Что такое зеркалирование портов в коммутаторе
Мы уже кратко упоминали о технологии SPAN (Switched Port Analyzer) в предыдущих частях серии. Но есть очень много моментов, о которых нужно помнить, и поэтому давайте рассмотрим преимущества и недостатки SPAN подробнее. Также достойна упоминания постоянная битва между сторонниками SPAN и TAP: часть аналитиков будет настаивать на использовании «только ТАР!», другая часть – наоборот.
Порты SPAN
Я уже говорил это раньше и, наверное, буду повторять ещё несколько раз в следующих статьях: когда вы захватываете трафик, всё сводится к вопросу – «насколько достоверный дамп вам необходим?»
Цель этой статьи – предоставить как можно более полную информацию о практике использования SPAN в реальных задачах анализа трафика, о недостатках и преимуществах этой технологии. Обладая такой информацией, вы и сами будете в состоянии понять, сможет ли SPAN дать вам тот результат, который нужен, в части достоверности.
Повторим основы
Сейчас я немного повторюсь и опишу понятия, которые мы уже рассмотрели в первой части серии. Зачем? Просто потому, что вы, возможно, сразу начали чтение с этой части, без предыдущих. Как вы, скорее всего, уже знаете, SPAN – это функция коммутатора, которая необходима, чтобы получить копию трафика на нужном порту. Не забывайте, что для этого коммутатор должен быть управляемым. То есть, обычный «тупой» коммутатор с 5-16 портами, скорее всего, не имеет такой способности (бывают редкие исключения, когда зеркалирование порта «зашито» в конструкцию изначально).
Для большинства моделей коммутаторов мониторный порт ведет себя не так, как обычный – он прекращает прием пакетов с подсоединенного к нему устройства. Это означает, что такой порт занимается только отправкой пакетов на устройство анализа и отбрасывает всё, что приходит на него. Это важно по нескольким причинам, например, ваше устройство захвата не будет взаимосвязано с боевой сетью и не будет привносить туда никаких возмущений своим «шумом». Но также это значит, что как только вы настроите мониторный порт, вы через него не сможете общаться ни с кем, включая и сам коммутатор. В общем, будьте бдительны и не отпилите ветку под собой в случае, если вдруг этот порт был единственным портом, через который возможно управление коммутатором (иначе придется заморочиться с консольным доступом, а если нет и его – вас спасет только сброс конфигурации).
Бывают коммутаторы, у которых мониторный порт продолжает работать параллельно и в обычном режиме (один из таких как раз стоит у нас в офисе – прим. перев.) Это означает, что, наряду с мониторингом, порт участвует в обычном обмене данными. Об этом факте нужно помнить. Особенно это присуще более дешевым коммутаторам, или тем, у которых мониторный порт «железно» зашит изначально. То есть, не забывайте протестировать порт перед «боевым» использованием.
Когда SPAN – хороший
SPAN-порт может быть очень полезным:
- Он позволяет получить доступ к трафику, который иначе не так просто увидеть, при этом не нужно ничего покупать дополнительно.
- Использование SPAN не требует временного прерывания линка.
- SPAN-сессию можно достаточно просто включить/выключитьCLI-командой или через Веб-интерфейс.
- SPAN позволяет получить агрегированный доступ к нескольким портам-источникам или даже к целому VLAN’у.
1. Доступ к трафику
Еще раз напомним, без SPAN-порта устройство захвата не увидит трафика, который вам нужен, потому что коммутатор отправляет пакеты напрямую между теми узлами, которые общаются между собой:
Но с помощью SPAN коммутатор создает копии всех пакетов, проходящих через «mirror»-порт, и отправляет их в мониторный порт, куда мы и присоединяем анализатор трафика:
Рис.3 -Веб-интерфейс SOHO-коммутатора НР |
Кстати. Есть некоторые самые старые коммутаторы, которые, несмотря на то, что управляемые, не имеют функции SPAN. Последний такой я видел в одном из немецких госпиталей несколько лет назад, там до сих пор в работе коммутаторы 3COM Superstack. Если вдруг вы увидите где-нибудь подобный коммутатор, сделайте себе мысленную пометку поменять его вчера (без шуток. Это серьезно).
4. SPAN позволяет получить агрегированный доступ к нескольким источникам
Большинство коммутаторов позволяют указать больше, чем один источник трафика в конфигурации. Это означает, что вы можете мониторить больше одного устройства одновременно на мониторном порту. Профессиональные коммутаторы (я намекаю на те, в которых есть команды “enable” и “config”, а также контракт на обслуживание) также позволяют указать как источник один или несколько VLAN’ов. Постепенно такая возможность появляется и в более дешевом оборудовании (естественно, управляемом).
Зеркалирование VLAN’а означает, что выможете перенаправлять все пакеты, входящие/выходящие в коммутатор, принадлежащие определенному (указанному при настройке) VLAN’у. Несмотря на то, что это звучит очень круто, при такой настройке нужно быть невероятно осторожным. Почему – увидим немножко позже. Ну и также надо помнить, что, указав VLAN как источник, мы, естественно, не увидим ну прямо ВСЕ пакеты, входящие в данный VLAN, но только те, которые проходят через наш настроенный коммутатор. Всё же это не магический инструмент, уж простите.
Если вы захотите, вы можете настроить коммутатор так, чтобы он зеркалировал все порты или VLAN’ы в один мониторный порт – многие неопытные пользователи (а временами и админы) считают, что это хороший способ «мониторить все, что происходит в сети». Но нет. В самом деле, эта идея не так уж хороша, скоро увидим почему (ключевое понятие – «бутылочное горлышко»).
Когда SPAN – плохой
К сожалению, SPAN – это далеко не всегда так хорошо, как хотелось бы. Есть ситуации, в которых использование SPAN не приведет ни к чему хорошему, каким бы удобным он ни казался. Это касается тех случаев, когда зеркалирование не в состоянии обеспечить нужную нам точность или же оно оказывает ненужное влияние на рабочую сеть.
Проблемы со SPAN таковы:
- Недостаточная полоса пропускания мониторного порта.
- Излишняя нагрузка на ЦП коммутатора.
- Недостаточная достоверность.
1. Недостаточная полоса пропускания мониторного порта
Недостаток полосы пропускания (Bandwidth bottleneck) – частая проблема со SPAN. Даже если вы мониторите всего лишь один порт, который имеет ту же скорость, что и мониторный порт. То есть, создаете сессию 1 Гбит/с -> 1 Гбит/с. Причина в том же, о чем я уже упоминал в статье о сетевых картах: настоящая комбинированная скорость 1-гигабитного порта – 2 Гбит/с (1 Гбит/с на прием и столько же на отдачу). Мониторный же порт использует только свою полосу на отдачу (в сторону анализатора). В худшем случае это значит, что 2 Гбит/с нужно будет впихнуть в 1 Гбит/с – линк. Теперь представьте, что будет с таким интенсивным трафиком (в 2 раза больше максимальной пропускной способности)? Наверное, что-то типа этого:
Ответ: коммутатор начнет дропать пакеты. И это также значит, что анализатор увидит не весь трафик, и ведь он даже не будет знать, что пакеты где-то были отброшены (это случилось перед сетевой картой, она даже не будет подозревать, что пакетов изначально-то было больше). У коммутатора нет никакого способа сообщить: «мне пришлось тут выкинуть часть трафика!»
Итак, создание SPAN-сессии, если вы знаете, что у порта-источника высокая нагрузка – не такая уж хорошая идея. А может быть и ещё хуже – попытка зеркалировать источник в 10 Гбит/с на порт 1 Гбит/с. В итоге вы скорее всего получите дамп трафика, подобный такому:
Скорее всего, вы будете видеть много пакетов с предупреждением “ТСР ACKed unseen segment”. Оно создается автоматически экспертной системой Wireshark в случае, когда большие пакеты с полезной нагрузкой теряются по пути, а мелкие АСК-пакеты оказываются достаточно юркими, чтобы проскочить-таки к анализатору через «бутылочное горлышко».
Ситуация стремительно усугубляется, если вы добавляете больше портов-источников или целые VLAN’ы к SPAN-сессии. Представим на секунду, что у вас есть хост с виртуальными машинами, который соединен с коммутатором четырьмя гигабитными портами. Виртуальные машины могут использовать любой из этих портов в соответствии с правилами балансировки трафика. Поэтому, лучше, конечно, зеркалировать все 4 – ведь вы не знаете, куда направится трафик в определенную секунду. И получается, что мы создаем SPAN-сессию, у которой на входе 4 потенциально загруженных гигабитных порта «падают» на 1 гигабитный мониторный порт. В наихудшем случае 8 Гбит/с попытается уместиться в 1 Гбит/с. К чему это приведет? 7 из 8 пакетов отбросятся на коммутаторе. Конечно, это уж очень далеко от приемлемой достоверности дампа.
2. Излишняя нагрузка на ЦП коммутатора
Следующий момент при использовании SPAN – дополнительная нагрузка на ЦП коммутатора. Естественно, это будет зависеть от конкретной модели коммутатора. Как правило, коммутаторы пересылают пакеты между «боевыми» портами с использованием специализированных «железных» цепей даже без участия ЦП как такового. При использовании SPAN ситуация может в корне измениться. ЦП задействуется в процессе зеркалирования, и, как итог, добавление портов к сессии может вызвать следующие эффекты:
- Некоторые коммутаторы реагируют отбрасыванием пакетов в процессе зеркалирования, то есть оригинальный пакет все-таки проходит к назначению, его копия теряется в коммутаторе или задерживается и приходит позже или не в изначальном порядке.
- Другие коммутаторы теряют пакеты как в сессии, так и на «боевых» портах.
- Наихудший случай, с которым я сталкивался – коммутатор начал пересылку всех пакетов во все порты, как я понял, он пытался этим сказать: «всё, я сдаюсь, перехожу в экстренный режим и притворяюсь хабом»
3. Недостаточная достоверность
Теперь к наибольшей проблеме. В некоторых ситуациях использование SPAN дает недостаточную достоверность дампа. Эти ситуации таковы:
Когда SPAN – злой
Там, где есть хороший и плохой, обычно присутствует и злой. Под этим заголовком я расскажу о случаях, когда все как бы и работает, но может вызвать весьма неожиданную проблему.
Подведем итоги
SPAN – это очень полезная технология, и сейчас это наиболее распространенный способ получения трафика для анализа. Но не стоит забывать о некоторых моментах. Даже принимая во внимание то, что точность при захвате со SPAN-порта меньше, чем при использовании ТАР, часто предпочитается именно SPAN. Суммируя все преимущества: легко запустить, легко выключить обратно, не требуется прерывание линка. Можно просто сказать: «ведь это удобно!»
Краткие рекомендации
- Не опасайтесь использовать SPAN, если достоверность результатов вас устраивает (смотрите список ниже, где это не так). Отсутствие необходимости разрывать линк, для установки ТАР – это уже очень немало.
- Знаете поговорку «семь раз отмерь, один отрежь»? Она подойдет и тут. Определите порты источника и назначения дважды. Запишите их. Потом конфигурируйте. Бонус: дважды проверьте, что команда конфигурации совпадает с тем, что вы записали. 75% проблем со SPAN-сессиями оказываются вызваны тем, что кто-то неправильно указал порт-источник и порт назначения. А ведь это может «положить» всю вашу сеть. Испугались? Хорошо. «Семь раз отмерьте» и всё будет нормально.
- Отслеживайте загрузку ЦП, когда добавляете порты источника. Старайтесь оставаться в пределах 50%, никогда не превышайте 75%. Конечно же, это зависит от текущей загрузки коммутатора. Но помните: если вы все же доведете коммутатор, он озадачит вас далеко не самыми легкими и предсказуемыми проблемами.
- Захватите трафик в течение нескольких секунд, и проверьте, правда ли это именно то, что вам нужно (диапазоны IP, VLAN’ы и т.д.) – потому что запустить захват на неделю, а потом, придя за результатом, увидеть, что вы указали не тот порт источника – вот что по-настоящему печально.
- Поглядывайте на тикеты, которые приходят, пока SPAN-сессия активна, и удостоверьтесь, что сама сессия не является причиной сбоев сети. Это бывает редко, но всё же случается.
- Если подумываете об использовании SPAN в forensics-задачах, при анализе проникновения – не забывайте, что взломать можно и коммутатор со SPAN, скрыв от вас трафик.
- Избегайте использования RSPAN и ЕRSPAN всеми силами – дополнительный транспорт исказит тайминги и порядок пакетов и в худшем случае приведет к неверным выводам вашего анализа.
- Отключите SPAN, когда закончите работу, иначе порт останется недоступен для обычной передачи трафика.
Ну и, наконец, список ситуаций, для которых SPAN не подойдет (но, конечно же, никто вам не запретит попробовать его и тут):
- Поиск устройства, которое является причиной потерь пакетов.
- Определение максимально точных таймингов, особенно при задержках менее 50 мс.
- Неоспоримое доказательство того, что пакет действительно был передан в сегмент сети.
- Слишком большая загрузка источника, которую мониторный порт не потянет.
- Расследования, forensics – ситуации, где вы не можете себе позволить потерять ни один пакет (потому что потом надо извлекать из них и анализировать полезную нагрузку).
Выбирайте стратегию захвата с осторожностью, ведь качество анализа напрямую зависит от качества полученного дампа.
В одной из следующих статей мы рассмотрим ответвители трафика – ТАР.
Зеркалирования портов— технология дублирования пакетов одного порта сетевого коммутатора (или отдельной VLAN) на другом. Большое количество управляемых сетевых коммутаторов позволяют дублировать трафик от одного или нескольких портов и/или VLAN на отдельно взятый порт.
Зеркалирования портов используется на сетевом коммутаторе или маршрутизаторе для отправки копии сетевых пакетов, видимых на указанных портах (исходный порт), на другие указанные порты (порт назначения). При включенном зеркалировании портов пакеты можно отслеживать и анализировать. Зеркалирование портов применяется широко, например, сетевые инженеры могут использовать зеркалирование портов для анализа и отладки данных или диагностики ошибок в своих сетях, без влияя на возможности обработки пакетов сетевых устройств. А Министерство культуры и общественной безопасности могут собирать связанные данные из зеркалирования портов для анализа поведения сети, чтобы обеспечить здоровую сетевую среду.
Как работает зеркалирование портов?
Локальное и удаленное зеркалирование портов - это два типа зеркалирования портов, основанные на разных рабочих диапазонах зеркалирования. Они работают по разным принципам.
Локальное зеркалирование портов является наиболее простой формой зеркалирования. Все исходные порты расположены на том же сетевом устройстве как порт назначения. Как показано на рисунке 1, зеркалирование локального порта позволяет сетевому коммутатору переслать копию пакета с исходного порта (Eth 1/1) на порт назначения (Eth 1/2). Затем устройство мониторинга, подключенное к порту назначения, может отслеживать и анализировать пакет.
Что касается зеркалирования удаленных портов, исходные порты и порты назначения не находятся на одном устройстве. Как показано на рисунке 2, исходные порты (Eth 1/3) находится на одном коммутаторе, а порт назначения (Eth 1/3) - на другом коммутаторе. Исходный порт пересылает копию пакета на порт назначения через соединение восходящей линии связи, достигнутое портом (Eth 1/4) на двух коммутаторах. Следовательно, зеркалирование локальных портов позволяет осуществлять мониторинг и анализ данных на разных устройствах.
Общие чаво и решения
1. Как настроить зеркалирование портов?
Обязательным условием настройки зеркалирования портов является обеспечение того, что сетевое устройство (независимо от коммутатора или маршрутизатора) поддерживает зеркалирование портов. Затем выберите один из режимов: зеркалирование локальных портов или настройка зеркалирования удаленных портов.
Схема конфигурации зеркалирования локального порта:
1. Создайте VLAN.
2. Добавьте порт источника и порт назначения в VLAN.
3. Настройте IP-адрес.
4. Настройте зеркалирование порта на порте назначения и скопируйте пакет с исходного порта на порт назначения.
План настройки зеркалирования удаленных портов:
1. Создайте исходный порт в глобальной схеме.
2. Настройте порт восходящей связи на одном коммутаторе.
3. Создайте порт назначения в глобальной схеме.
4. Настройте порт восходящей линии связи на другом коммутаторе.
Обратите внимание, что:
1. Конфигурация вступает в силу после установки одного порта в качестве порта источника и установки другого порта в качестве порта назначения в зеркалировании локального порта.
2. При создании группы зеркалирования можно установить только один порт назначения, но в группе может быть один или несколько исходных портов.
3. Если один порт был указан в качестве исходного порта в одной группе зеркалирования, он не может быть членом другой группы зеркалирования.
4. Если один порт был указан как порт назначения в одной группе зеркалирования, он не может быть членом другой группы зеркалирования.
5. Рекомендуется не применять STP, RSTP или MSTP к порту назначения, в противном случае устройство может работать со сбоями.
2. Зеркалирование портов и зеркалирование трафика, в чем разница?
Зеркалирование порта и Зеркалирование трафика относятся к функции зеркалирования.
Зеркалирование трафика — функция коммутатора, предназначенная для перенаправления трафика с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Как показано на рисунке 3, исходный порт копирует поток данных, соответствующий правилу от клиента 2 к порту назначения, который затем отправляет скопированный поток данных на устройство мониторинга. Соответствующий поток данных может быть установлен ACL (Access Control List) или командами конфигурации. При зеркалировании трафика на устройство мониторинга отправляется только выбранный или согласованный трафик, а при зеркалировании портов копируется каждый пакет, который проходит через интерфейс, на устройство мониторинга.
3. Зеркальное отображение портов и сопоставление портов: в чем разница?
Port mapping - это переадресация принимаемых данных таким образом, чтобы данные, принимаемые на какой-то порт одного компьютера автоматически переадресовывались на какой-то другой порт другого компьютера. Все передаваемые вами данные безо всяких искажений передаются на другой компьютер, который может быть расположен где угодно. Эта технология в чем-то аналогична прокси серверу, однако она гораздо проще и гораздо менее гибкая. Таким образом, port mapping - это процесс пересылки данных, а зеркалирование порта - это процесс копирования данных.
4. Как проверить зеркалирование портов?
В общем, пользователи могут проверить результаты зеркалирования портов с помощью программного обеспечения захвата пакета. Запустите программное обеспечение на устройстве мониторинга, конфигурация завершится успешно при получении пакета, отправленного или полученного исходным портом.
Функция зеркалирования впервые появилась в коммутаторах из-за существенных отличий в принципах их работы от концентраторов. Концентратор, работающий на физическом уровне сетевой модели OSI, при получении сетевого пакета на одном порту отправляет его копии на все остальные порты. Потребность в зеркалировании в этом случае отсутствует. Коммутатор, работающий на канальном уровне сетевой модели OSI, в начале своей работы формирует таблицу коммутации, в которой указывается соответствие MAC-адреса узла порту коммутатора. Трафик при этом локализуется, каждый сетевой пакет отправляется только на нужный порт назначения.
Содержание
Применение технологии
Зеркалирование трафика является одним из самых распространенных и эффективных методов диагностирования в коммутируемых сетях. Он позволяет устройству мониторинга получать весь проходящий через коммутатор трафик, которым обмениваются несколько станций. Чаще всего данный метод используется в сочетании с анализатором протоколов. Мониторинг трафика используется в целях оценки безопасности, анализа производительности/загрузки сетевого оборудования с применением аппаратных средств, для записи VoIP.
Зеркалирование трафика на оборудовании различных производителей
Cisco
В оборудовании Cisco технология зеркалирования называется SPAN — Switch Port Analyzer (работает в пределах одного коммутатора) и RSPAN — Remote Switch Port Analyzer (зеркалирует трафик между коммутаторами) [Источник 1] . Порт приемника зеркалированного трафика имеют ряд ограничений, такие как:
Зеркалирование можно проводить при выполнении следующих условий:
- Портом исходящего трафика (Source SPAN/RSPAN) может быть один или более портов коммутатора, или VLAN, но только один из вариантов, т.е. или VLAN или порт/порты.
- Возможно до 64 Destination SPAN портов, которые могут сконфигурированы на коммутаторе.
- Layer 2 и Layer 3 порты могут быть сконфигурированы как Source SPAN порт, так и Destination SPAN порт.
- В случае когда суммарный трафик на source port превышает возможности порта Destination возникает перегрузка интерфейса.
- В пределах одной сессии SPAN, нельзя доставить трафик до Destination SPAN из Source SPAN на локальном коммутаторе и с Source RSPAN на другом коммутаторе. Это ограничение связано с тем, что нельзя смешивать порты и VLAN в SPAN технологиях (а RSPAN работает по так называемому RSPAN VLAN).
- Destination Port не может быть Source Port и наоборот.
- Только одна сессия SPAN/RSPAN может доставлять трафик на единственный порт destination.
- При настройке порта как Destination, он перестает работать как обычный Layer 2 порт, т.е. он предназначен только для принятия зеркалированного трафика.
- Trunk порты так же могут использоваться как Source Port, таким образом все VLAN, которые есть в данном trunk порте по-умолчанию находятся под наблюдением. Можно указать конкретные VLAN, которые необходимо учитывать, с помощью команды filter vlan.
- При использовании VLAN как Source SPAN существует ограничение: если трафик передается с другого VLAN, то такой трафик в SPAN не попадет.
Зеркалирование трафика на коммутаторе Cisco 2960 [1]
Для удаления существующей сессии зеркалирования используется глобальная команда настройки no monitor session session_number. Для удаления порта исходящего трафика, порта назначения или VLAN используются команды no monitor session session_number source interface interface-id | vlan vlan-id> и no monitor session session_number destination interface interface-id [Источник 2] .
Пример ниже показывает, как настроить сессию зеркалирования трафика порта-источника на порт назначения (с идентификатором 1). Сначала удаляется любая существующая SPAN сессия и затем двунаправленный трафик зеркалируется из порта-источника Gigabit Ethernet 1 на порт назначения Gigabit Ethernet 2.
Просмотр текущих сессий зеркалирования может быть выполнен командой:
Отключение зеркалирования трафика, приходящего на порт 1, можно сделать следующим образом:
При этом продолжится зеркалирование трафика, отправляемого с порта 1. Отключение зеркалирования трафика, отправляемого с порта 1:
Пример ниже показывает настройку сессии зеркалирования для наблюдения за получаемым трафиком всех портов, находящихся в VLAN 1 - 3, и его отправку на порт назначения Gigabit Ethernet 2. Затем конфигурация изменяется для наблюдения за всем трафиком портов в VLAN 10.
При указывании VLAN в качестве порта назначения можно дополнительно использовать параметр encap ingress vlan_id. В этом случае при наличии межсетевого экрана Cisco ASA подозрительные соединения будут закрываться.
Mikrotik
При настройке отслеживаемый порт, с которого нужно отправлять копии пакетов входящего и исходящего трафика, называется mirror-source . Порт назначения называется mirror-target . Оба типа портов должны принадлежать одному и тому же устройству. Также опции mirror-target может быть присвоено значение cpu , при этом перехваченные пакеты отправляются с cpu-порта чипа коммутации. Функцию зеркалирования можно, например, настроить следующим образом [Источник 4] :
Также необходимо установить необходимые параметры:
- mirror=yes - в таблице MAC-адресов или в таблице правил (пакет в этом случае может быть клонирован и отправлен в порт mirror-target),
- ingress-mirror=yes - в VLAN-таблице.
Предпочтительный тип зеркалирования на устройствах серии CRS зависит от конкретной задачи [Источник 5] . Пусть задана сеть, схематически изображенная на рисунке ниже.
Пример Port Based зеркалирования:
Пример VLAN Based зеркалирования:
Пример MAC Based зеркалирования::
Juniper Networks
Коммутаторы компании Juniper Networks, Inc. серии EX [6] позволяют зеркалировать трафик на локальный интерфейс для локального мониторинга или в VLAN для удаленного мониторинга трафика [Источник 6] . Зеркалироваться могут следующие сетевые пакеты:
- Пакеты, входящие или выходящие из порта
- Пакеты, входящие в VLAN с коммутаторами EX2200, EX3200, EX3300, EX4200, EX4500, или EX6200.
- Пакеты, выходящие из VLAN с коммутатором EX8200
Для зеркалирования трафика с интерфейса или с VLAN нужно:
1. Выбрать имя для анализатора (в примере ниже - employee-monitor) и определить входящую информацию (в примере ниже - пакеты, входящие в ge-0/0/0 и ge-0/0/1):
2. При желании можно определить статистическую выборку зеркалируемых пакетов:
С параметром зеркалирования 200 на порт назначения будет отправляться один из 200 сетевых пакетов. Таким образом, объем зеркалируемого трафика можно уменьшить при большом его количестве.
Коммутаторы улучшают производительность и надежность сети, передавая трафик только на те порты, которым он предназначен. При этом анализ критичных данных — сложная задача, поскольку инструментальные средства сетевого анализа физически изолированы от анализируемого трафика.
На коммутаторах D-Link реализована поддержка функции Port Mirroring ("Зеркалирование портов"), которая полезна администраторам для мониторинга и поиска неисправностей в сети.
Функция Port Mirroring позволяет отображать (копировать) кадры, принимаемые и отправляемые портом-источником (Source port) на целевой порт ( Target port) коммутатора, к которому подключено устройство мониторинга (например, с установленным анализатором сетевых протоколов) с целью анализа проходящих через интересующий порт пакетов.
В настоящее время анализаторы сетевых протоколов эффективно используются IT-отделами и отделами информационной безопасности для решения широкого круга задач. С их помощью можно быстро определить причину медленной работы IT-сервиса или бизнес-приложения. Они позволяют документировать сетевую активность пользователей и использовать полученные данные, например, для определения источника утечки информации.
Цель: Настроить отображение портов и понять способы его настройки.
Оборудование:
Перед выполнением задания необходимо сбросить настройки коммутаторов к заводским настройкам по умолчанию командой
Настройка DES-3200-28
Настройте список портов (с 13 по 24), трафик которых будет пересылаться на целевой порт 1
Включите зеркалирование портов
Проверьте настройки функции
Целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость работы. В том случае, если скорость порта-источника будет выше скорости целевого порта, коммутатор снизит скорость порта-источника до скорости работы целевого порта. Также целевой порт не может быть членом группы агрегированных каналов.
Упражнения
Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот
Захватите и проанализируйте трафик с помощью анализатора протоколов.
Вы видите пакеты, передаваемые от и к рабочим станциям?
Отключите зеркалирование портов
Проверьте настройки функции
Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот
Читайте также: