Ang Ultimate Guide sa Port Mirroring

Ultimate Guide sa Port Mirroring (1)

Kasama sa modernong network monitoring software ang mga sopistikadong tool, tulad ng mga graphic na representasyon at analytical tool. Gayunpaman, magkakaroon ng mga oras kung kailan kakailanganin mong bumalik sa mga mani at mga diskarteng pagsusuri ng mga diskarte sa pagkuha ng mga packet habang naglalakbay sila sa paligid ng network. Ang Port mirroring ay isang diskarte sa pagkuha ng packet.

Ang pagkuha ng packet ay nangangailangan ng isang elemento ng hardware, na tinatawag na a TAP (punto ng pag-access sa pagsubok). Sa kabutihang palad, mayroon ka nang hardware na mga channel ng lahat ng iyong trapiko sa network: switch at hubs. Maaari mong magamit ang mga kakayahan ng mga aparatong ito upang maalis ang pangangailangan na bumili ng hiwalay na sensor ng inline o trapiko. Ang pamamaraan ng paggamit ng iyong kagamitan sa network upang makuha ang trapiko ay tinatawag na “salamin sa port.”Ang gabay na ito ay magbibigay sa iyo ng lahat ng impormasyon na kailangan mo upang maipatupad ang port mirroring sa iyong network.

>>> Tumalon sa listahan ng mga inirekumendang tool sa pagsubaybay sa ibaba<<<

Lumipat sa pagpoproseso ng trapiko

Ang isang napakaliit na network ay magkakaroon lamang ng isang switch o hub. Gayunpaman, hindi ito tumatagal ng maraming paglaki sa network upang lumikha ng isang kinakailangan para sa isa pang switch. Kung mayroon kang maraming mga switch sa iyong network, lumilipat sila ng trapiko nang hindi kinakailangang i-channel ang lahat ng mga packet sa pamamagitan ng isang sentral na punto.

Ang desentralisadong pagsasaayos na ito ay nangangahulugan na maaari kang pumili ng isang switch lamang sa network para sa pagkalap ng data kung nais mo halimbawang trapiko mula sa lahat ng iyong data. Ito ay dahil ang iba pang mga switch sa iyong network ay magpapalitan ng trapiko sa pagitan ng mga ito na hindi kailangang ma-channel sa pamamagitan ng iyong napiling aparato. Gayunpaman, ang isyung ito ay lilitaw din kung pinili mong ipatupad ang isang Tapikin bilang isang tool ng pagkuha ng packet.

Kapag nakakakuha ng trapiko sa network, kailangan mong magpasya kung ang iyong mga kinakailangan ay maaaring matupad ng mga packet na dumadaan sa isang punto, o kung kailangan mong makita ang lahat ng pag-uugali ng trapiko sa network sa buong network nang sabay-sabay..

Sa katotohanan, mas malamang na kailangan mong tingnan ang trapiko sa bawat link. Sa ganitong senaryo, malamang na susubukan mong makita kung bakit ang isang link sa iyong network ay na-overload at kung anong mga uri ng trapiko ang maaari mong i-reroute o throttle upang malutas ang problema.

Kahit na baka gusto mo tingnan ang lahat ng trapiko sa network, ang pagkuha ng lahat ng ito nang sabay-sabay ay nagiging isang labis na labis na layunin. Kung maaari mong makuha ang lahat ng mga packet ng network ay masusuklian ka ng lahat ng nakolekta na data.

Upang maayos na masuri ang pagganap ng iyong network, ilalagay mo ang pagkategorya sa lahat ng trapiko sa pamamagitan ng aparato ng network, kaya mas mahusay na gumamit ng salamin sa port sa isang batayan ng aparato. Ang iba pang mga tool ay mas mahusay na angkop sa pagbibigay sa iyo ng isang buong kakayahang makita ang network. Sa mga pagkakataong ito, mas mahusay kang gumamit gamit ang NetFlow upang mag-sample ng data mula sa maraming mga puntos ng network nang sabay-sabay. Kakailanganin mo ng isang sopistikadong tool sa pagsusuri sa trapiko sa network pinagsama-sama at buod lahat ng data ng trapiko.

Tungkol sa salamin sa port

Nag-aalok ang Port mirroring ng isang paraan ng pagdoble ng trapiko sa network at pagdirekta ng kopya tungo sa isang tindahan ng data. Sa isang splitter, gumagamit ka ng isang aparato na nadoble ang lahat ng trapiko na may isang kopya na nagpapatuloy sa mga nilalayong patutunguhan nito at ang iba pang nagpapakita sa isang screen o pagpunta sa isang file. Sa mirroring ng port, gagamitin mo nang eksakto ang parehong pamamaraan, ngunit binago mo ang mga setting ng iyong switch upang lumikha ng isang function ng pagkopya ng data, kaya tinanggal ang pangangailangan na mag-install ng isang hiwalay na pisikal na aparato.

Mahalaga, ang isang pagtuturo sa pag-mirror ng port ay nagsasabi sa switch na magpadala ng isang kopya ng trapiko sa isang tukoy na port. Ang pamamaraan ay nagsasama ng isang hanay ng mga pagpipilian, na nagpapagana sa iyo pumili ng tukoy na trapiko nagmula sa o naglalakbay sa mga ibinigay na address, o pagpili upang kopyahin ang lahat ng trapiko. Kapag ang switch ay nahati ang kinakailangang trapiko, ang kailangan mo lang gawin ay kolektahin ang mga packet na ipinadala sa port na itinalaga bilang punto ng paghahatid ng data.

Mga switch at hub

A link, o “hop,”Sa isang network ay ang koneksyon sa pagitan ng dalawang aparato. Ang link ay maaaring ang huling kahabaan na nag-uugnay sa isang endpoint, o maaaring ito ay sa pagitan ng dalawa mga aparato sa network. Laging mayroong isang aparato sa network sa kahit isang dulo ng link. Para sa trapiko sa loob ng isang network, ang aparato na iyon ay alinman sa isang lumipat o a hub.

Ang isang hub ay nagpapadala ng lahat ng trapiko na natanggap nito sa isa sa mga koneksyon nito sa lahat ng iba pa. Hindi nito binibigyang pansin ang address ng patutunguhan sa mga papasok na packet. Ang isang switch ay mas pumipili dahil ito Sinusuri ang mga header ng packet at ipinapasa ang bawat isa sa port na nakalista nito para sa adres na iyon. Ang cable na konektado sa port ng patutunguhan na iyon ay maaaring hindi humantong sa endpoint na natukoy ng address na iyon. Kung mayroong isa pang aparato sa network sa pagitan ng switch na iyon at sa endpoint, ang cable na tumatanggap ng gumagalaw na data ay hahantong sa intermediate na aparato na, kung saan, ay ipapasa ito sa.

Sa kabutihang palad, para sa pagkuha ng packet, ang mga switch at hub ay hindi magbibigay ng pansamantalang pisikal na mga link sa pagitan ng mga mapagkukunan at patutunguhan na mga port sa isang koneksyon. Sa halip, kinokolekta ng aparato ang papasok na data. Ito ay pagkatapos lumilikha ng isang eksaktong kopya ng data na iyon at inilalapat ito sa patutunguhan port. Sa kaso ng mga hub, ang aksyon na ito lumilikha ng pagdoble. Halimbawa, kung ang isang hub ay tumatanggap ng isang packet sa isa sa sampung port nito, ipapadala nito ang parehong packet sa lahat ng iba pang siyam na port..

Kaya, ang isang packet ay nagiging siyam na kopya. Ang isang switch ay eksaktong eksaktong parehong bagay sa mga packet na minarkahan broadcast. Ang trapiko na naglalakbay sa isang patutunguhan ay makakopya lamang sa port na nakalista ng switch para sa adres na iyon. Kaya’t patuloy na may isang halimbawa lamang ng data na iyon habang naglalakbay ito sa switch.

Ang pagdoble ng mga packet na isinagawa ng mga switch at mga router ay eksaktong kapareho ng gawa na isinagawa ng isang trapiko ng trapiko.

Port mirroring na may isang hub

Tulad ng nakikita mo mula sa mga paglalarawan kung paano gumagana ang mga switch at hubs, awtomatikong kinokopya ng isang hub ang lahat ng trapiko na natanggap nito. Kaya, kung mayroon ka lamang mga hub sa iyong network, napakadaling makakuha ng isang kopya ng lahat ng trapiko na nagpapalibot dito. Ipinapadala ng hub ang lahat ng trapiko sa lahat ng mga pagtatapos. Kung ang trapiko na iyon ay kailangang maglakbay sa iba pang mga aparato sa network upang maabot ang ilan sa mga endpoints sa network, na hindi haharangin ang trapiko na makarating sa mga endpoints kung ang mga intermediate na aparato ay hubs din..

Habang ang iyong sariling computer ay konektado sa isa sa mga hub sa network, ang lahat ng trapiko sa network ay awtomatikong mapapadala sa iyong computer nang hindi kinakailangang baguhin ang mga setting ng hub. Ang iyong computer ay hindi basahin sa lahat ng trapiko na iyon, gayunpaman.

Ang firmware sa network card ng iyong computer ay may isang identifier na hard-coded dito: ito ang MAC address, na nakatayo para sa “media access Controller.”Ang network card ay magiging reaksyon lamang sa mga darating na mensahe na mayroong MAC address sa kanila. Ang lahat ng iba ay hindi papansinin. Isipin ang network card bilang isang doorman sa isang pribadong club. Ang sinumang darating ay dapat magbigay ng isang password upang makapasok; ang mga walang password ay naharang sa pagpasok. Ang MAC address ay ang password na iyon.

Kung nais mong makita ang lahat ng trapiko sa isang network na ganap na nilagyan ng mga hub, ang kailangan mo lang gawin ay sabihin sa network card na ihulog ang kinakailangan para sa sarili nitong MAC address. Sa terminolohiya ng network, ang setting na ito ay tinatawag na “promiscuous mode.”

Ang mga purists ay magtaltalan na ang paglalagay ng iyong network card sa promiscuous mode ay hindi “port mirroring,” dahil ang iyong network card ay hindi doblehin ang mga packet. Sinabi nila na ang card ay bumababa lamang sa kahilingan para sa MAC address nito upang makilala ang mga darating na packet at maipasa ang mga ito sa mga aplikasyon sa iyong computer.

Sa katotohanan “port mirroring sa isang hub” ay isang kalabisan konsepto dahil ang hub ang doblehin ang lahat ng mga packet bilang default. Kadalasan, ang salitang “port mirroring” ay inilalapat lamang sa mga switch.

Ang salamin sa Port na may switch

Kapag ang isang switch ay tumatanggap ng isang packet, tinutukoy nito ang address ng patutunguhan sa header ng datagram. Pagkatapos ay gumawa ito ng isang kopya ng packet at ipinapadala ang bagong bersyon sa numero ng port na ito ay nauugnay sa MAC address.

Sa karaniwang operasyon, na tinatawag na “unicast,”Isang kopya lamang ang ginawa ng isang papasok na mensahe at ipinapadala lamang sa isang port. Ang mga switch ay may kakayahang madoble ang trapiko, gayunpaman. Halimbawa, kapag ang switch ay tumatanggap ng isang mensahe ng broadcast, ginagawa nito ang parehong bilang ng mga kopya bilang bilang ng mga aktibong port at nagpapadala ng isang kopya sa bawat isa sa mga port. Ang mga switch ay mayroon ding “multicast“Mga kakayahan, na nangangailangan ng mga ito upang lumikha ng isang limitadong bilang ng mga kopya.

Tulad ng lahat ng mga switch ay nai-program na may kakayahang hawakan ang mga broadcast at multicast na mensahe, ang gawain ng pagdobleet ng mga packet ay hindi ipinakita ang kanilang hardware na may problema. Malinaw, ang pagkuha ng iyong switch upang maisagawa ang pagkopya ng packet ay nangangailangan ng kaunting mga gawain:

  1. Inatasan ang switch na gumawa ng isang kopya ng lahat ng trapiko.
  2. Ang switch ay nagpapadala ng lahat ng trapiko papunta sa nilalayong patutunguhan nito.
  3. Nagpapadala ang switch ng isang kopya ng lahat ng trapiko sa isang hinirang port.
  4. Kinokolekta mo ang lahat ng trapiko sa hinirang port.

Ang pagkuha ng lahat ng mga packet na dobleng paglalakbay sa pamamagitan ng isang switch ay isang napaka-simpleng trabaho at hindi gumagamit ng sobrang labis na pagsusumikap sa pagproseso sa bahagi ng aparato. Kung nais mong suriin ang mga packet na naglalakbay sa isang tukoy na switch, kailangan mo lamang sabihin ito upang madoble ang lahat ng trapiko na iyon at ipadala ito sa isang port at sabihin din ito sa iugnay ang MAC address ng iyong computer sa itinalagang numero ng port. Kailangan mong ilagay ang network card ng iyong computer sa promiscuous mode upang matiyak na kukunin nito ang lahat ng trapiko at hindi lamang ang mga datagram na may MAC address nito sa kanila.

Pagdoble ng lahat ng trapiko sa network

Ang solusyon sa itaas ay isang pinasimple na bersyon ng kung ano ang talagang nangyayari sa isang switch kapag nagsasagawa ito ng salamin sa port. Sa katotohanan, ang gawain ay medyo mas kumplikado. Halimbawa, hindi magagawang upang ikonekta ang iyong computer nang direkta sa isang cable sa isang switch upang kunin ang lahat ng trapiko nito. Sa mga unang araw, iyon ay isang kahilingan ng mga analyster ng LAN, at isang koneksyon sa tukoy na lokasyon ay pa rin isang pangunahing tampok ng mga TAP ng network.

Salamat sa teknolohiya ng pagruruta, ang mga modernong port mirroring ay mas sopistikado. Maaari mong suriin ang trapiko na dumadaan sa anumang switch sa kahit saan sa mundo, basta ang switch na iyon ay maaabot mula sa iyong lokasyon alinman sa network o sa buong internet. Hindi mo kailangang pisikal na ikonekta ang iyong computer sa switch na iyon. Kapag naglalakbay sa buong internet, ang pag-mirror ng port ay nakakakuha ng isang maliit na mas kumplikado dahil ang mga datagram ay nangangailangan ng dagdag na packaging sa layer ng network ng Internet. Para sa gabay na ito, makikipag-usap lamang kami sa salamin ng port mula sa loob ng isang network.

Karamihan sa mga switch ay may kakayahang maghatid ng mga nakuhang packet sa isang network, naglalakbay sa iba pang mga aparato sa network. Ang bawat tagagawa ng switch ay gumagawa ng sariling firmware para sa mga switch nito at ang menu ng console ng pamamahala ay naiiba para sa bawat isa. Para sa mga layunin ng gabay na ito, tututuunan natin ang mga pamamaraan na ginamit ng Mga Sistema ng Cisco upang magamit ang port ng salamin sa mga switch ng network.

Tungkol sa mga switch ng SPAN

Tinawag ang pasilidad ng paglipat ng port ng Cisco switch SPAN. Ito ay nangangahulugang Lumipat Port Analyzer. Binibigyan ka ng SPAN ng lahat ng mga kakayahan upang makunan ang mga packet sa anumang switch ng Cisco, direkta ka rin na konektado sa switch na iyon. Gayunpaman, kailangan mong magkaroon ng ekstrang port sa isang switch na maaaring maging punto ng koleksyon para sa mga dobleng packet.

Sa terminong SPAN, isang “mapagkukunan port“Ay isang port na trapiko ay nadoble mula sa. Ang “patutunguhan port“Ay ang address ng port na ipinadadala sa mga dobleng packet para sa koleksyon. Maging maingat na tandaan ang mga natatanging termino dahil ikaw ay matutukso na sumangguni sa iyong tradisyunal na terminolohiya ng networking na tinitingnan mo ang mga packet na tumatakbo mula sa isang mapagkukunan na port patungo sa isang patutunguhan na port.

Ang sistema ng SPAN ay maaaring subaybayan ang isang port o maraming mga port. Posible ring matukoy ang direksyon ng trapiko sa daungan na iyon, bibigyan ka lamang ng pag-agos, pag-agos lamang, o pareho. Gayunpaman, kung susuriin mo ang isang bilang ng mga port nang sabay-sabay, lahat sila ay dapat magkaroon ng parehong direksyon ng daloy ng trapiko na sinusubaybayan.

Hindi mo matukoy ang mula at hanggang sa mga port na makunan, (makukuha lamang ang trapiko na dumating sa isang tiyak na daungan na umalis mula sa isang tiyak na daungan). Kung ito ang pag-andar na hinahanap mo, piliin ang portow ng daloy at makuha ang lahat ng mga natanggap na packet doon. Pagkatapos ay maaari mong i-filter ang lahat ng trapiko maliban sa pag-iwan sa ipinadala na port ng interes sa sandaling mayroon ka ng lahat ng data sa iyong pagtatasa ng software.

Sa isang session, maaari mo ring subaybayan ang mga port o monitor Mga VLAN – hindi mo maaaring takpan ang parehong uri ng mga port nang sabay-sabay.

Mga mode ng Cisco SPAN

Binibigyang-daan ka ng Cisco SPAN na makunan ang mga packet sa pamamagitan ng tatlong mga mode:

  • Lokal na SPAN: Subaybayan ang trapiko sa isang switch na kung saan ka direktang nakakonekta.
  • Remote SPAN (RSPAN): Subaybayan ang trapiko sa isang malayong port, ngunit kunin ang mga nakuhang packet na ipinadala sa isang port sa iyong lokal na switch para sa koleksyon.
  • Encapsulated Remote SPAN (ERSPAN): Ang parehong proseso tulad ng RSPAN maliban na ang paglipat ng mga mirrored packet sa iyong lokal na switch ay dala ng GRE encapsulation.

Ang pagpipilian ng RSPAN ay hindi magagamit sa Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3, at 2900XL switch.

Ang pagkakaroon ng Cisco SPAN

Ang SPAN ay magagamit sa lahat ng mga sumusunod na modelo ng switch ng Cisco:

Catalyst Express 500/520 Series

  • Catalyst 1900 Series
  • Catalyst 2900XL Series
  • Catalyst 2940 Series
  • Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A
  • Catalyst 2950 Series
  • Catalyst 2955 Series
  • Catalyst 2960 Series
  • Catalyst 2970 Series
  • Catalyst 3500 XL Series
  • Catalyst 3550 Series
  • Catalyst 3560 / 3560E / 3650X Series
  • Catalyst 3750 / 3750E / 3750X Series
  • Catalyst 3750 Metro Series
  • Catalyst 4500/4000 Series
  • Catalyst 4900 Series
  • Catalyst 5500/5000 Series
  • Catalyst 6500/6000 Series

Sa kasamaang palad, ang command set ay hindi pareho sa lahat ng mga switch. Kadalasan ito dahil ang kumpanya ay may dalubhasang firmware para sa ilan sa mga aparato ng Catalyst na ito, na tinawag CatOS. Ang iba pang mga switch ng Cisco ay gumagamit ng isang operating system na tinatawag IOS, na hindi katulad ng operating system ng iOS na ginagamit ng mga aparatong Apple.

Ang ilang mga switch ng Cisco ay walang mga kakayahan sa pag-mirror ng katutubong port, ngunit mayroong isang libreng utility na maaari mong magamit sa mga sitwasyong ito, na babasahin mo ang ilang sandali.

I-set up ang SPAN sa mga switch ng IOS

Para sa mga modelo ng switch sa IOS firmware, kailangan mong pumunta sa operating system ng aparato at mag-isyu ng utos upang tukuyin ang SPAN port at port na susubaybayan. Ang gawaing ito ay ipinatupad ng dalawang linya ng mga utos. Kailangan ng isa tukuyin ang pinagmulan, na nangangahulugang ang port na magkakaroon ng mga kopya ng trapiko nito at ang iba pa nagbibigay ng numero ng port na konektado ng sniffer – ito ang linya ng patutunguhan.

pinagmulan ng session session [interface | liblib | vlan] [rx | tx | pareho]
interface ng session ng interface ng session

Kapag natapos mo na ang pagtukoy sa salamin, kailangan mong pindutin CTRL-Z upang tapusin ang kahulugan ng pagsasaayos.

Pinapayagan ka lamang ng numero ng session na lumikha ka ng iba’t ibang mga monitor na tumatakbo nang sabay-sabay. Kung gagamitin mo ang parehong numero ng sesyon sa isang kasunod na utos, kanselahin mo ang orihinal na bakas at palitan ito ng bagong detalye. Ang mga saklaw ng port ay tinukoy ng isang dash (“-“) at ang isang pagkakasunud-sunod ng mga port ay pinaghihiwalay ng mga koma (“,”).

Ang huling elemento sa command line para sa source port (ang port na susubaybayan) ay ang pagtutukoy kung dapat lumipat ng switch ang mga packet na ipinadala mula sa alinmang port, o pareho.

I-set up ang SPAN sa mga switch ng CatOS

Karamihan sa mga kamakailang saklaw ng Catalyst ay ipinadala sa isang mas bagong operating system, na tinawag CatOS, sa halip ng mas matandang operating system ng IOS. Ang mga utos na ginamit upang mag-set up ng SPAN mirroring sa mga switch na ito ay naiiba. Sa operating system na ito, lumikha ka ng salamin na may isang utos lamang sa halip na dalawa.

set span [rx | tx | pareho]

[inpkts]

[pag-aaral]

[multicast]

[filter]

[lumikha]

Ang mga mapagkukunan ng mga port ay tinukoy ng unang elemento sa utos na ito, na kung saan aysrc_mod / src_ports“Bahagi. Ang pangalawang identifier ng port sa utos ay awtomatikong basahin bilang ang patutunguhan port – iyon ay, ang port kung saan nakalakip ang packet sniffer. Ang “rx | tx | pareho“Elemento ay nagsasabi sa switch upang kopyahin ang mga packets na ipinadala mula sa alinmang port, o pareho.

Mayroon ding isang set ng utos ng span upang i-off ang salamin:

itakda ang span huwag paganahin ang [dest_mod / dest_port | lahat]

I-set up ang SPAN sa Catalyst Express 500 at mga switch ng Catalyst Express 520

Kung mayroon kang isang Catalyst Express 500 o Catalyst Express 520 switch, hindi ka nakapasok sa mga setting ng SPAN sa operating system. Upang makipag-ugnay sa switch at baguhin ang mga setting nito, kailangan mong i-install ang Cisco Network Assistant (CNA). Ang software management network na ito ay libre at tumatakbo ito sa kapaligiran ng Windows. Sundin ang mga hakbang na ito upang maging aktibo ang SPAN.

  1. Mag-log in sa switch sa pamamagitan ng interface ng CNA.
  2. Piliin ang Mga Smartports pagpipilian sa CNA menu. Ito ay magpapakita ng isang graphic na kumakatawan sa port array ng switch.
  3. Mag-click sa port na nais mong ikonekta ang packet sniffer at piliin ang Baguhin pagpipilian. Dadalhin nito ang isang window ng pop-up.
  4. Piliin Diagnostics nasa Papel ilista at piliin ang port na mai-monitor ng trapiko mula sa Pinagmulan listahan ng drop-down. Kung nais mong partikular na subaybayan ang isang VLAN, piliin ito mula sa Ingress VLAN listahan. Kung hindi ka naglalayong panonood lamang ng trapiko para sa isang VLAN, iwanan ang halagang ito sa default. Mag-click sa OK upang i-save ang mga setting.
  5. Mag-click sa OK at pagkatapos Mag-apply nasa Mga Smartports screen.

Ang isang problema sa pamamaraan ng CNA ay ang software lamang ang tumatakbo sa mga bersyon ng Windows hanggang sa Windows 7.

Nakuha ang pagproseso ng packet

Ang pag-set up ng pag-mirror ng port sa iyong switch ay hindi mag-iimbak o mag-aralan ng mga nakunan na packet. Pwede mong gamitin anumang software sa pagtatasa ng network upang maproseso ang mga packet na ipinadala sa iyong aparato.

Ang isang pangunahing isyu na kakailanganin mong kilalanin kapag nakuha mo ang mga packet na kailangan mong harapin ang isang napakalaking halaga ng data. Ang isang hilaw na text dump ng pagpasa sa trapiko ng network ay halos imposible upang magsuklay nang walang isang gabay na data viewer. Ito ang pinakamababang kategorya ng pag-access ng data na dapat mong isaalang-alang. Ang isang buong utility analysis ng trapiko ay magiging mas mahusay.

Maaari kang makakita ng isang komprehensibong listahan ng inirerekumenda mga tool sa pagtatasa ng trapiko sa network sa artikulong, 9 Pinakamahusay na Packet Analyzers / Packet Sniffers para sa 2019. Para sa kaginhawaan, ang nangungunang dalawang tool sa pagsusuri na ito ay buod sa ibaba.

Ang SolarWinds Deep Packet Inspection and Analysis tool (LIBRENG SUBOK)

Malalim na inspeksyon ng packet

Ang SolarWinds ay gumagawa ng isang malaking katalogo ng pagmamanman ng network at mga tool sa pamamahala. Para sa pagsusuri ng output ng pag-mirror ng salamin, dapat mong isaalang-alang ang kumpanya Malalim na Packet at Pagsusuri tool upang maging iyong pinakamahusay na pagpipilian. Ito ay bahagi ng Network Performance Monitor ng kumpanya, na siyang gitnang produkto.

Ang tool na ito ay nakapagpakahulugan ng data na nagmula sa isang malawak na hanay ng mga tool sa pagkolekta ng packet at hahayaan kang makita kung saan naganap ang mga pagtaas ng trapiko. Kailangan mong tingnan ang mga application na bumubuo ng karamihan sa mga pangangailangan sa iyong network upang mabuo ang mga estratehiya upang mapabuti ang pagganap. Ang tool na ito ng pagsusuri ay sumusuporta sa mga pagsisiyasat.

Ang Network Performance Monitor ay isang top-of-the-line na tool at hindi ito libre. Gayunpaman, maaari kang makakuha ng isang 30-araw na libreng pagsubok. Tandaan na ang pagkuha ng packet ay hindi talagang isang posible na pagpipilian upang masubaybayan ang lahat ng trapiko sa lahat ng iyong network. Para sa mga sitwasyong iyon, mas mahusay ka sa SolarWinds NetFlow Traffic Analyzer. Nagagamit ito Ang Cisco NetFlow pag-andar sa halimbawang trapiko mula sa network. Nagagawa ring makipag-usap sa Juniper Networks kagamitan sa pamamagitan ng J-Daloy pamantayan ng sample ng packet, kasama Huawei aparato, gamit NetStream, at maaari rin itong gumamit ng independyenteng tagagawa sFlow at IPFIX mga sistema ng pagsusuri ng trapiko. Maaari ka ring makakuha ng NetFlow Traffic Analyzer sa isang 30-araw na libreng pagsubok.

Ang Network Performance Monitor at ang NetFlow Traffic Analyzer ay gumawa ng isang mahusay na combo para sa pagsusuri sa network dahil binibigyan ka nila ng isang pananaw sa pangkalahatang-ideya at ang mga tool upang suriin ang trapiko ng packet na tumatakbo sa pamamagitan ng mga indibidwal na aparato. Nag-aalok ang SolarWinds ng dalawang tool na ito kasama ang Network Bandwidth Analyzer Pack, na maaari mo ring makuha sa isang 30-araw na libreng pagsubok.

Ang SolarWinds Deep Packet Inspection at AnalysisDownload ang 30-araw na LIBRE na pagsubok

Paessler Packet Capture Tool

paessler-PRTG

Ang Paessler PRTG ay isang tool sa pagsubaybay sa network na binubuo ng maraming mga indibidwal na sensor. Ang isa sa mga tool na ito ay a packet capture sensor. Ang sensor na ito ay hindi dumating sa isang pisikal na TAP; sa halip, umaasa ito sa data na ibinigay sa isang stream mula sa iyong mga switch. Nag-aalok ang tool na ito ng magagandang visualization ng data para sa parehong live na data at para sa mga packet na nabasa mula sa pag-iimbak ng file.

Ang magaling na bagay tungkol sa PRTG ay maaari itong mag-alok sa iyo ng iba’t ibang mga layer ng kakayahang makita mula sa loob ng parehong tool. Kasama rin dito ang mga sensor na nagsasaad ng data ng network, nakakakuha lamang ng mga header ng packet mula sa iba’t ibang mga lokasyon sa network. Maaari mo rin bawasan ang dami ng data na kailangang maiproseso ng monitor sa pamamagitan ng pagtukoy ng sampling.

Pati na rin ang sensor ng packet sniffing, kasama sa PRTG ang mga sumusunod na sistema ng pag-sampling ng trapiko:

  • Isang sensor ng NetFlow
  • Isang sensor ng SFlow
  • Isang sensor ng J-Flow

Sa pamamagitan ng system na ito, maaari mong gamitin ang mga sensor ng NetFlow, sFlow, at J-Flow upang makakuha ng isang pangkalahatang-ideya ng iyong buong network at pagkatapos ay pumunta sa packet sniffer upang tumuon sa karaniwang mga daloy sa isang aparato. Sa sandaling nakahiwalay ka ng isang labis na kargada na lumipat, maaari ka nang makauwi sa mga tukoy na pantalan na napakaraming trapiko at tiningnan ang mga uri ng trapiko na napakalaki nito. Sa impormasyong ito, maaari mong ipatupad ang mga hakbang sa paghuhulma ng trapiko o pumili upang magdagdag sa higit pang mga imprastraktura upang mai-reroute ang mga mabibigat na punto ng trapiko at maikalat ang pagkarga.

Pinoproseso lamang ng sensor ng packet sniffer ang mga header ng trapiko na datagram na naglalakbay sa paligid ng network. Ang diskarte na ito ay binabawasan ang dami ng pagproseso na kinakailangan upang pinagsama-samang mga sukatan ng daloy at lubos na bilis ng pagsusuri.

Mga isyu sa Port mirroring

Ang buong pagkuha ng packet at imbakan ay maaaring magpatakbo sa iyo sa mga problema sa pagiging kumpidensyal ng data. Bagaman ang karamihan sa trapiko na dumadaan sa iyong network ay mai-encrypt, kung nakalaan ito para sa mga panlabas na site, hindi lahat ng in-house traffic ay mai-encrypt. Maliban kung nagpasya ang iyong samahan na magpatupad ng labis na seguridad para sa mga email, ang trapiko ng mail sa paligid ng iyong network ay hindi mai-encrypt nang default.

Bilang isang alternatibong pamamaraan sa pagsusuri ng trapiko, maaari mong isaalang-alang ang paggamit ng NetFlow. Ito ay isang sistema ng pagmemensahe na pinagana sa lahat ng mga aparato ng Cisco at ipapasa lamang nito ang mga header ng mga packet sa isang gitnang monitor. Maaari mong basahin ang tungkol sa mga monitor ng network na nangongolekta ng data ng NetFlow sa artikulong 10 Pinakamahusay na Libre at Premium NetFlow Analyzers at Collectors.

Kapag mayroon ka ng impormasyon sa iyong mga daliri tungkol sa lahat ng mga kakayahan sa pagsubaybay sa trapiko ng iyong mga switch ng Cisco, ikaw ay nasa isang mas mahusay na posisyon upang magpasya kung aling paraan ng packet capture ang gagamitin.

Ang pagpili ng tamang diskarte sa pagtatasa ng network

Inaasahan, ang gabay na ito ay nagpapaalam sa mga isyu na pumapaligid sa salamin sa port. Bagaman may mga oras na talagang hindi mo maiwasang bumaba sa antas ng packet upang maayos na masuri ang trapiko ng iyong network, dapat paliitin ang iyong pananaliksik kasama ang iba pang mga tool bago ka mag-ayos ng isang capture ng packet bilang isang gawain.

Ang Port mirroring ay may mga problema nito – sinisira nito ang pagiging kompidensiyal ng data at maaaring makabuo ito ng napakalaking halaga ng data. Galugarin ang mga pamamaraan na pinagsama-samang impormasyon sa trapiko bilang iyong unang linya ng pagsisiyasat at makarating sa salamin sa port sa sandaling nakilala mo ang mga link sa mga problema. Kapag nag-set up ka ng pag-mirror ng port sa iyong mga switch, siguraduhing ma-channel ang lahat ng data sa isang tool sa pagsusuri upang makagawa mong wastong paggamit ng lahat ng impormasyon na bubuo ng diskarte na ito..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me