Hướng dẫn cơ bản về phản chiếu cổng

Hướng dẫn cơ bản về phản chiếu cổng (1)

Phần mềm giám sát mạng hiện đại bao gồm các công cụ tinh vi, chẳng hạn như biểu diễn đồ họa và công cụ phân tích. Tuy nhiên, sẽ có lúc bạn cần quay lại các kỹ thuật phân tích đai ốc và bu lông để bắt các gói khi chúng di chuyển trên mạng. Phản chiếu cổng là một kỹ thuật chụp gói.

Chụp gói yêu cầu một yếu tố phần cứng, được gọi là TAP (điểm truy cập thử nghiệm). May mắn thay, bạn đã có phần cứng kênh tất cả lưu lượng truy cập mạng của bạn: thiết bị chuyển mạch và trung tâm. Bạn có thể khai thác khả năng của các thiết bị này để loại bỏ nhu cầu mua bộ cảm biến nội tuyến hoặc bộ chia lưu lượng riêng biệt. Kỹ thuật sử dụng thiết bị mạng của bạn để nắm bắt lưu lượng truy cập được gọi làcổng phản chiếu.Hướng dẫn này sẽ cung cấp cho bạn tất cả thông tin bạn cần để thực hiện phản chiếu cổng trên mạng của bạn.

>>> Chuyển đến danh sách các công cụ giám sát được đề xuất dưới đây<<<

Chuyển đổi xử lý giao thông

Một mạng rất nhỏ sẽ chỉ có một công tắc hoặc trung tâm. Tuy nhiên, nó không mất nhiều sự tăng trưởng trong mạng để tạo ra một yêu cầu cho một chuyển đổi khác. Khi bạn có một số thiết bị chuyển mạch trên mạng của mình, chúng sẽ di chuyển lưu lượng truy cập mà không cần chuyển kênh tất cả các gói thông qua một điểm trung tâm.

Cấu hình phi tập trung này có nghĩa là bạn có thể chọn chỉ một công tắc trên mạng để thu thập dữ liệu nếu bạn muốn lưu lượng mẫu từ tất cả dữ liệu của bạn. Điều này là do các công tắc khác trên mạng của bạn sẽ trao đổi lưu lượng giữa chúng mà không cần phải được chuyển qua thiết bị đã chọn của bạn. Tuy nhiên, vấn đề này cũng sẽ phát sinh nếu bạn chọn thực hiện TAP như một công cụ chụp gói.

Khi nắm bắt lưu lượng mạng, bạn cần quyết định xem các yêu cầu của bạn có thể được đáp ứng hay không bằng các gói đi qua một điểm hoặc liệu bạn có cần phải xem tất cả hành vi lưu lượng mạng trên toàn bộ mạng cùng một lúc không.

Trong thực tế, có nhiều khả năng bạn sẽ cần xem xét lưu lượng truy cập trên mỗi liên kết. Trong trường hợp như vậy, có lẽ bạn sẽ cố gắng xem tại sao một liên kết trên mạng của bạn bị quá tải và loại lưu lượng nào bạn có thể định tuyến lại hoặc điều tiết để giải quyết vấn đề.

Mặc dù bạn có thể muốn xem tất cả lưu lượng mạng, nắm bắt tất cả tất cả cùng một lúc sẽ trở thành một mục tiêu quá lớn. Nếu bạn có thể chụp tất cả các gói mạng, bạn sẽ bị choáng ngợp bởi tất cả các dữ liệu được thu thập.

Để đánh giá đúng hiệu suất của mạng, bạn sẽ phân loại tất cả lưu lượng truy cập theo thiết bị mạng, vì vậy tốt hơn là sử dụng phản chiếu cổng trên cơ sở từng thiết bị. Các công cụ khác phù hợp hơn để cung cấp cho bạn toàn bộ mạng. Trong các trường hợp này, bạn nên sử dụng NetFlow để lấy mẫu dữ liệu từ một số điểm mạng cùng một lúc. Bạn sẽ cần một công cụ phân tích lưu lượng mạng tinh vi để tổng hợp và tổng hợp tất cả dữ liệu giao thông.

Về phản chiếu cổng

Phản chiếu cổng cung cấp một phương pháp sao chép lưu lượng mạng và hướng bản sao về phía kho lưu trữ dữ liệu. Trong bộ chia, bạn sử dụng một thiết bị trùng lặp tất cả lưu lượng với một bản sao tiếp tục đến các điểm đến dự định của nó và bản kia hiển thị trên màn hình hoặc đi đến một tệp. Với tính năng phản chiếu cổng, bạn sử dụng chính xác cùng một kỹ thuật, nhưng bạn thay đổi cài đặt của công tắc để tạo chức năng sao chép dữ liệu, do đó loại bỏ nhu cầu cài đặt một thiết bị vật lý riêng.

Về cơ bản, một hướng dẫn phản chiếu cổng cho biết công tắc gửi một bản sao lưu lượng truy cập đến một cổng cụ thể. Phương pháp này bao gồm một loạt các tùy chọn, cho phép bạn chọn lưu lượng cụ thể có nguồn gốc từ hoặc đi đến các địa chỉ nhất định hoặc chọn sao chép tất cả lưu lượng truy cập. Khi công tắc đã phân chia lưu lượng yêu cầu, tất cả những gì bạn phải làm là thu thập các gói được gửi đến cổng được chỉ định làm điểm phân phối dữ liệu.

Công tắc và trung tâm

Một liên kết, hoặc là “nhảy lò cò,Các mạng trên mạng là kết nối giữa hai thiết bị. Liên kết có thể là đoạn cuối cùng kết nối một điểm cuối, hoặc nó có thể là giữa hai Thiết bị mạng. Sẽ luôn có một thiết bị mạng ở ít nhất một đầu của liên kết. Đối với lưu lượng trong mạng, thiết bị đó sẽ là một công tắc điện hoặc một trung tâm.

Một hub truyền tất cả lưu lượng mà nó nhận được trên một trong các kết nối của nó tới tất cả các kết nối khác. Nó không chú ý đến địa chỉ đích trên các gói đến. Một chuyển đổi được lựa chọn nhiều hơn bởi vì nó kiểm tra các tiêu đề gói và chuyển tiếp từng cổng đến cổng mà nó đã liệt kê cho địa chỉ đó. Cáp được kết nối với cổng đích đó có thể không dẫn đến điểm cuối được xác định bởi địa chỉ đó. Nếu có một thiết bị mạng khác giữa công tắc đó và điểm cuối, cáp nhận dữ liệu di chuyển sẽ dẫn đến thiết bị trung gian đó, đến lượt nó, sẽ chuyển tiếp nó vào.

May mắn thay, để thu thập gói tin, các thiết bị chuyển mạch và trung tâm không thể giả mạo các liên kết vật lý tạm thời giữa các cổng nguồn và cổng đích trong một kết nối. Thay thế, thiết bị thu thập dữ liệu đến. Sau đó nó tạo một bản sao chính xác của dữ liệu đó và áp dụng nó cho cổng đích. Trong trường hợp của hub, hành động này tạo sự trùng lặp. Ví dụ: nếu một trung tâm nhận được một gói trên một trong mười cổng của nó, nó sẽ gửi cùng một gói đó trên tất cả chín cổng khác của nó.

Vì vậy, một gói trở thành chín bản. Một chuyển đổi thực hiện chính xác điều tương tự với các gói được đánh dấu cho phát sóng. Lưu lượng truy cập đến một điểm đến chỉ được sao chép vào cổng mà công tắc đã liệt kê cho địa chỉ đó. Vì vậy, tiếp tục chỉ có một trường hợp của dữ liệu đó khi nó đi ra khỏi công tắc.

Việc sao chép các gói được thực hiện bởi các bộ chuyển mạch và bộ định tuyến hoàn toàn giống với công việc được thực hiện bởi bộ chia lưu lượng.

Cổng phản chiếu với một trung tâm

Như bạn có thể thấy từ các mô tả về cách thức chuyển mạch và trung tâm hoạt động, một hub tự động sao chép tất cả lưu lượng mà nó nhận được. Vì vậy, nếu bạn chỉ có các trung tâm trên mạng của mình, rất dễ dàng để có được một bản sao của tất cả lưu lượng truy cập lưu thông trên mạng. Các trung tâm gửi tất cả lưu lượng đến tất cả các điểm cuối. Nếu lưu lượng truy cập đó phải đi qua các thiết bị mạng khác để đến một số điểm cuối trên mạng, thì won đã chặn lưu lượng truy cập đến các điểm cuối đó nếu các thiết bị trung gian cũng là trung tâm.

Vì máy tính của bạn được kết nối với một trong các trung tâm trên mạng, tất cả lưu lượng truy cập trên mạng sẽ tự động được gửi đến máy tính của bạn mà không phải thay đổi cài đặt của trung tâm. Tuy nhiên, máy tính của bạn đã giành được đọc trong tất cả lưu lượng truy cập đó.

Chương trình cơ sở trên thẻ mạng máy tính của bạn có một mã định danh được mã hóa cứng vào nó: đây là Địa chỉ MAC, Viết tắt của “bộ điều khiển truy cập phương tiện truyền thông.Thẻ mạng sẽ chỉ phản ứng với các tin nhắn đến có địa chỉ MAC trên đó. Tất cả những người khác sẽ bị bỏ qua. Hãy nghĩ về card mạng như một người gác cửa ở một câu lạc bộ tư nhân. Bất cứ ai đến đều phải cung cấp mật khẩu để vào trong; những người không có mật khẩu sẽ bị chặn nhập. Địa chỉ MAC là mật khẩu đó.

Nếu bạn muốn xem tất cả lưu lượng truy cập trên một mạng được trang bị hoàn toàn các hub, tất cả những gì bạn phải làm là yêu cầu card mạng bỏ yêu cầu về địa chỉ MAC của chính nó. Trong thuật ngữ mạng, cài đặt này được gọi làchế độ lăng nhăng.Giáo dục

Những người theo chủ nghĩa thuần túy sẽ lập luận rằng việc đặt card mạng của bạn ở chế độ bừa bãi không phải là phản chiếu cổng, mà vì card mạng của bạn không sao chép các gói. Họ nói rằng thẻ chỉ bỏ yêu cầu về địa chỉ MAC của nó để nhận ra các gói đến và chuyển chúng đến các ứng dụng trên máy tính của bạn.

Trong thực tế, cổng phản chiếu trên hub Hub là một khái niệm dư thừa vì trung tâm sao chép tất cả các gói theo mặc định. Nói chung, thuật ngữ cổng porting Mirror chỉ áp dụng cho các thiết bị chuyển mạch.

Cổng phản chiếu với một công tắc

Khi một switch nhận được một gói, nó tham chiếu địa chỉ đích trong tiêu đề của datagram. Sau đó, nó tạo một bản sao của gói và gửi phiên bản mới đó ra trên số cổng mà nó đã liên kết với địa chỉ MAC đó.

Trong các hoạt động tiêu chuẩn, được gọi làkỳ lân,Chỉ có một bản sao được tạo từ một tin nhắn đến và nó chỉ được gửi trên một cổng. Công tắc có khả năng nhân đôi lưu lượng, Tuy nhiên. Ví dụ, khi chuyển đổi nhận được một tin nhắn quảng bá, nó tạo ra cùng số lượng bản sao với số lượng cổng hoạt động của nó và gửi một bản sao ra trên mỗi cổng đó. Công tắc cũng cóphát đa hướngKhả năng của người dùng, yêu cầu họ tạo ra một số lượng bản sao hạn chế.

Vì tất cả các thiết bị chuyển mạch được lập trình với khả năng xử lý các tin nhắn quảng bá và phát đa hướng, nên nhiệm vụ sao chép các gói không khiến phần cứng của chúng gặp vấn đề. Về mặt khái niệm, để chuyển đổi của bạn để thực hiện sao chép gói yêu cầu rất ít nhiệm vụ:

  1. Công tắc được hướng dẫn để tạo một bản sao của tất cả lưu lượng.
  2. Công tắc sẽ gửi tất cả lưu lượng truy cập đến đích dự định của nó.
  3. Công tắc sẽ gửi một bản sao của tất cả lưu lượng truy cập đến một cổng được chỉ định.
  4. Bạn thu thập tất cả lưu lượng truy cập tại cổng được chỉ định.

Bắt tất cả các gói được sao chép di chuyển qua một công tắc là một công việc rất đơn giản và không sử dụng hết công sức xử lý thêm trên một phần của thiết bị. Nếu bạn muốn kiểm tra các gói đi qua một công tắc cụ thể, bạn chỉ cần yêu cầu nó sao chép tất cả lưu lượng đó và gửi nó đến một cổng và cũng nói với nó liên kết địa chỉ MAC của máy tính của bạn với số cổng được chỉ định đó. Sau đó, bạn cần đặt thẻ mạng máy tính của bạn vào chế độ lăng nhăng để đảm bảo rằng nó sẽ nhận tất cả lưu lượng truy cập và không chỉ các datagram có địa chỉ MAC của chúng trên đó.

Sao chép tất cả lưu lượng mạng

Giải pháp ở trên là phiên bản đơn giản hóa những gì thực sự xảy ra trong một công tắc khi nó thực hiện phản chiếu cổng. Trong thực tế, nhiệm vụ phức tạp hơn một chút. Ví dụ, sẽ bất tiện khi phải kết nối trực tiếp máy tính của bạn bằng cáp với một công tắc để nhận tất cả lưu lượng truy cập của nó. Ngày xưa, đó là một yêu cầu của máy phân tích LAN và kết nối theo vị trí cụ thể vẫn là một tính năng chính của TAP mạng.

Nhờ công nghệ định tuyến, phản chiếu cổng hiện đại tinh vi hơn. Bạn có thể kiểm tra lưu lượng đi qua bất kỳ công tắc nào ở bất cứ đâu trên thế giới, chỉ cần có thể truy cập công tắc đó từ vị trí của bạn qua mạng hoặc qua internet. Bạn không cần kết nối vật lý máy tính của mình với công tắc đó. Khi đi qua internet, việc phản chiếu cổng trở nên phức tạp hơn một chút vì các datagram cần đóng gói thêm ở lớp mạng Internet. Đối với hướng dẫn này, chúng tôi sẽ chỉ xử lý phản chiếu cổng từ trong mạng.

Hầu hết các thiết bị chuyển mạch có khả năng phân phối các gói bị bắt trên một mạng, đi qua các thiết bị mạng khác. Mỗi nhà sản xuất chuyển đổi sản xuất phần sụn riêng cho các công tắc của mình và menu bảng điều khiển quản lý là khác nhau đối với mỗi công tắc. Đối với mục đích của hướng dẫn này, chúng tôi sẽ tập trung vào các phương pháp được sử dụng bởi hệ thống Cisco để làm cho cổng phản chiếu có sẵn trên các thiết bị chuyển mạch mạng của nó.

Giới thiệu về thiết bị chuyển mạch Cisco SPAN

Thiết bị phản chiếu cổng chuyển mạch của Cisco được gọi là SPAN. Đây là viết tắt của Phân tích cổng chuyển đổi. SPAN cung cấp cho bạn tất cả các khả năng để bắt các gói trên bất kỳ thiết bị chuyển mạch nào của Cisco, cho dù bạn có được kết nối trực tiếp với công tắc đó hay không. Tuy nhiên, bạn cần có một cổng dự phòng trên một công tắc có thể trở thành điểm thu thập cho các gói trùng lặp.

Trong thuật ngữ SPAN, một người Haiticổng nguồnĐây là một cổng mà giao thông đang được nhân đôi. Các “cảng đíchXỏ là địa chỉ của cổng mà các gói trùng lặp được gửi đến để thu thập. Hãy thật cẩn thận để nhớ các thuật ngữ đặc biệt này bởi vì bạn sẽ muốn tham khảo thuật ngữ mạng truyền thống của mình rằng bạn đang xem các gói chạy từ cổng nguồn đến cổng đích.

Hệ thống SPAN có thể giám sát một cổng hoặc nhiều cổng. Cũng có thể xác định hướng lưu lượng tại cổng đó, chỉ cung cấp cho bạn dòng chảy, chỉ dòng chảy hoặc cả hai. Tuy nhiên, nếu bạn đang kiểm tra một số cổng cùng một lúc, tất cả chúng phải được theo dõi cùng một hướng lưu lượng.

Bạn có thể chỉ định từ và đến các cổng để nắm bắt, (tức là chỉ nhận lưu lượng truy cập đến một cổng cụ thể rời khỏi một cổng cụ thể). Nếu đây là chức năng bạn đang tìm kiếm, chọn cổng vào và nắm bắt tất cả các gói nhận được ở đó. Sau đó, bạn có thể lọc tất cả lưu lượng truy cập ngoại trừ việc để lại trên cổng quan tâm được truyền khi bạn có tất cả dữ liệu trong phần mềm phân tích.

Trong một phiên, bạn có thể theo dõi cổng hoặc màn hình Vlan – bạn có thể bao gồm cả hai loại cổng cùng một lúc.

Chế độ Cisco SPAN

Cisco SPAN cho phép bạn chụp các gói thông qua ba chế độ:

  • SPAN địa phương: Giám sát lưu lượng trên một công tắc mà bạn được kết nối trực tiếp.
  • SPAN từ xa (RSPAN): Giám sát lưu lượng trên một cổng từ xa, nhưng nhận các gói đã bắt được gửi đến một cổng trên bộ chuyển mạch cục bộ của bạn để thu thập.
  • SPAN từ xa đóng gói (ERSPAN): Quá trình tương tự như RSPAN ngoại trừ việc chuyển các gói được nhân đôi sang bộ chuyển mạch cục bộ của bạn được thực hiện bằng cách đóng gói GRE.

Tùy chọn RSPAN không có sẵn trên các thiết bị chuyển mạch Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 và 2900XL.

Tính khả dụng của Cisco SPAN

SPAN khả dụng trên tất cả các kiểu chuyển mạch sau của Cisco:

Dòng Catalyst Express 500/520

  • Dòng xúc tác 1900
  • Dòng xúc tác 2900XL
  • Dòng xúc tác 2940
  • Xúc tác 2948G-L2, 2948G-GE-TX, 2980G-A
  • Dòng xúc tác 2950
  • Dòng xúc tác 2955
  • Dòng xúc tác 2960
  • Dòng xúc tác 2970
  • Dòng xúc tác 3500 XL
  • Dòng xúc tác 3550
  • Dòng xúc tác 3560 / 3560E / 3650X
  • Dòng xúc tác 3750 / 3750E / 3750X
  • Catalyst 3750 Dòng Metro
  • Dòng xúc tác 4500/4000
  • Dòng xúc tác 4900
  • Dòng xúc tác 5500/5000
  • Dòng xúc tác 6500/6000

Thật không may, bộ lệnh không giống nhau trên tất cả các công tắc. Điều này chủ yếu là do công ty có phần sụn chuyên dụng cho một số thiết bị Catalyst của nó, được gọi là CatOS. Các thiết bị chuyển mạch khác của Cisco sử dụng một hệ điều hành được gọi là IOS, không giống với hệ điều hành iOS được các thiết bị Apple sử dụng.

Một số thiết bị chuyển mạch của Cisco không có khả năng phản chiếu cổng gốc, nhưng có một tiện ích miễn phí mà bạn có thể sử dụng trong những trường hợp này, bạn sẽ đọc ngay sau đây.

Thiết lập SPAN trên các công tắc iOS

Đối với các kiểu chuyển đổi với phần sụn IOS, bạn cần truy cập vào hệ điều hành của thiết bị và đưa ra lệnh để chỉ định cổng SPAN và cổng cần giám sát. Nhiệm vụ này được thực hiện bởi hai dòng lệnh. Một người cần phải chỉ định nguồn, có nghĩa là cổng sẽ được nhân rộng lưu lượng của nó và cổng kia đưa ra số cổng mà trình thám thính được kết nối với – đây là dòng đích.

giám sát nguồn phiên [giao diện | từ xa | vlan] [rx | tx | cả hai] giám sát giao diện đích phiên

Khi bạn đã xác định xong gương, bạn cần nhấn CTRL-Z để kết thúc định nghĩa cấu hình.

Số phiên chỉ cho phép bạn tạo một số màn hình khác nhau chạy cùng lúc. Nếu bạn sử dụng cùng một số phiên trong một lệnh tiếp theo, bạn sẽ hủy theo dõi ban đầu và thay thế nó bằng thông số kỹ thuật mới. Phạm vi cổng được xác định bằng dấu gạch ngang (Nhận – Lần) và một chuỗi các cổng được phân tách bằng dấu phẩy (Nhận, Lần).

Phần tử cuối cùng trong dòng lệnh cho cổng nguồn (cổng cần giám sát) là thông số kỹ thuật của việc chuyển đổi có nên sao chép các gói được truyền không từ một trong hai cổng, hoặc là cả hai.

Thiết lập SPAN trên các công tắc CatOS

Các phạm vi Catalyst gần đây hơn được cung cấp với một hệ điều hành mới hơn, được gọi là CatOS, thay vì hệ điều hành iOS cũ hơn. Các lệnh được sử dụng để thiết lập phản chiếu SPAN trong các công tắc này hơi khác một chút. Với hệ điều hành này, bạn tạo phản chiếu chỉ bằng một lệnh thay vì hai.

đặt nhịp [rx | tx | cả hai] [inpkts] [học tập ] [phát đa hướng] [bộ lọc] [tạo nên]

Các cổng nguồn được xác định bởi phần tử đầu tiên trong lệnh này, đó làsrc_mod / src_ports” phần. Một mã định danh cổng thứ hai trên lệnh được tự động đọc là cổng đích – nghĩa là cổng mà trình thám thính gói được đính kèm. Các “rx | tx | cả haiPhần tử dẹt nói với công tắc để sao chép các gói được truyền từ một trong hai cổng, hoặc là cả hai.

Ngoài ra còn có một lệnh span thiết lập để tắt phản chiếu:

đặt span vô hiệu hóa [Dest_mod / Dest_port | all]

Thiết lập SPAN trên các công tắc Catalyst Express 500 và Catalyst Express 520

Nếu bạn có công tắc Catalyst Express 500 hoặc Catalyst Express 520, bạn không nên nhập cài đặt SPAN tại hệ điều hành. Để liên lạc với công tắc và thay đổi cài đặt của nó, bạn cần cài đặt Trợ lý mạng của Cisco (CNA). Phần mềm quản lý mạng này là miễn phí và nó chạy trên môi trường Windows. Thực hiện theo các bước sau để SPAN hoạt động trên công tắc.

  1. Đăng nhập vào chuyển đổi thông qua giao diện CNA.
  2. Chọn Thể thao thông minh trong tùy chọn CNA thực đơn. Điều này sẽ hiển thị một đồ họa đại diện cho mảng cổng của công tắc.
  3. Bấm vào cổng mà bạn muốn kết nối gói sniffer với và chọn Sửa đổi Lựa chọn. Điều này sẽ đưa ra một cửa sổ bật lên.
  4. Lựa chọn Chẩn đoán bên trong Vai trò liệt kê và chọn cổng sẽ theo dõi lưu lượng truy cập từ Nguồn danh sách thả xuống. Nếu bạn muốn theo dõi cụ thể một Vlan, hãy chọn nó từ Nhập Vlan danh sách. Nếu bạn không muốn xem lưu lượng truy cập cho Vlan, hãy để mặc định giá trị này. Bấm vào đồng ý để lưu các thiết lập.
  5. Bấm vào đồng ý và sau đó Ứng dụng bên trong Thể thao thông minh màn.

Một vấn đề với phương pháp CNA là phần mềm chỉ chạy trên các phiên bản Windows tối đa Windows 7.

Xử lý gói tin bị bắt

Phản chiếu cổng được thiết lập trên công tắc của bạn sẽ không lưu trữ hoặc phân tích các gói đã bắt. Bạn có thể dùng bất kỳ phần mềm phân tích mạng để xử lý các gói được gửi đến thiết bị của bạn.

Một vấn đề quan trọng mà bạn sẽ phải nhận ra khi bạn chụp các gói là bạn sẽ phải xử lý một lượng dữ liệu rất lớn. Kết xuất văn bản thô của lưu lượng truy cập mạng gần như không thể kết hợp mà không có trình xem dữ liệu được hướng dẫn. Đây là loại công cụ truy cập dữ liệu thấp nhất mà bạn nên xem xét. Một tiện ích phân tích lưu lượng đầy đủ sẽ còn tốt hơn nữa.

Bạn có thể thấy một danh sách toàn diện về đề nghị các công cụ phân tích lưu lượng mạng trong bài viết, 9 Trình phân tích gói / Trình phân tích gói tốt nhất cho năm 2019. Để thuận tiện, hai công cụ hàng đầu trong bài đánh giá này được tóm tắt dưới đây.

Công cụ phân tích và kiểm tra gói sâu của SolarWinds (THỬ MIỄN PHÍ)

Kiểm tra gói sâu

SolarWinds sản xuất một danh mục lớn các công cụ quản lý và giám sát mạng. Để phân tích đầu ra phản chiếu cổng, bạn nên xem xét công ty Phân tích và phân tích sâu công cụ để là lựa chọn tốt nhất của bạn. Đây là một phần của công ty Giám sát hiệu suất mạng của công ty, là sản phẩm trung tâm của nó.

Công cụ này có thể giải thích dữ liệu có nguồn gốc từ một loạt các công cụ thu thập gói và sẽ cho bạn thấy nơi lưu lượng truy cập tăng. Bạn cần xem xét các ứng dụng đang tạo ra hầu hết nhu cầu trên mạng của bạn để xây dựng các chiến lược nhằm cải thiện hiệu suất. Công cụ phân tích này hỗ trợ những cuộc điều tra.

Trình theo dõi hiệu suất mạng là một công cụ hàng đầu và nó không phải là miễn phí. Tuy nhiên, bạn có thể dùng thử miễn phí 30 ngày. Hãy nhớ rằng chụp gói không thực sự là một tùy chọn khả thi để giám sát tất cả lưu lượng trên tất cả các mạng của bạn. Đối với những tình huống đó, bạn sẽ tốt hơn với Trình phân tích lưu lượng truy cập NetFlow của SolarWinds. Điều này sử dụng Cisco NetFlow chức năng để lưu lượng mẫu từ mạng. Nó cũng có thể giao tiếp với Mạng Juniper thiết bị thông qua Dòng chảy tiêu chuẩn lấy mẫu gói, với Huawei thiết bị, sử dụng NetStream, và nó cũng có thể sử dụng độc lập với nhà sản xuất slow IPFIX hệ thống phân tích giao thông. Bạn cũng có thể nhận Trình phân tích lưu lượng truy cập NetFlow trong bản dùng thử miễn phí 30 ngày.

Trình theo dõi hiệu suất mạng và Trình phân tích lưu lượng NetFlow tạo ra một kết hợp tốt để phân tích mạng vì chúng cung cấp cho bạn một viễn cảnh tổng quan và các công cụ để kiểm tra lưu lượng gói chạy qua các thiết bị riêng lẻ. SolarWinds cung cấp hai công cụ này cùng nhau dưới dạng Gói phân tích băng thông mạng, bạn cũng có thể dùng thử miễn phí 30 ngày.

SolarWinds Kiểm tra và phân tích gói sâu Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

Công cụ chụp gói Paessler

paessler-PRTG

Paessler PRTG là một công cụ giám sát mạng bao gồm nhiều cảm biến riêng lẻ. Một trong những công cụ này là một cảm biến chụp gói. Cảm biến này không đi kèm với một TAP vật lý; thay vào đó, nó phụ thuộc vào dữ liệu được cung cấp trong luồng từ các thiết bị chuyển mạch của bạn. Công cụ này cung cấp trực quan hóa dữ liệu tuyệt vời cho cả dữ liệu trực tiếp và cho các gói được đọc từ lưu trữ tệp.

Điều tuyệt vời về PRTG là nó có thể cung cấp cho bạn các lớp khả năng hiển thị khác nhau từ trong cùng một công cụ. Nó cũng bao gồm các cảm biến lấy mẫu dữ liệu mạng, chỉ chụp các tiêu đề gói từ các vị trí khác nhau trên mạng. Bạn cũng có thể giảm lượng dữ liệu cần được xử lý bởi màn hình bằng cách chỉ định lấy mẫu.

Cũng như cảm biến đánh hơi gói tin, PRTG bao gồm các hệ thống lấy mẫu lưu lượng sau:

  • Một cảm biến NetFlow
  • Một cảm biến sFlow
  • Cảm biến J-Flow

Với hệ thống này, bạn có thể sử dụng các cảm biến NetFlow, sFlow và J-Flow để có cái nhìn tổng quan về toàn bộ mạng của bạn và sau đó đi đến gói sniffer để tập trung vào các luồng thông thường tại một thiết bị. Khi bạn đã cách ly một công tắc quá tải, bạn có thể truy cập vào các cổng cụ thể có quá nhiều lưu lượng truy cập và xem xét các loại lưu lượng đang áp đảo nó. Với thông tin này, bạn có thể thực hiện các biện pháp định hình lưu lượng truy cập hoặc chọn thêm vào cơ sở hạ tầng nhiều hơn để định tuyến lại các điểm giao thông nặng và truyền tải.

Cảm biến sniffer gói chỉ xử lý các tiêu đề của datagram lưu lượng truy cập trên mạng. Chiến lược này giúp giảm lượng xử lý cần thiết để tổng hợp số liệu lưu lượng và phân tích tốc độ đáng kể.

Vấn đề phản chiếu cảng

Thu thập và lưu trữ gói đầy đủ có thể khiến bạn gặp vấn đề về bảo mật dữ liệu. Mặc dù hầu hết lưu lượng truy cập trên mạng của bạn sẽ được mã hóa, nhưng nếu nó được dành cho các trang bên ngoài, không phải tất cả lưu lượng truy cập nội bộ sẽ được mã hóa. Trừ khi tổ chức của bạn quyết định triển khai bảo mật bổ sung cho email, lưu lượng thư trên mạng của bạn sẽ không được mã hóa theo mặc định.

Là một kỹ thuật phân tích lưu lượng thay thế, bạn có thể cân nhắc sử dụng NetFlow. Đây là một hệ thống nhắn tin được kích hoạt trên tất cả các thiết bị của Cisco và nó sẽ chỉ chuyển tiếp các tiêu đề của gói đến một màn hình trung tâm. Bạn có thể đọc về các màn hình mạng thu thập dữ liệu NetFlow trong bài viết 10 Bộ phân tích và thu thập NetFlow miễn phí và cao cấp nhất.

Khi bạn có thông tin trong tầm tay về tất cả các khả năng giám sát lưu lượng của các thiết bị chuyển mạch Cisco, bạn sẽ ở vị trí tốt hơn để quyết định sử dụng phương pháp chụp gói nào.

Lựa chọn chiến lược phân tích mạng phù hợp

Hy vọng rằng, hướng dẫn này đã làm cho bạn biết về các vấn đề xung quanh phản chiếu cổng. Mặc dù có những lúc bạn thực sự có thể tránh việc xuống cấp gói để đánh giá đúng lưu lượng mạng của mình, bạn nên thu hẹp nghiên cứu của bạn với các công cụ khác trước khi bạn sắp xếp một gói chụp như một nhiệm vụ.

Phản chiếu cổng có vấn đề của nó – nó phá vỡ tính bảo mật dữ liệu và nó có thể tạo ra một lượng dữ liệu rất lớn. Khám phá các phương pháp để tổng hợp thông tin giao thông là dòng điều tra đầu tiên của bạn và nhận được phản ánh cổng khi bạn đã xác định được các liên kết có vấn đề. Khi bạn thiết lập phản chiếu cổng trên các thiết bị chuyển mạch của mình, hãy đảm bảo chuyển tất cả dữ liệu vào một công cụ phân tích để bạn có thể sử dụng đúng tất cả thông tin mà chiến lược này sẽ tạo ra.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me