Switch Port Monitoring Guide
Switche forbinder dit netværk sammen. Dette er Layer 2 netværksteknologi, der fungerer på Data Link Layer af OSI-stakken. Ved at forbinde kabellængderne til en switch, kan du forbinde endepunkter og andre enheder til netværket. Modtageren på en switch, som Ethernet-kablet tilsluttes, kaldes en port.
Skift selvkonfiguration
Når du introducerer en ny switch på et netværk, behøver du ikke fortælle den, hvilken enhed hvert tilsluttet kabel fører til. Først og fremmest registrerer switchen, hvilke porte der er tilsluttet kabler.
Når switchen modtager trafik ind for første gang på et kabel, undersøger den headeren på den ramme, der bærer den indgående besked og udtrækker kilden Mac-adresse . Den knytter derefter denne adresse til den port, rammen ankom på.
Switchen læser destinationsadressen på rammen. Men på dette tidspunkt kender den ikke adresserne på de enheder, der er tilsluttet den. I stedet for at bruge destinationsadressen på den indgående ramme, skifter bare udsendelser den nye besked til alle porte. Når en af enhederne, der er tilsluttet switchen, reagerer på den indgående besked, registrerer switchen kildeadressen på den indkommende ramme med den port, beskeden kommer ind på.
Besked for besked, skifter ud, hvilken port der fører til hvilken enhed og knytter den relevante MAC-adresse med hver port. Når først switchen kender adressen på en port, læser den destinationsadresserne på frames og sender kun frames destineret til det endepunkt til den tilknyttede port i stedet for at udsende disse frames på alle porte.
Som netværksadministrator, der forbinder et netværk sammen, har du ingen idé om, hvor godt den portadressetilknytningsproces går.
Switch port overvågning
Det første overvågningskrav du har med en switch er at finde ud af hvilke adresser dine switche har tildelt deres porte. Du ved, hvilke enheder du sluttede til hver switch. Men takket være selvkonfigurationstjenesten på hver switch, gad du sandsynligvis ikke notere, hvilket kabel der var sat i hvilken port.
Selvkonfigurationstjenesten på switches kan gøre netværksadministratorer lidt dovne. Men hvis du har købt en automatiseret enhed , ville det være spild af kræfter at duplikere denne automatisering med manuelle processer. Overvågning er det automatiske svar, der tilføjer data indsamling funktioner til automatiseret Layer 2-adressestyring.
Overvågningssystemer, der forespørger switche og samler portadresseallokeringer, kaldes s heksehavns kortlæggere . En meget grundlæggende switch port mapper vil bare logge hver switch og de besatte porte på hver sammen med MAC-adresserne forbundet med disse havne . Dette er i sig selv en nyttig hjælp, fordi den viser dig, hvilke switche der har ledig kapacitet, fordi de har utildelte porte. Hvis du har Administration af IP-adresser software samt en switchport-mapper, kan de to værktøjer arbejde sammen for at give dig en liste over, hvilken IP-adresse der løber gennem hvilken switch.
Avanceret switch port overvågning
De grundlæggende oplysninger, som en simpel switchport-mapper giver, er kun begyndelsen på alle de funktioner, som switch-portovervågning kan give dig. Et mere omfattende overvågningsværktøj kan nemt udarbejde en netværkstopologi kort blot ved at konvertere adressetilknytningsoplysningerne fra hver switch til en grafisk repræsentation. Du vil kunne se, hvilke switche der er forbundet med hinanden, og hvilke endepunkter der er forbundet til hver switch.
Da switches er de væsentlige enheder, der forbinder dit netværk sammen, er switchport-overvågning grundlaget for alle live netværksovervågning .
Port scanning
Netværksterminologi indeholder en række udtryk, der er forvirrende, fordi det samme ord bruges af forskellige specialiseringer til at betyde forskellige ting. “ Havn ” Er et sådant ord. Du hører måske om port scannere og tror, at disse værktøjer udfører netværksswitchportovervågningstjenesten beskrevet ovenfor. Dette er dog ikke tilfældet.
Det ved du sikkert kl Transportlag , TCP/IP driver to forskellige protokoller: Transmission Control Protocol (TCP) og User Datagram Protocol (UDP). TCP og UDP tilføje protokoldata til en IP-header ved at referere et portnummer . For eksempel er HTTP port 80, og FTP bruger port 20 til data og port 21 til kontrolmeddelelser.
Transportlags portnumre er ikke det samme som switch-port-adresser. Faktisk er de helt forskellige. Transportlagsportnumre er adresser, der identificerer, hvilken dæmon, der kører på den modtagende enhed, der skal håndtere den indkommende pakke. En kontakt, der virker kl Lag 2 , beskæftiger sig ikke engang med IP-pakker og aner ikke, hvad disse Transport Layer-portnumre betyder. En switchport er et hul i switchens tilfælde, som er en receptor for et stik på enden af et netværkskabel.
Portscannere tester netværksroutere/gateways for at finde ud af, hvilke pakkemodtagende dæmoner, der kører og venter på indgående data. Dette kaldes en ' åben port .' Portscannere ser ikke på switches, fordi de dæmoner, der er forbundet med portnumre, ikke kører på disse enheder.
Når du undersøger havneovervågning, skal du være meget forsigtig med, hvilken type port de softwareværktøjer, du støder på i din søgning, rent faktisk beskæftiger sig med. På samme måde, når en kollega taler med dig om havne, skal du ikke være bange for at bede om afklaring om emnet, før du begynder at tale om den anden type port.
Generelt, når it-professionelle nævner havneovervågning , henviser de til Transport Layer-porte. For at være klar, kigger vi nærmere på i denne guide switch port overvågning og ikke havneovervågning.
Skift portovervågningsmeddelelser
Under installationsfasen af en switch vil du forvente, at den opdager nye enheder og tildeler deres adresser. Switch port overvågningsværktøjer opfanger disse handlinger og registrere dem i en log . Værktøjets dashboard skal også vise disse meddelelser.
Selvom du måske ikke har noteret adresserne på hver enhed, du sluttede til en switch, bør du vide, hvor mange enheder du tilsluttede. Den ankommende meddelelse om en enhedsgenkendelse hjælper dig med at tælle genkendelsen af alle enhederne ned som du tilsluttede til kontakten. Når alle disse enheder er blevet genkendt, bør du ikke få nogen yderligere meddelelse om enhedsopdagelse fra den switch.
Switche er en fantastisk kilde til data, og det skal du være forsigtig med en ubuden gæst forbinder ikke til en af dem. Når alle forventede enheder er logget som operationelle på switchen, indikerer enhver yderligere enhedsopdagelse, at nogen har oprettet en uautoriseret forbindelse til en af dine switche.
Ubudne gæster har to måder at få adgang til din infrastruktur på. En af dem er ved at komme ind fra internettet og fjernudforske netværket. Den anden metode er at p hysisk forbinde en bærbar computer eller en overvågningsenhed til en switch.
Meddelelser om enhedsgenkendelse fra din switch-port-monitor vil fortælle dig, hvis der er opstået en uventet fysisk forbindelse. Med det samme vil du vide, hvilken kontakt du skal gå til, og hvilket kabel du skal trække.
Skift portstatus
De fleste af de kabler, der forbinder til dit netværk, fører til endepunkter. Men mindst én port på hver switch forbinder til en anden switch eller en router. Disse er kendt som stammeforbindelser . Det er vigtigt at sikre, at alle forbindelser er aktive. Data flyttes på tværs af et netværk ved at rejse langs disse trunkforbindelser fra switch til switch. Hvis et af stik, der er sat i en switch-port, løsner sig eller fejler på en eller anden måde, vil en hel del af dit netværk gå ned.
Skift port problemer årsag alvorlige udfald på netværket, og hvis der opstår en, skal du vide om det med det samme. Selvom en switch-portfejl er en alvorlig hændelse, kan du ikke spilde tid på at sidde og se på switch-port-overvågnings-dashboardet hele dagen, hvis der er en chance for, at der opstår en fejl.
Heldigvis inkluderer switch port overvågningsværktøjer en advarselsmekanisme . Normale aktiviteter vil blive logget og vist på skærmen, efterhånden som de forekommer. Men et alvorligt problem genererer en advarsel , som kan videresendes til nøglepersonale som SMS eller e-mail notifikationer.
Alarmsystemet betyder, at du kan gå ud fra, at alt går godt med netværket og komme videre med andre opgaver i stedet for at se live-statusser på switch-port-overvågningens dashboard.
Overvågning af trafikstatistik
Switche er smarte enheder. De har indbyggede computere der kan kompilere statistik og reagere på fjernkommandoer. De typer data, som hver switch kan levere, afhænger af dens firmware og hvilke kommunikationsstandarder den anvender.
Der er forskellige statistiske rapporteringsstandarder og de fleste af dem er proprietære systemer, der blev skabt af producenter af netværksenheder. Switche leveres normalt med metric-forespørgselssystem forudindlæst på dem. Netværksadministratorer har mulighed for at få direkte adgang til switchens firmwaremenu eller bruge et switchovervågningsværktøj, der interface med switches , saml data, og pak dem derefter om i overvågningsdashboardet.
De vigtigste statistikker, der indsamler standarder og deres skabere er:
- NetFlow – Cisco Systems
- IPFIX – Cisco Systems
- NetSteam – Huawei
- J-Flow – Juniper Networks
- sFlow – Leverandørneutral
Af disse systemer er NetFlow den endelige standard. De andre er variationer af NetFlow, som var den første statistikovervågningsprotokol, der blev oprettet til switches.
Alle disse tjenester vil producere statistik ned til havneniveau. Så de leverer switch-port-trafikgennemstrømningsovervågning. Netværkstrafikmonitorer kæder portgennemløbsdata fra alle switchene på et netværk sammen.
Port spejling
En sidste switch port overvågningsteknik at prøve er port spejling . Dette er en tjeneste, der skal sættes op direkte på switchen. Switchen vil duplikere al trafik på en nomineret port og sende den til en anden virtuel port. Du opsætter derefter en fil på en server eller på din egen arbejdsstation til at modtage disse datastrømme. Det er muligt at angive, om du vil have kopier af indgående trafik, udgående trafik eller begge dele. Dette er en pakkefangst system indbygget i switches.
En forsigtighed, når du fanger pakker med port-spejling, er, at processen kan skabe meget store filer meget hurtigt. Denne teknik er dog nyttig til at tilføre ægte netværkstrafik til en protokol analysator . Det er også en god kilde til inputdata til et netværksstresstestværktøj , som vil afspille trafikken over dele af netværket for at teste for flaskehalse i ydeevnen.
Du kan finde ud af mere om port-spejling i Den ultimative guide til portspejling . Hvis du har Cisco-switche, så tjek ud En guide til portspejling på Cisco (SPAN)-switche , som har trin-for-trin instruktioner.
Skift portovervågningsværktøjer
Hvis du vil have nogle ideer til, hvilke værktøjer du skal kigge nærmere på for at udføre switch-port-overvågning, er her vores liste over syv anbefalede switch-port-overvågningssystemer.
- SolarWinds Switch Port Mapper REDAKTØRENS VALG Denne ligetil switch port-mapper er en del af en pakke af mere end 60 netværksadministrationsværktøjer, kaldetIngeniørens værktøjssæt. Start en 14-dages gratis prøveperiode.
- Paessler PRTG (GRATIS PRØVEVERSION)En pakke af overvågningsværktøjer, der inkluderer tre typer switch-skærme med portovervågningsfunktioner. Start 30-dages gratis prøveperiode.
- SolarWinds User Device Tracker (GRATIS PRØVE) Dette overvågningsværktøj undersøger både switchportaktivitet og Transport Layer-portdata for at identificere trafik efter protokol. Det vil også kompilere gennemstrømningsstatistik ved hver port i henhold til kilde- og destinations-IP-adresse eller brugerkonto.
- ManageEngine OpUtils denne pakke inkluderer en switch port mapper og en IP adresse manager til at hjælpe dig med at overvåge al trafik og de adresser, der bruges i dens transmission.
- Site24x7-infrastruktur En netværks- og serverovervågningspakke, der inkluderer switch-overvågningsfaciliteter.
- Nagios XI dette infrastrukturovervågningssystem inkluderer switchport-dataindsamlingsprocesser, der fungerer gennem Simple Network Management. Protokol (SNMP).
- Cisco Switched Port Analyzer (SPAN) Et gratis system til overvågning af switch-porte og portspejling på Cisco-switches.