Hvad er Port Mirroring? Den ultimative guide
Moderne netværksovervågningssoftware inkluderer sofistikerede værktøjer, såsom grafiske repræsentationer og analytiske værktøjer. Der vil dog være tidspunkter, hvor du bliver nødt til at gå tilbage til analyseteknikkerne for møtrikker og bolte til at fange pakker, når de rejser rundt på netværket. Port-spejling er en pakkefangstteknik.
Pakkefangst kræver et hardwareelement, som kaldes en TAP (test adgangspunkt ). Heldigvis har du allerede hardware, der kanaliserer al din netværkstrafik: switches og hubs. Du kan udnytte disse enheders muligheder for at eliminere behovet for at købe en separat inline-sensor eller trafikdeler. Teknikken til at bruge dit netværksudstyr til at fange trafik kaldes ' port spejling .' Denne vejledning giver dig alle de oplysninger, du har brug for for at implementere port-spejling på dit netværk.
>>> Hop til listen over anbefalede overvågningsværktøjer nedenfor <<<
Skift trafikbehandling
Et meget lille netværk ville kun have én switch eller hub. Det kræver dog ikke megen vækst i netværket at skabe et krav om endnu en switch. Når du har flere switche på dit netværk, flytter de trafikken videre uden at kanalisere alle pakker gennem et centralt punkt.
Denne decentraliserede konfiguration betyder, at du ikke kun kan vælge én switch på netværket til dataindsamling, hvis du vilprøve trafikfra alle dine data. Dette skyldes, at de andre switche på dit netværk vil udveksle trafik mellem dem, som ikke behøver at blive kanaliseret gennem din valgte enhed. Dette problem ville dog også opstå, hvis du vælger at implementere enTAPsom et pakkefangstværktøj.
Når du fanger netværkstrafik, skal du beslutte, om dine krav kan opfyldes ved, at pakkerne passerer et punkt, eller om du skal se al netværkstrafikadfærd på hele netværket på én gang.
I virkeligheden er det mere sandsynligt, at du bliver nødt til at se på trafikken pr. link. I et sådant scenarie vil du sandsynligvis prøve at se, hvorfor et link på dit netværk er overbelastet, og hvilke typer trafik du kunne omdirigere eller drosle for at løse problemet.
Selvom du måske vil se al netværkstrafik , bliver det hurtigt et overambitiøst mål at fange det hele på én gang. Hvis du kunne fange alle indgående og udgående pakker, ville du blive overvældet af alle de indsamlede data.
For at kunne vurdere dit netværks ydeevne korrekt, vil du alligevel kategorisere al trafik efter netværksenhed, så det er bedre at bruge portspejling på en enhed-for-enhed basis. Andre værktøjer er bedre egnede til at give dig en hel netværkssynlighed. I disse tilfælde ville du være bedre stillet ved at bruge NetFlow til at sample data fra flere netværkspunkter samtidigt. Du skal bruge et sofistikeret netværkstrafikanalyseværktøj for atsamle og opsummerealle trafikdata.
Hvad er portspejling?
Port spejling tilbyder en metode til at duplikere netværkstrafik og dirigere kopien mod et datalager.
I en splitter bruger du en enhed, derdublerer al trafikhvor den ene kopi fortsætter til dens tilsigtede destinationer, og den anden vises på en skærm eller går til en fil. Med port-spejling bruger du nøjagtig den samme teknik, men du ændrer indstillingerne på din switch for at skabe en dataduplikeringsfunktion, og dermed fjerner behovet for at installere en separat fysisk enhed.
Grundlæggende fortæller en portspejlingsinstruktion, at switchen skal sende en kopi af trafikken til en bestemt port. Metoden omfatter en række muligheder, så du kan vælge specifik trafik stammer fra eller rejser til givne IP-adresser, eller vælger at kopiere al trafik. Når switchen har opdelt den påkrævede trafik, er det eneste, du skal gøre, at indsamle de pakker, der sendes til den port, der er udpeget som dataleveringspunktet.
Switche og hubs
EN link , eller ' hoppe ,” på et netværk er forbindelsen mellem to enheder. Linket kan være det sidste stræk, der forbinder en endepunkt , eller det kan være mellem to netværksenheder . Der vil altid være en netværksenhed i mindst den ene ende af linket. For trafik inden for et netværk vil denne enhed enten være en kontakt eller a hub .
En hub sender al den trafik, den modtager på en af sine forbindelser, ud til alle de andre. Den er ikke opmærksom på destinationsadressen på de indgående pakker. En switch er mere selektiv, fordi denundersøger pakkeoverskrifterog videresender hver til den port, den har angivet for den adresse. Kablet, der er tilsluttet den destinationsport, fører muligvis ikke til det endepunkt, der er identificeret af den pågældende adresse. Hvis der er en anden netværksenhed mellem den switch og endepunktet, vil kablet, der modtager de bevægelige data, føre til den mellemliggende enhed, som igen vil videresende den.
Heldigvis, til pakkefangst, skaber switche og hubs ikke midlertidige fysiske forbindelser mellem kilde- og destinationsportene i en forbindelse. I stedet, enheden indsamler de indgående data . Det så opretter en nøjagtig kopi af disse data og anvender det på destinationsporten. I tilfælde af hubs, denne handling skaber dobbeltarbejde . For eksempel, hvis en hub modtager en pakke på en af dens ti porte, vil den sende den samme pakke ud på alle dens andre ni porte.
Så én pakke bliver til ni kopier. En switch gør præcis det samme med pakker, der er mærket til udsende . Trafik, der rejser til én destination, bliver kun kopieret til den port, som switchen har angivet for den pågældende adresse. Så der er fortsat kun én forekomst af disse data, når de rejser ud af switchen.
Duplikeringen af pakker udført af switche og routere er nøjagtig det samme som det arbejde, der udføres af en trafiksplitter.
Port spejling med en hub
Som du kan se fra beskrivelserne af, hvordan switche og hubs fungerer, en hub dublerer automatisk al den trafik, den modtager . Så hvis du kun har hubs på dit netværk, er det meget nemt at få en kopi af al den trafik, der cirkulerer på det. Hubben sender al trafik til alle endepunkter. Hvis den trafik skal rejse gennem andre netværksenheder for at nå nogle af endepunkterne på netværket, vil det ikke blokere for trafikken, der kommer til disse endepunkter, hvis de mellemliggende enheder også er hubs.
Da din egen computer er forbundet til en af hub'erne på netværket, vil al trafik på netværket automatisk blive sendt til din computer uden at skulle ændre hub'ens indstillinger. Din computer vil dog ikke læse al den trafik ind.
Firmwaren på din computers netværkskort har en identifikator hårdkodet ind: dette er Mac-adresse , som står for ' medieadgangscontroller .' Netværkskortet vil kun reagere på ankommende beskeder, der har den pågældende MAC-adresse på. Alle andre vil blive ignoreret. Tænk på netværkskortet som en dørmand i en privat klub. Enhver, der ankommer, skal give et kodeord for at komme ind; dem uden adgangskoden bliver blokeret fra at komme ind. MAC-adressen er denne adgangskode.
Hvis du vil se al trafikken på et netværk, der er fuldt udstyret med hubs, skal du blot fortælle netværkskortet, at det skal droppe kravet om sin egen MAC-adresse. I netværksterminologi kaldes denne indstilling ' promiskuøs tilstand .'
Purister vil hævde, at det at sætte dit netværkskort i promiskuøs tilstand ikke er 'port spejling', fordi dit netværkskort ikke duplikerer pakker. De siger, at kortet bare dropper kravet om dets MAC-adresse for at genkende ankommende pakker og videresende dem til programmer på din computer.
I virkeligheden er 'portspejling på en hub' et overflødigt koncept, fordi hub'en duplikerer alle pakker som standard. Generelt anvendes udtrykket 'portspejling' kun for switches.
Port spejling med en switch
Når en switch modtager en pakke, refererer den til destinationsadressen i overskriften på datagrammet. Den laver derefter en kopi af pakken og sender den nye version ud på det portnummer, den har knyttet til den MAC-adresse.
I standardoperationer, som kaldes ' unicast ,” er der kun lavet én kopi af en indgående besked, og den sendes kun ud på én port. Switche er i stand til at duplikere trafik dog. For eksempel, når switchen modtager en broadcast-besked, laver den det samme antal kopier som dens antal aktive porte og sender en kopi ud på hver af disse porte. Afbrydere har også ' multicast ”-funktioner, som kræver, at de laver et begrænset antal kopier.
Da alle switches er programmeret med evnen til at håndtere broadcast- og multicast-meddelelser, giver opgaven med at duplikere pakker ikke deres hardware et problem. Konceptuelt kræver det meget få opgaver at få din switch til at udføre pakkeduplikering:
- Switchen instrueres i at lave en kopi af al trafik.
- Switchen sender al trafik til dens tilsigtede destination.
- Switchen sender en kopi af al trafik til en nomineret port.
- Du samler al trafik på den nominerede havn.
At få alle pakker duplikeret på vej gennem en switch er en meget enkel opgave og bruger ikke ret meget ekstra behandlingsindsats fra enhedens side. Hvis du vil undersøge de pakker, der rejser gennem en specifik switch, skal du bare bede den om at duplikere al den trafik og sende den til en port og også fortælle den til tilknyt din computers MAC-adresse med det angivne portnummer . Du skal derefter sætte din computers netværkskort i promiskuøs tilstand for at sikre, at det opfanger al trafik og ikke kun de datagrammer med dens MAC-adresse på.
Duplikere al netværkstrafik
Løsningen ovenfor er en forenklet version af, hvad der faktisk sker i en switch, når den udfører portspejling. I virkeligheden er opgaven lidt mere kompliceret. For eksempel ville det være ubelejligt at skulle forbinde din computer direkte med et kabel til en switch for at opfange al dens trafik. I gamle dage var det et krav fra LAN-analysatorer, og en lokationsspecifik forbindelse er stadig en nøglefunktion i netværks-TAP'er.
Takket være routingteknologi er moderne portspejling mere sofistikeret. Du kan undersøge trafikken, der passerer gennem enhver kontakt hvor som helst i verden , bare så længe denne switch er tilgængelig fra din placering enten over netværket eller på tværs af internettet. Du behøver ikke fysisk at forbinde din computer til den switch. Når du rejser på tværs af internettet, bliver port-spejling lidt mere kompliceret, fordi datagrammer har brug for ekstra emballage på internettets netværkslag. Til denne vejledning vil vi kun beskæftige os med portspejling fra et netværk.
De fleste switche har evnen til at levere opfangede pakker på tværs af et netværk, der rejser gennem andre netværksenheder. Hver switch-producent producerer sin egen firmware til sine switche, og administrationskonsollens menu er forskellig for hver. I forbindelse med denne vejledning vil vi fokusere på de metoder, der anvendes af Cisco systemer at gøre portspejling tilgængelig på sine netværksswitches.
Om Cisco SPAN-switche
Cisco switch port spejling facilitet kaldes SPAN . Dette står for Switched Port Analyzer . SPAN giver dig alle muligheder for at fange pakker på enhver Cisco-switch, uanset om du er direkte forbundet til den switch eller ej. Du skal dog have en ekstra port på en switch, der kan blive opsamlingssted for duplikerede pakker.
I SPAN-terminologi er en ' kildeport ” er en havn, som trafikken duplikeres fra. Det ' Destinationshavn ” er adressen på den port, som de duplikerede pakker sendes til til afhentning. Vær meget omhyggelig med at huske disse karakteristiske udtryk, fordi du vil blive fristet til at henvise til din traditionelle netværksterminologi, når du ser på pakker, der løber fra en kildeport til en destinationsport.
SPAN-systemet er i stand til at overvåge én port eller mange porte. Det er også muligt at identificere trafikretningen ved den pågældende havn, hvilket giver dig kun indstrømning, kun udstrømning eller begge dele. Men hvis du undersøger et antal havne på én gang, skal de alle have den samme trafikstrømsretning overvåget.
Du er ikke i stand til at angive fra- og til-porte, der skal fanges, (dvs. kun få trafik, der ankommer til en specifik havn, der forlader en specifik havn). Hvis det er den funktion, du leder efter, vælg indløbsporten og fange alle de modtagne pakker der. Du kan derefter filtrere al trafik fra, bortset fra at afgang på den transmitterede interessehavn, når du har alle data i din analyse software .
I en session kan du enten overvåge porte eller overvåge VLAN'er – du kan ikke dække begge typer porte på én gang.
Cisco SPAN-tilstande
Cisco SPAN giver dig mulighed for at fange pakker via tre tilstande:
- Lokalt SPAN: Overvåg trafikken på en switch, som du er direkte forbundet til.
- Remote SPAN (RSPAN): Overvåg trafikken på en ekstern port, men få de opfangede pakker sendt til en port på din lokale switch til indsamling.
- Encapsulated Remote SPAN (ERSPAN): Den samme proces som RSPAN bortset fra at overførslen af spejlede pakker til din lokale switch udføres af GRE-indkapsling.
RSPAN-indstillingen er ikke tilgængelig på Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 og 2900XL switche.
Cisco SPAN tilgængelighed
SPAN er tilgængelig på alle følgende Cisco switch-modeller:
Catalyst Express 500 / 520-serien
- Catalyst 1900-serien
- Catalyst 2900XL-serien
- Catalyst 2940-serien
- Katalysator 2948G-L2, 2948G-GE-TX, 2980G-A
- Catalyst 2950-serien
- Catalyst 2955-serien
- Catalyst 2960-serien
- Catalyst 2970-serien
- Catalyst 3500 XL-serien
- Catalyst 3550-serien
- Catalyst 3560 / 3560E / 3650X-serien
- Catalyst 3750 / 3750E /3750X-serien
- Catalyst 3750 Metro-serien
- Katalysator 4500/4000-serien
- Catalyst 4900-serien
- Katalysator 5500/5000-serien
- Katalysator 6500/6000-serien
Desværre er kommandosættet ikke det samme på alle switches. Dette skyldes primært, at virksomheden har en specialiseret firmware til nogle af sine Catalyst-enheder, som kaldes Catos . Andre Cisco-switche bruger et operativsystem kaldet IOS , som ikke er det samme som iOS-operativsystemet, der bruges af Apple-enheder.
Nogle få Cisco-switche har ikke native port-spejlingsfunktioner, men der er et gratis værktøj, som du kan bruge under disse omstændigheder, som du snart vil læse om.
Indstil SPAN på IOS-switche
For switch-modeller med IOS-firmware skal du gå til enhedens operativsystem og udstede en kommando for at angive SPAN-porten og porten, der skal overvåges. Denne opgave implementeres af to kommandolinjer. Man skal angiv kilden , hvilket betyder den port, der vil få sin trafik replikeret og den anden giver det portnummer, som snifferen er tilsluttet – dette er destinationslinjen.
|_+_|Når du er færdig med at definere spejlet, skal du trykke CTRL-Z for at afslutte portspejlingskonfigurationsdefinitionen.
Sessionsnummeret giver dig bare mulighed for at oprette flere forskellige skærme, der kører samtidigt. Hvis du bruger det samme monitorsessionsnummer i en efterfølgende kommando, annullerer du den oprindelige sporing og erstatter den med den nye specifikation. Portområder er defineret med en bindestreg ('-'), og en sekvens af porte er adskilt af kommaer (',') .
Det sidste element i kommandolinjen for kildeporten (den port, der skal overvåges) er specifikationen af, om switchen skal replikere transmitterede pakker fra begge havne , eller begge .
Konfigurer SPAN på CatOS-switche
Nyere Catalyst-serier leveres med et nyere operativsystem, kaldet Catos , i stedet for det ældre IOS-operativsystem. Kommandoerne, der bruges til at konfigurere SPAN-spejling i disse switches, er lidt anderledes. Med dette operativsystem opretter du spejling med kun én kommando i stedet for to.
|_+_|Kildeportene er defineret af det første element i denne kommando, som er ' src_mod/src_ports ' en del. En anden portidentifikator på kommandoen læses automatisk som destinationsporten - det vil sige den port, som pakkesnifferen er knyttet til. Det ' rx | tx | begge ”-element fortæller switchen at replikere de transmitterede pakker fra begge havne , eller begge .
Der er også en sæt span-kommando til at slå spejling fra:
|_+_|Konfigurer SPAN på Catalyst Express 500- og Catalyst Express 520-switche
Hvis du har en Catalyst Express 500- eller Catalyst Express 520-switch, indtaster du ikke SPAN-indstillingerne i operativsystemet. For at kommunikere med switchen og ændre dens indstillinger skal du installere Cisco netværksassistent ( CNA ). Denne netværksstyringssoftware er gratis, og den kører på Windows-miljøet. Følg disse trin for at få SPAN aktiv på switchen.
- Log ind på switchen gennem CNA-grænsefladen.
- Vælg Smartporte mulighed i CNA menu. Dette vil vise en grafik, der repræsenterer switchens portarray.
- Klik på den port, du vil forbinde pakkesnifferen til, og vælg Modificere mulighed. Dette vil åbne et pop op-vindue.
- Vælg Diagnostik i Rolle listen, og vælg den port, der vil have sin trafik overvåget fra Kilde drop-down liste. Hvis du specifikt vil overvåge et VLAN, skal du vælge det fra Ingress VLAN liste. Hvis du ikke sigter efter kun at se trafik for et VLAN, skal du lade denne værdi stå som standard. Klik på Okay for at gemme indstillingerne.
- Klik på Okay og så ansøge i Smartporte skærmen.
Et problem med CNA-metoden er, at softwaren kun kører på Windows-versioner op til Windows 7 .
Opfanget pakkebehandling
Den portspejling, der er opsat på din switch, vil ikke gemme eller analysere de opfangede pakker. Du kan bruge enhver netværksanalysesoftware for at behandle de pakker, der sendes til din enhed.
Et nøgleproblem, som du bliver nødt til at genkende, når du fanger pakker, er, at du bliver nødt til at håndtere en meget stor mængde data. Et råtekstdump af forbipasserende netværkstrafik er næsten umuligt at gennemkæmpe uden en guidet datafremviser. Dette er den allerlaveste kategori af dataadgangsværktøj, som du bør overveje. Et komplet trafikanalyseværktøj ville være endnu bedre.
Du kan se en omfattende liste over anbefalede værktøjer til analyse af netværkstrafik i artiklen, Bedste pakkeanalysatorer / pakkesniffere . For nemheds skyld er de to øverste netværksværktøjer i denne anmeldelse opsummeret nedenfor.
SolarWinds Deep Packet Inspection and Analysis værktøj (GRATIS PRØVEVERSION)
SolarWinds producerer et stort katalog af netværksovervågnings- og administrationsværktøjer. For port-spejling output-analyse bør du overveje virksomhedens Deep Packet og analyse værktøj til at være din bedste løsning. Dette er en del af virksomhedens Network Performance Monitor, som er dets centrale produkt.
Dette værktøj er i stand til at fortolke data hentet fra en bred vifte af pakkeindsamlingsværktøjer og vil lade dig se, hvor trafikstigninger opstår. Du skal se på de applikationer, der genererer det meste af efterspørgslen på dit netværk for at konstruere strategier til at forbedre ydeevnen. Dette analyseværktøj understøtter disse undersøgelser.
Network Performance Monitor er et top-of-the-line værktøj, og det er ikke gratis. Du kan dog få en 30-dages gratis prøveperiode. Husk, at pakkefangst ikke rigtig er en gennemførlig mulighed for at overvåge al trafikken på hele dit netværk. I disse situationer ville du være bedre stillet med SolarWinds NetFlow Traffic Analyzer. Dette beskæftiger Cisco NetFlow funktionalitet til at sample trafik fra netværket. Den er også i stand til at kommunikere med Juniper Networks udstyr gennem J-Flow pakke prøveudtagning standard, med Huawei enheder, ved hjælp af NetStream , og den kan også bruge den producentuafhængige sFlow og IPFIX trafikanalysesystemer. Du kan også få NetFlow Traffic Analyzer på en 30-dages gratis prøveperiode.
Network Performance Monitor og NetFlow Traffic Analyzer er en god kombination til netværksanalyse, fordi de giver dig et overbliksperspektiv og værktøjerne til at undersøge pakketrafik, der kører gennem individuelle enheder. SolarWinds tilbyder disse to værktøjer sammen som Network Bandwidth Analyzer Pack, som du også kan få på en 30-dages gratis prøveperiode.
SolarWinds Deep Packet Inspection and Analysis Download 30-dages GRATIS prøveversion
Paessler Packet Capture Tool
Paessler PRTG er et netværksovervågningsværktøj, der er sammensat af mange individuelle sensorer. Et af disse værktøjer er en pakkefangstsensor . Denne sensor kommer ikke med en fysisk TAP; i stedet er den afhængig af de data, der leveres i en strøm fra dine switches. Dette værktøj tilbyder fantastiske datavisualiseringer til både live data og for pakker læst fra fillager.
Det fantastiske ved PRTG er, at det kan tilbyde dig forskellige lag af synlighed fra det samme værktøj. Det inkluderer også sensorer, der prøver netværksdata, der kun fanger pakkehoveder fra forskellige steder på netværket. Du kan også reducere mængden af data som skal behandles af monitoren ved at specificere prøveudtagning.
Ud over pakkesniffingssensoren inkluderer PRTG følgende trafiksamplingsystemer:
- En NetFlow-sensor
- sFlow-sensoren
- En J-Flow sensor
Med dette system kan du bruge NetFlow-, sFlow- og J-Flow-sensorerne til at få et overblik over hele dit netværk og derefter gå til packet snifferen for at fokusere på de typiske flows på én enhed. Når du har isoleret en overbelastet switch, kan du derefter komme ind på de specifikke porte, der har for meget trafik, og se på de trafiktyper, der overvælder den. Med disse oplysninger kan du enten implementere trafikformende foranstaltninger eller vælge at tilføje mere infrastruktur for at omdirigere tunge trafikpunkter og sprede belastningen.
Pakkesniffer-sensoren behandler kun overskrifterne på trafikdatagrammer, der rejser rundt på netværket. Denne strategi reducerer mængden af behandling, der er nødvendig for at aggregere flowmålinger og fremskynder i høj grad analysen.
Problemer med portspejling
Fuld pakkeopsamling og -lagring kan give dig problemer med datafortrolighed. Selvom det meste af den trafik, der passerer på dit netværk, vil være krypteret, vil ikke al intern trafik blive krypteret, hvis den er bestemt til eksterne websteder. Medmindre din organisation har besluttet at implementere ekstra sikkerhed for e-mails, vil mailtrafikken omkring dit netværk ikke blive krypteret som standard.
Som en alternativ trafikanalyseteknik kan du overveje at bruge NetFlow. Dette er et meddelelsessystem, der er aktiveret på alle Cisco-enheder, og det videresender kun overskrifterne på pakker til en central skærm. Du kan læse om netværksmonitorer, der indsamler NetFlow-data i artiklen Bedste NetFlow-analysatorer og samleværktøjer .
Når du har oplysningerne lige ved hånden om alle trafikovervågningsfunktionerne i dine Cisco-switches, vil du være i en bedre position til at beslutte, hvilken pakkefangstmetode du skal bruge.
Valg af den rigtige netværksanalysestrategi
Forhåbentlig har denne vejledning gjort dig opmærksom på de problemer, der omgiver portspejling. Selvom der er tidspunkter, hvor du virkelig ikke kan undgå at komme ned på pakkeniveau for korrekt at vurdere din netværkstrafik, bør du indsnævre din forskning med andre værktøjer, før du arrangerer en pakkefangst som en opgave.
Port-spejling har sine problemer - det bryder datafortroligheden, og det kan generere meget store mængder data. Udforsk metoder til aggregerede trafikoplysninger som din første undersøgelseslinje og kom til port-spejling, når du har identificeret forbindelser med problemer. Når du har konfigureret portspejling på dine switche, skal du sørge for at kanalisere alle data til et analyseværktøj, så du kan gøre korrekt brug af al den information, som denne strategi vil generere.
Ofte stillede spørgsmål om portspejling
Hvad er forskellen mellem portspejling og trafikspejling?
Den største forskel mellem portspejling og trafikovervågning er, at en trafikmonitor indsamler statistik om pakker, når de passerer gennem switchede og routere, men portspejling tager en komplet kopi af alle disse pakker.
Påvirker portspejling netværkets ydeevne?
Ifølge Cisco Systems, den førende producent af netværksswitches, belaster portspejling ikke switches. Switchen behøver ikke at behandle den ekstra strøm, der genereres ved spejling, den duplikerer kun et output, som den allerede skulle arbejde på.
Hvad er en span-port på en switch?
En span-port er virkelig en SPAN-port – SPAN står for Switched Port Analyzer. SPAN-porten er dedikeret til at give en kanal til pakkeanalyse - det er faktisk en virtuel port.