.

Om Cisco SPAN-switches

Cisco switch-port spejlfacilitet kaldes SPAN. Dette står for Switched Port Analyzer. SPAN giver dig alle mulighederne for at fange pakker på enhver Cisco-switch, uanset om du er direkte tilsluttet denne switch. Du skal dog have en reserveport på en switch, der kan blive indsamlingssted for duplikerede pakker.

I SPAN-terminologi er en "kilde port”Er en port, som trafikken duplikeres fra. Det "Destinationshavn”Er adressen på den port, som de duplikerede pakker sendes til samling. Vær meget omhyggelig med at huske disse karakteristiske udtryk, fordi du bliver fristet til at henvise til din traditionelle netværksterminologi, som du ser på pakker, der kører fra en kildehavn til en destinationshavn.

SPAN-systemet er i stand til at overvåge en port eller mange porte. Det er også muligt at identificere trafikretningen i denne havn, hvilket kun giver dig indstrømning, kun udstrømning eller begge dele. Hvis du imidlertid undersøger et antal porte på én gang, skal de alle have den samme trafikstrømningsretning overvåget.

Du er ikke i stand til at specificere fra og til porte, der skal fanges, (dvs. kun få trafik, der ankommer til en bestemt port, der forlader fra en bestemt port). Hvis dette er den funktionalitet, du leder efter, vælg indstrømningsporten og fange alle de modtagne pakker der. Du kan derefter filtrere al trafik bortset fra, at det forlader på den transmitterede havn af interesse, når du har alle dataene i din analysesoftware.

I en session kan du enten overvåge porte eller overvåge VLAN - du kan ikke dække begge typer porte på én gang.

Cisco SPAN-tilstande

Cisco SPAN giver dig mulighed for at optage pakker via tre tilstande:

  • Lokal SPAN: Overvåg trafik på en switch, som du er direkte tilsluttet.
  • Fjernspan (RSPAN): Overvåg trafik på en fjernport, men få de fangede pakker sendt til en port på din lokale switch til indsamling.
  • Indkapslet Remote SPAN (ERSPAN): Den samme proces som RSPAN bortset fra at overførslen af ​​spejlpakker til din lokale switch udføres af GRE-indkapsling.

RSPAN-indstillingen er ikke tilgængelig på Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 og 2900XL-switches.

Cisco SPAN tilgængelighed

SPAN er tilgængelig på alle følgende Cisco switch-modeller:

Catalyst Express 500/520-serie

  • Catalyst 1900-serie
  • Catalyst 2900XL-serie
  • Catalyst 2940-serie
  • Katalysator 2948G-L2, 2948G-GE-TX, 2980G-A
  • Catalyst 2950-serie
  • Catalyst 2955 Series
  • Catalyst 2960-serie
  • Catalyst 2970 Series
  • Catalyst 3500 XL-serie
  • Katalysator 3550-serie
  • Katalysator 3560 / 3560E / 3650X-serien
  • Katalysator 3750 / 3750E / 3750X-serien
  • Catalyst 3750 Metro Series
  • Katalysator 4500/4000-serie
  • Catalyst 4900-serie
  • Catalyst 5500/5000-serie
  • Catalyst 6500/6000-serie

Desværre er kommandosættet ikke det samme på alle switches. Dette skyldes mest, at virksomheden har en specialiseret firmware til nogle af sine Catalyst-enheder, der kaldes Catos. Andre Cisco-switche bruger et kaldet operativsystem IOS, hvilket ikke er det samme som iOS-operativsystemet, der bruges af Apple-enheder.

Et par Cisco-switche har ikke indbygget portspejlfunktioner, men der er et gratis værktøj, som du kan bruge under disse omstændigheder, som du vil læse om kort.

Indstil SPAN på IOS-switches

For at skifte modeller med IOS-firmware, skal du komme til enhedens operativsystem og udstede en kommando for at specificere SPAN-porten og porten, der skal overvåges. Denne opgave implementeres af to kommandolinjer. Man skal angiv kilden, hvilket betyder den port, der får replikeret sin trafik, og den anden giver det portnummer, som snifferen er forbundet til - dette er destinationslinjen.

monitor session source [interface | fjernbetjening | vlan] [rx | tx | begge]
overvåge session destination interface

Når du er færdig med at definere spejlet, skal du trykke på CTRL-Z for at afslutte konfigurationsdefinitionen.

Sessionsnummeret giver dig bare mulighed for at oprette flere forskellige skærme, der kører samtidig. Hvis du bruger det samme sessionnummer i en efterfølgende kommando, annullerer du det originale spor og erstatter det med den nye specifikation. Portområder defineres med et bindestreg (“-“), og en række af porte adskilles med komma (“,”).

Det sidste element i kommandolinjen for kildeporten (porten, der skal overvåges) er specifikationen for, om kontakten skal replikere transmitterede pakker fra begge havne, eller begge.

Indstil SPAN på CatOS-switches

Nyere katalysatorområder sendes med et nyere operativsystem, kaldet Catos, i stedet for det ældre IOS-operativsystem. Kommandoerne, der bruges til at konfigurere SPAN-spejling i disse switches, er lidt forskellige. Med dette operativsystem opretter du spejling med kun en kommando i stedet for to.

sæt span [rx | tx | begge]

[inpkts]

[læring]

[multicast]

[filter]

[skab]

Kildeporte defineres af det første element i denne kommando, der er "src_mod / src_ports" en del. En anden portidentifikator på kommandoen læses automatisk som destinationsporten - det vil sige den port, som pakkesnifferen er knyttet til. Det "rx | tx | begge”-Elementet fortæller omskifteren at gentage de transmitterede pakker fra begge havne, eller begge.

Der er også en set span-kommando til at slukke spejling:

sæt span deaktiver [dest_mod / dest_port | alle]

Indstil SPAN på switchene Catalyst Express 500 og Catalyst Express 520

Hvis du har en Catalyst Express 500 eller Catalyst Express 520-switch, indtaster du ikke SPAN-indstillingerne på operativsystemet. For at kommunikere med kontakten og ændre dens indstillinger, skal du installere Cisco Network Assistant (CNA). Denne netværksadministrationssoftware er gratis, og den kører i Windows-miljøet. Følg disse trin for at få SPAN aktiv på kontakten.

  1. Log ind i kontakten gennem CNA-interface.
  2. Vælg Smartports indstilling i CNA menu. Dette viser en grafik, der repræsenterer portens array på kontakten.
  3. Klik på den port, du vil forbinde pakkesnifferen til, og vælg Modificere mulighed. Dette åbner et pop op-vindue.
  4. Vælg Diagnosticering i rolle liste og vælg den port, der skal overvåge sin trafik fra Kilde rulleliste. Hvis du specifikt vil overvåge et VLAN, skal du vælge det fra Ingress VLAN liste. Hvis du ikke sigter mod bare at se trafik for et VLAN, skal du forlade denne værdi som standard. Klik på Okay for at gemme indstillingerne.
  5. Klik på Okay og så ansøge i Smartports skærm.

Et problem med CNA-metoden er, at softwaren kun kører på Windows-versioner op til Windows 7.

Optaget pakkebehandling

Port-spejling, der er indstillet på din switch, gemmer eller analyserer ikke de optagne pakker. Du kan bruge ethvert netværksanalysesoftware at behandle de pakker, der sendes til din enhed.

Et vigtigt problem, som du bliver nødt til at genkende, når du fanger pakker, er, at du bliver nødt til at håndtere en meget stor mængde data. En rå tekstdump af passerende netværkstrafik er næsten umulig at kæmpe igennem uden en guidet datavisning. Dette er den meget laveste kategori af dataadgangsværktøj, som du skal overveje. Et komplet trafikanalyseværktøj ville være endnu bedre.

Du kan se en omfattende liste over anbefalede værktøjer til netværkstrafikanalyse i artiklen 9 bedste pakkeanalysatorer / pakkesniffere for 2019. Af bekvemmelighed sammenfattes de to øverste værktøjer i denne gennemgang nedenfor.

SolarWinds Deep Packet Inspection and Analysis værktøj (GRATIS PRØVEVERSION)

Dyb pakkeinspektion

SolarWinds producerer et stort katalog over netværksovervågnings- og styringsværktøjer. Ved havne-spejling af outputanalyse skal du overveje virksomhedens Deep Packet og analyse værktøj til at være din bedste mulighed. Dette er en del af virksomhedens Network Performance Monitor, som er dets centrale produkt.

Dette værktøj er i stand til at fortolke data hentet fra et bredt udvalg af værktøjer til indsamling af pakker og giver dig mulighed for at se, hvor trafikstød opstår. Du skal se på de applikationer, der genererer størsteparten af ​​efterspørgslen på dit netværk for at konstruere strategier til forbedring af ydeevnen. Dette analyseværktøj understøtter disse undersøgelser.

Network Performance Monitor er et top-of-the-line værktøj, og det er ikke gratis. Du kan dog få en 30-dages gratis prøveperiode. Husk, at pakkefangst ikke rigtig er en mulig mulighed for at overvåge al trafikken på hele dit netværk. I disse situationer ville du have det bedre med SolarWinds NetFlow Traffic Analyzer. Dette beskæftiger sig Cisco NetFlow funktionalitet til at prøve trafik fra netværket. Det er også i stand til at kommunikere med Juniper Networks udstyr gennem J-Flow pakkeudtagning standard med Huawei enheder, bruger NetStream, og det kan også bruge den producentuafhængige sFlow og IPFIX trafikanalysesystemer. Du kan også få NetFlow Traffic Analyzer i en 30-dages gratis prøveperiode.

Network Performance Monitor og NetFlow Traffic Analyzer er et godt combo til netværksanalyse, fordi de giver dig et overblik perspektiv og værktøjerne til at undersøge pakketrafik, der kører gennem individuelle enheder. SolarWinds tilbyder disse to værktøjer sammen som Network Bandwidth Analyzer Pack, som du også kan få i en 30-dages gratis prøveperiode.

SolarWinds Deep Packet Inspection and AnalysisDownload 30-dages GRATIS prøve

Paessler-pakkeoptagelsesværktøj

Paessler-PRTG

Paessler PRTG er et netværksovervågningsværktøj, der består af mange individuelle sensorer. Et af disse værktøjer er en pakkeopsamlingssensor. Denne sensor leveres ikke med en fysisk TAP; i stedet afhænger det af de data, der leveres i en strøm fra dine switches. Dette værktøj tilbyder fantastiske datavisualiseringer til både live data og til pakker læst fra fillagring.

Det fantastiske ved PRTG er, at det kan tilbyde dig forskellige lag af synlighed inden for det samme værktøj. Det inkluderer også sensorer, der sampler netværksdata, der kun fanger pakkeoverskrifter fra forskellige placeringer på netværket. Du kan også reducer mængden af ​​data der skal behandles af monitoren ved at specificere prøveudtagning.

Ud over pakkesniffesensoren inkluderer PRTG følgende trafikprøvetagningssystemer:

  • En NetFlow-sensor
  • En sFlow-sensor
  • En J-Flow-sensor

Med dette system kan du bruge NetFlow-, sFlow- og J-Flow-sensorer til at få et overblik over hele dit netværk og derefter gå til pakkesnifferen for at fokusere på de typiske strømme på en enhed. Når du har isoleret en overbelastet switch, kan du derefter hjem i de specifikke havne, der har for meget trafik og se på de typer trafik, der er overvældende. Med disse oplysninger kan du enten gennemføre trafikformeringsforanstaltninger eller vælge at tilføje mere infrastruktur til at omdirigere tunge trafikpunkter og sprede belastningen.

Pakkesniffer-sensoren behandler kun overskrifterne til trafikdatagrammere, der kører rundt på netværket. Denne strategi reducerer mængden af ​​behandling, der er nødvendig for at aggregere flowmetrics, og analyserer i høj grad hastigheden.

Problemer med havnespejling

Fuld pakkeoptagelse og -lagring kan muligvis opstå problemer med datafortrolighed. Selvom det meste af den trafik, der passerer på dit netværk, vil være krypteret, hvis det er bestemt til eksterne websteder, vil ikke al intern trafik blive krypteret. Medmindre din organisation har besluttet at implementere ekstra sikkerhed for e-mails, bliver posttrafikken omkring dit netværk ikke krypteret som standard.

Som en alternativ trafikanalyseteknik kan du overveje at bruge NetFlow. Dette er et meddelelsessystem, der er aktiveret på alle Cisco-enheder, og det vil videresende bare overskrifter til pakker til en central skærm. Du kan læse om netværksmonitorer, der indsamler NetFlow-data i artiklen 10 Bedste gratis og Premium NetFlow-analysatorer og samlere.

Når du først har oplysningerne om dine Cisco-switches trafikovervågningsmuligheder, vil du være i en bedre position til at beslutte, hvilken pakkeindfangningsmetode du skal bruge.

Valg af den rigtige netværksanalysestrategi

Forhåbentlig har denne vejledning gjort dig opmærksom på de problemer, der omgiver havnespejling. Selvom der er tidspunkter, hvor du virkelig ikke kan undgå at komme ned på pakkeniveau for at kunne bedømme din netværkstrafik korrekt, skal du det indsnævre din forskning med andre værktøjer, før du arrangerer en pakkeoptagelse som en opgave.

Havnespejling har sine problemer - det bryder fortrolighed med data, og det kan generere meget store mængder data. Udforsk metoder til samlet trafikinformation som din første undersøgelseslinje og komme til havnespejling, når du har identificeret links til problemer. Når du har konfigureret portspejling på dine switches, skal du sørge for at kanalisere alle dataene til et analyseværktøj, så du kan gøre brug af al den information, som denne strategi vil generere korrekt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

11 − = 7