Was ist Portspiegelung? Der ultimative Leitfaden
Moderne Netzwerküberwachungssoftware umfasst ausgefeilte Tools wie grafische Darstellungen und Analysetools. Es wird jedoch Zeiten geben, in denen Sie auf die grundlegenden Analysetechniken zur Erfassung von Paketen zurückgreifen müssen, während diese sich im Netzwerk bewegen. Portspiegelung ist eine Paketerfassungstechnik.
Für die Paketerfassung ist ein Hardwareelement erforderlich, das als a bezeichnet wird TAP (Zugangspunkt testen ). Glücklicherweise verfügen Sie bereits über Hardware, die Ihren gesamten Netzwerkverkehr kanalisiert: Switches und Hubs. Sie können die Fähigkeiten dieser Geräte nutzen, um den Kauf eines separaten Inline-Sensors oder Traffic-Splitters überflüssig zu machen. Die Technik, Ihre Netzwerkausrüstung zur Erfassung des Datenverkehrs zu verwenden, wird als „ Portspiegelung .“ In diesem Leitfaden erhalten Sie alle Informationen, die Sie zur Implementierung der Portspiegelung in Ihrem Netzwerk benötigen.
>>> Sehen Sie sich unten die Liste der empfohlenen Überwachungstools an <<<
Verkehrsverarbeitung umschalten
Ein sehr kleines Netzwerk hätte nur einen Switch oder Hub. Es ist jedoch kein großes Netzwerkwachstum erforderlich, um einen Bedarf für einen weiteren Switch zu schaffen. Wenn Sie mehrere Switches in Ihrem Netzwerk haben, leiten diese den Datenverkehr weiter, ohne alle Pakete über einen zentralen Punkt zu leiten.
Diese dezentrale Konfiguration bedeutet, dass Sie bei Bedarf nicht nur einen Switch im Netzwerk für die Datenerfassung auswählen könnenBeispielverkehraus all Ihren Daten. Dies liegt daran, dass die anderen Switches in Ihrem Netzwerk Datenverkehr zwischen ihnen austauschen, der nicht über das von Ihnen gewählte Gerät geleitet werden muss. Dieses Problem würde jedoch auch auftreten, wenn Sie sich für die Implementierung von a entscheiden würdenKLOPFENals Paketerfassungstool.
Bei der Erfassung des Netzwerkverkehrs müssen Sie entscheiden, ob Ihre Anforderungen durch die Pakete erfüllt werden können, die einen Punkt passieren, oder ob Sie das gesamte Netzwerkverkehrsverhalten im gesamten Netzwerk auf einmal sehen müssen.
In Wirklichkeit ist es wahrscheinlicher, dass Sie den Verkehr pro Link betrachten müssen. In einem solchen Szenario werden Sie wahrscheinlich versuchen herauszufinden, warum eine Verbindung in Ihrem Netzwerk überlastet ist und welche Arten von Datenverkehr Sie umleiten oder drosseln könnten, um das Problem zu lösen.
Obwohl Sie es vielleicht möchten Sehen Sie sich den gesamten Netzwerkverkehr an Alles auf einmal zu erfassen, wird schnell zu einem überambitionierten Ziel. Wenn Sie alle ein- und ausgehenden Pakete erfassen könnten, würden Sie von der Menge der gesammelten Daten überwältigt werden.
Um die Leistung Ihres Netzwerks richtig beurteilen zu können, kategorisieren Sie den gesamten Datenverkehr ohnehin nach Netzwerkgeräten. Daher ist es besser, die Portspiegelung für jedes Gerät einzeln zu verwenden. Andere Tools eignen sich besser, um Ihnen eine vollständige Netzwerktransparenz zu verschaffen. In diesen Fällen ist es besser, NetFlow zu verwenden, um Daten von mehreren Netzwerkpunkten gleichzeitig abzutasten. Dazu benötigen Sie ein ausgefeiltes Tool zur Analyse des Netzwerkverkehrsaggregieren und zusammenfassenalle Verkehrsdaten.
Was ist Portspiegelung?
Portspiegelung bietet eine Methode zum Duplizieren des Netzwerkverkehrs und zum Weiterleiten der Kopie an einen Datenspeicher.
In einem Splitter verwenden Sie ein Gerät, dasdupliziert den gesamten Datenverkehrwobei eine Kopie zu ihrem vorgesehenen Ziel weiterläuft und die andere auf einem Bildschirm angezeigt wird oder zu einer Datei wechselt. Bei der Portspiegelung verwenden Sie genau die gleiche Technik, ändern jedoch die Einstellungen Ihres Switches, um eine Datenduplizierungsfunktion zu erstellen, wodurch die Installation eines separaten physischen Geräts überflüssig wird.
Im Wesentlichen weist eine Portspiegelungsanweisung den Switch an, eine Kopie des Datenverkehrs an einen bestimmten Port zu senden. Die Methodik umfasst eine Reihe von Optionen, die es Ihnen ermöglichen Wählen Sie einen bestimmten Verkehr B. von bestimmten IP-Adressen ausgehen oder dorthin reisen, oder sich dafür entscheiden, den gesamten Datenverkehr zu kopieren. Sobald der Switch den erforderlichen Datenverkehr aufgeteilt hat, müssen Sie nur noch die Pakete sammeln, die an den als Datenzustellungspunkt festgelegten Port gesendet werden.
Switches und Hubs
A Verknüpfung , oder ' Hop „In einem Netzwerk ist die Verbindung zwischen zwei Geräten. Der Link könnte der letzte Abschnitt sein, der einen verbindet Endpunkt , oder es könnte zwischen zwei liegen Netzwerkgeräte . An mindestens einem Ende der Verbindung befindet sich immer ein Netzwerkgerät. Für den Datenverkehr innerhalb eines Netzwerks ist dieses Gerät entweder ein schalten oder ein Nabe .
Ein Hub überträgt den gesamten Datenverkehr, den er auf einer seiner Verbindungen empfängt, an alle anderen. Die Zieladresse der eingehenden Pakete wird nicht berücksichtigt. Ein Schalter ist selektiver, weil eruntersucht Paket-Headerund leitet jeden an den Port weiter, den er für diese Adresse aufgelistet hat. Das an diesen Zielport angeschlossene Kabel führt möglicherweise nicht zu dem Endpunkt, der durch diese Adresse identifiziert wird. Befindet sich zwischen diesem Switch und dem Endpunkt ein weiteres Netzwerkgerät, führt das Kabel, das die bewegten Daten empfängt, zu diesem Zwischengerät, das sie wiederum weiterleitet.
Glücklicherweise stellen Switches und Hubs zur Paketerfassung keine temporären physischen Verbindungen zwischen den Quell- und Zielports einer Verbindung her. Stattdessen, Das Gerät sammelt die eingehenden Daten . Es dann erstellt eine exakte Kopie dieser Daten und wendet es auf den Zielport an. Bei Hubs diese Aktion schafft Duplikate . Wenn ein Hub beispielsweise ein Paket an einem seiner zehn Ports empfängt, sendet er dasselbe Paket an allen anderen neun Ports aus.
Aus einem Paket werden also neun Exemplare. Ein Switch macht genau das Gleiche mit Paketen, für die er markiert ist übertragen . Datenverkehr, der zu einem Ziel geleitet wird, wird nur auf den Port kopiert, den der Switch für diese Adresse aufgelistet hat. Es gibt also weiterhin nur eine Instanz dieser Daten, wenn sie den Switch verlassen.
Die von Switches und Routern durchgeführte Vervielfältigung von Paketen entspricht genau der Arbeit eines Verkehrssplitters.
Portspiegelung mit einem Hub
Wie Sie den Beschreibungen zur Funktionsweise von Switches und Hubs entnehmen können, Ein Hub dupliziert automatisch den gesamten Datenverkehr, den er empfängt . Wenn Sie also nur Hubs in Ihrem Netzwerk haben, ist es sehr einfach, eine Kopie des gesamten darin zirkulierenden Datenverkehrs zu erhalten. Der Hub sendet den gesamten Datenverkehr an alle Endpunkte. Wenn dieser Datenverkehr über andere Netzwerkgeräte geleitet werden muss, um einige der Endpunkte im Netzwerk zu erreichen, wird der Datenverkehr zu diesen Endpunkten dadurch nicht blockiert, wenn die Zwischengeräte auch Hubs sind.
Da Ihr eigener Computer mit einem der Hubs im Netzwerk verbunden ist, wird der gesamte Datenverkehr im Netzwerk automatisch an Ihren Computer gesendet, ohne dass Sie die Einstellungen des Hubs ändern müssen. Ihr Computer kann jedoch nicht den gesamten Datenverkehr einlesen.
In der Firmware auf der Netzwerkschnittstellenkarte Ihres Computers ist eine Kennung fest codiert: Dies ist die MAC-Adresse , welches dafür steht ' Medienzugriffscontroller .“ Die Netzwerkkarte reagiert nur auf eingehende Nachrichten, auf denen diese MAC-Adresse steht. Alle anderen werden ignoriert. Stellen Sie sich die Netzwerkkarte wie einen Portier in einem Privatclub vor. Wer ankommt, muss ein Passwort angeben, um hineinzukommen; Personen ohne Passwort wird der Zutritt verweigert. Die MAC-Adresse ist dieses Passwort.
Wenn Sie den gesamten Datenverkehr in einem Netzwerk sehen möchten, das vollständig mit Hubs ausgestattet ist, müssen Sie lediglich die Netzwerkkarte anweisen, die Anforderung einer eigenen MAC-Adresse aufzugeben. In der Netzwerkterminologie heißt diese Einstellung „ Promiscuous-Modus .“
Puristen werden argumentieren, dass das Versetzen Ihrer Netzwerkkarte in den Promiscuous-Modus keine „Portspiegelung“ ist, da Ihre Netzwerkkarte keine Pakete dupliziert. Sie sagen, die Karte verzichte lediglich auf die Angabe ihrer MAC-Adresse, um ankommende Pakete zu erkennen und an Anwendungen auf Ihrem Computer weiterzuleiten.
In Wahrheit ist „Port-Spiegelung auf einem Hub“ ein redundantes Konzept, da der Hub standardmäßig alle Pakete dupliziert. Im Allgemeinen wird der Begriff „Port-Spiegelung“ nur für Switches verwendet.
Portspiegelung mit einem Switch
Wenn ein Switch ein Paket empfängt, verweist er im Header des Datagramms auf die Zieladresse. Anschließend erstellt es eine Kopie des Pakets und sendet die neue Version über die Portnummer, die dieser MAC-Adresse zugeordnet ist.
Im Standardbetrieb wird dies als „ Unicast „Von einer eingehenden Nachricht wird nur eine Kopie erstellt und diese nur an einem Port gesendet. Switches sind in der Lage, den Datenverkehr zu duplizieren , Jedoch. Wenn der Switch beispielsweise eine Broadcast-Nachricht empfängt, erstellt er so viele Kopien, wie er aktive Ports hat, und sendet eine Kopie an jeden dieser Ports. Schalter haben auch „ Multicast ”-Funktionen, die es erforderlich machen, eine begrenzte Anzahl von Kopien zu erstellen.
Da alle Switches so programmiert sind, dass sie Broadcast- und Multicast-Nachrichten verarbeiten können, stellt das Duplizieren von Paketen für ihre Hardware kein Problem dar. Vom Konzept her sind nur sehr wenige Aufgaben erforderlich, damit Ihr Switch die Paketduplizierung durchführen kann:
- Der Switch wird angewiesen, eine Kopie des gesamten Datenverkehrs zu erstellen.
- Der Switch leitet den gesamten Datenverkehr an das vorgesehene Ziel.
- Der Switch sendet eine Kopie des gesamten Datenverkehrs an einen benannten Port.
- Sie erfassen den gesamten Datenverkehr am angegebenen Port.
Das Duplizieren aller Pakete, die über einen Switch übertragen werden, ist eine sehr einfache Aufgabe und erfordert keinen großen zusätzlichen Verarbeitungsaufwand seitens des Geräts. Wenn Sie die Pakete untersuchen möchten, die über einen bestimmten Switch laufen, müssen Sie ihn lediglich anweisen, den gesamten Datenverkehr zu duplizieren und ihn an einen Port zu senden, und ihn auch dazu auffordern Ordnen Sie die MAC-Adresse Ihres Computers der angegebenen Portnummer zu . Anschließend müssen Sie die Netzwerkkarte Ihres Computers in den Promiscuous-Modus versetzen, um sicherzustellen, dass sie den gesamten Datenverkehr empfängt und nicht nur die Datagramme mit der MAC-Adresse darauf.
Duplizieren des gesamten Netzwerkverkehrs
Die obige Lösung ist eine vereinfachte Version dessen, was tatsächlich in einem Switch passiert, wenn er eine Portspiegelung durchführt. In Wirklichkeit ist die Aufgabe etwas komplizierter. Beispielsweise wäre es umständlich, den Computer direkt über ein Kabel an einen Switch anschließen zu müssen, um den gesamten Datenverkehr abzufangen. Früher war dies eine Anforderung von LAN-Analysatoren, und eine ortsspezifische Verbindung ist immer noch ein zentrales Merkmal von Netzwerk-TAPs.
Dank der Routing-Technologie ist die moderne Portspiegelung ausgefeilter. Sie können den Verkehr untersuchen, der über jeden Switch überall auf der Welt läuft , solange dieser Switch von Ihrem Standort aus entweder über das Netzwerk oder das Internet erreichbar ist. Sie müssen Ihren Computer nicht physisch an diesen Switch anschließen. Bei Reisen durch das Internet wird die Portspiegelung etwas komplizierter, da Datagramme eine zusätzliche Verpackung auf der Internet-Netzwerkebene benötigen. In diesem Leitfaden befassen wir uns nur mit der Portspiegelung innerhalb eines Netzwerks.
Die meisten Switches sind in der Lage, erfasste Pakete über ein Netzwerk zuzustellen und über andere Netzwerkgeräte zu übertragen. Jeder Switch-Hersteller produziert seine eigene Firmware für seine Switches und das Menü der Verwaltungskonsole ist bei jedem unterschiedlich. In diesem Leitfaden konzentrieren wir uns auf die Methoden, die von verwendet werden Cisco-Systeme um Port-Spiegelung auf seinen Netzwerk-Switches verfügbar zu machen.
Über Cisco SPAN-Switches
Die Cisco-Switch-Port-Spiegelungsfunktion wird aufgerufen SPANNE . Das steht für Switched-Port-Analysator . SPAN bietet Ihnen alle Möglichkeiten, Pakete auf jedem Cisco-Switch zu erfassen, unabhängig davon, ob Sie direkt mit diesem Switch verbunden sind oder nicht. Sie benötigen jedoch einen freien Port an einem Switch, der als Sammelpunkt für duplizierte Pakete dienen kann.
In der SPAN-Terminologie ein „ Quellport „ist ein Port, von dem der Datenverkehr dupliziert wird. Der ' Zielhafen „ist die Adresse des Ports, an den die duplizierten Pakete zur Abholung gesendet werden. Denken Sie unbedingt an diese besonderen Begriffe, da Sie versucht sein könnten, sich auf Ihre traditionelle Netzwerkterminologie zu beziehen, wenn Sie sich Pakete ansehen, die von einem Quellport zu einem Zielport laufen.
Das SPAN-System ist in der Lage, einen oder mehrere Ports zu überwachen. Es ist auch möglich, die Richtung des Verkehrs an diesem Hafen zu ermitteln und Ihnen nur den Zufluss, nur den Abfluss oder beides anzuzeigen. Wenn Sie jedoch mehrere Ports gleichzeitig untersuchen, muss bei allen die gleiche Verkehrsflussrichtung überwacht werden.
Sie können die zu erfassenden Absender- und Empfänger-Ports nicht angeben (d. h. nur Datenverkehr erhalten, der an einem bestimmten Port ankommt und von einem bestimmten Port ausgeht). Wenn dies die Funktionalität ist, nach der Sie suchen, Wählen Sie den Zuflussanschluss und erfassen dort alle empfangenen Pakete. Sie können dann den gesamten Datenverkehr herausfiltern, mit Ausnahme des Datenverkehrs, der auf dem übermittelten Port von Interesse bleibt, sobald Sie alle Daten in Ihrem Port haben Analysesoftware .
In einer Sitzung können Sie entweder Ports überwachen oder überwachen VLANs – Sie können nicht beide Porttypen gleichzeitig abdecken.
Cisco SPAN-Modi
Mit Cisco SPAN können Sie Pakete über drei Modi erfassen:
- Lokaler SPAN: Überwachen Sie den Verkehr auf einem Switch, mit dem Sie direkt verbunden sind.
- Remote-SPAN (RSPAN): Überwachen Sie den Datenverkehr an einem Remote-Port, aber lassen Sie die erfassten Pakete zur Erfassung an einen Port Ihres lokalen Switches senden.
- Gekapselter Remote-SPAN (ERSPAN): Derselbe Prozess wie bei RSPAN, außer dass die Übertragung gespiegelter Pakete an Ihren lokalen Switch durch die GRE-Kapselung erfolgt.
Die RSPAN-Option ist auf Express 500/520-, 5500/5000-, 3500 XL-, 2940-, 2948G-L3- und 2900XL-Switches nicht verfügbar.
Cisco SPAN-Verfügbarkeit
SPAN ist auf allen folgenden Cisco-Switch-Modellen verfügbar:
Catalyst Express 500/520-Serie
- Katalysator 1900-Serie
- Katalysator 2900XL-Serie
- Katalysator 2940-Serie
- Katalysator 2948G-L2, 2948G-GE-TX, 2980G-A
- Katalysator 2950-Serie
- Katalysator 2955-Serie
- Katalysator 2960-Serie
- Katalysator 2970-Serie
- Catalyst 3500 XL-Serie
- Katalysator 3550-Serie
- Katalysator 3560/3560E/3650X-Serie
- Katalysator 3750 / 3750E /3750X Serie
- Katalysator 3750 Metro-Serie
- Katalysator 4500/4000-Serie
- Katalysator 4900-Serie
- Katalysator 5500/5000-Serie
- Katalysator 6500/6000-Serie
Leider ist der Befehlssatz nicht bei allen Switches gleich. Dies liegt vor allem daran, dass das Unternehmen für einige seiner Catalyst-Geräte über eine spezielle Firmware verfügt, die so genannte Catos . Andere Cisco-Switches verwenden ein Betriebssystem namens IOS , das nicht mit dem von Apple-Geräten verwendeten iOS-Betriebssystem identisch ist.
Einige Cisco-Switches verfügen nicht über native Portspiegelungsfunktionen, es gibt jedoch ein kostenloses Dienstprogramm, das Sie in diesen Fällen verwenden können und über das Sie gleich mehr erfahren werden.
Richten Sie SPAN auf IOS-Switches ein
Bei Switch-Modellen mit der IOS-Firmware müssen Sie zum Betriebssystem des Geräts gehen und einen Befehl ausgeben, um den SPAN-Port und den zu überwachenden Port anzugeben. Diese Aufgabe wird durch zwei Befehlszeilen implementiert. Man muss Geben Sie die Quelle an , was den Port bedeutet, dessen Datenverkehr repliziert wird, und den anderen Gibt die Portnummer an, mit der der Sniffer verbunden ist – das ist die Ziellinie.
|_+_|Sobald Sie mit der Definition des Spiegels fertig sind, müssen Sie drücken STRG-Z um die Konfigurationsdefinition für die Portspiegelung zu beenden.
Mit der Sitzungsnummer können Sie lediglich mehrere verschiedene Monitore erstellen, die gleichzeitig ausgeführt werden. Wenn Sie in einem nachfolgenden Befehl dieselbe Monitorsitzungsnummer verwenden, brechen Sie den ursprünglichen Trace ab und ersetzen ihn durch die neue Spezifikation. Portbereiche werden durch einen Bindestrich („-“) definiert und eine Folge von Ports wird durch Kommas („“) getrennt. .
Das letzte Element in der Befehlszeile für den Quellport (den zu überwachenden Port) ist die Angabe, ob der Switch übertragene Pakete replizieren soll von jedem Port aus , oder beide .
Richten Sie SPAN auf CatOS-Switches ein
Neuere Catalyst-Reihen werden mit einem neueren Betriebssystem namens ausgeliefert Catos , anstelle des älteren IOS-Betriebssystems. Die Befehle, die zum Einrichten der SPAN-Spiegelung in diesen Switches verwendet werden, unterscheiden sich etwas. Mit diesem Betriebssystem erstellen Sie Spiegelungen mit nur einem Befehl statt mit zwei.
|_+_|Die Quellports werden durch das erste Element in diesem Befehl definiert, nämlich „ src_mod/src_ports ' Teil. Eine zweite Portkennung im Befehl wird automatisch als Zielport gelesen – also als der Port, an den der Paket-Sniffer angeschlossen ist. Der ' rx | tx | beide Das Element weist den Switch an, die übertragenen Pakete zu replizieren von jedem Port aus , oder beide .
Es gibt auch einen set span-Befehl, um die Spiegelung zu deaktivieren:
|_+_|Richten Sie SPAN auf Catalyst Express 500- und Catalyst Express 520-Switches ein
Wenn Sie einen Catalyst Express 500- oder Catalyst Express 520-Switch haben, geben Sie die SPAN-Einstellungen nicht im Betriebssystem ein. Um mit dem Switch zu kommunizieren und seine Einstellungen zu ändern, müssen Sie den installieren Cisco-Netzwerkassistent ( CNA ). Diese Netzwerkverwaltungssoftware ist kostenlos und läuft in der Windows-Umgebung. Befolgen Sie diese Schritte, um SPAN auf dem Switch zu aktivieren.
- Melden Sie sich über die CNA-Schnittstelle am Switch an.
- Wähle aus Smartports Option in der CNA Speisekarte. Dadurch wird eine Grafik angezeigt, die das Port-Array des Switches darstellt.
- Klicken Sie auf den Port, mit dem Sie den Paket-Sniffer verbinden möchten, und wählen Sie den aus Ändern Möglichkeit. Dadurch wird ein Popup-Fenster geöffnet.
- Wählen Diagnose im Rolle Liste und wählen Sie den Port aus, dessen Datenverkehr überwacht werden soll Quelle Dropdown-Liste. Wenn Sie ein VLAN gezielt überwachen möchten, wählen Sie es aus Eingangs-VLAN Liste. Wenn Sie nicht nur den Datenverkehr für ein VLAN überwachen möchten, belassen Sie diesen Wert auf der Standardeinstellung. Klicke auf OK um die Einstellungen zu speichern.
- Klicke auf OK und dann Anwenden im Smartports Bildschirm.
Ein Problem bei der CNA-Methode besteht darin, dass die Software nur auf Windows-Versionen bis zu läuft Windows 7 .
Verarbeitung erfasster Pakete
Die auf Ihrem Switch eingerichtete Portspiegelung speichert oder analysiert die erfassten Pakete nicht. Sie können verwenden jede Netzwerkanalysesoftware um die Pakete zu verarbeiten, die an Ihr Gerät gesendet werden.
Ein zentrales Problem, das Sie beim Erfassen von Paketen berücksichtigen müssen, besteht darin, dass Sie mit einer sehr großen Datenmenge umgehen müssen. Ohne einen geführten Datenbetrachter ist es fast unmöglich, einen Rohtext-Dump des fließenden Netzwerkverkehrs zu durchsuchen. Dies ist die niedrigste Kategorie von Datenzugriffstools, die Sie in Betracht ziehen sollten. Noch besser wäre ein vollständiges Dienstprogramm zur Verkehrsanalyse.
Sie können eine umfassende Liste von sehen Empfohlene Tools zur Analyse des Netzwerkverkehrs im Artikel, Beste Paketanalysatoren / Paket-Sniffer . Der Einfachheit halber sind die beiden besten Netzwerk-Tools in diesem Test unten zusammengefasst.
SolarWinds Deep Packet Inspection- und Analysetool (KOSTENLOSE TESTPHASE)
SolarWinds stellt einen umfangreichen Katalog an Netzwerküberwachungs- und -verwaltungstools her. Für die Analyse der Portspiegelungsausgabe sollten Sie die des Unternehmens berücksichtigen Deep Packet und Analyse Werkzeug, um Ihre beste Option zu sein. Dies ist Teil des Network Performance Monitors, dem zentralen Produkt des Unternehmens.
Dieses Tool ist in der Lage, Daten aus zu interpretieren eine große Auswahl an Paketsammeltools und zeigt Ihnen, wo es zu Verkehrsspitzen kommt. Sie müssen sich die Anwendungen ansehen, die die meiste Nachfrage in Ihrem Netzwerk erzeugen, um Strategien zur Verbesserung der Leistung zu entwickeln. Dieses Analysetool unterstützt diese Untersuchungen.
Der Network Performance Monitor ist ein erstklassiges Tool und nicht kostenlos. Sie können jedoch eine 30-tägige kostenlose Testversion erhalten. Denken Sie daran, dass die Paketerfassung nicht wirklich eine praktikable Option zur Überwachung des gesamten Datenverkehrs in Ihrem gesamten Netzwerk ist. In solchen Situationen sind Sie mit dem SolarWinds NetFlow Traffic Analyzer besser bedient. Dies beschäftigt Cisco NetFlow Funktionalität zum Abtasten des Datenverkehrs aus dem Netzwerk. Es ist auch in der Lage, mit zu kommunizieren Juniper-Netzwerke Ausrüstung durch die J-Flow Paket-Sampling-Standard, mit Huawei Geräte, mit NetStream , und es kann auch herstellerunabhängig eingesetzt werden sFlow Und IPFIX Verkehrsanalysesysteme. Sie können den NetFlow Traffic Analyzer auch 30 Tage lang kostenlos testen.
Der Network Performance Monitor und der NetFlow Traffic Analyzer bilden eine gute Kombination für die Netzwerkanalyse, da sie Ihnen einen Überblick und die Tools zur Untersuchung des Paketverkehrs bieten, der über einzelne Geräte läuft. SolarWinds bietet diese beiden Tools zusammen als Network Bandwidth Analyzer Pack an, das Sie auch als 30-tägige kostenlose Testversion erhalten können.
Laden Sie die 30-tägige KOSTENLOSE Testversion von SolarWinds Deep Packet Inspection and Analysis herunter
Paessler Packet Capture Tool
Paessler PRTG ist ein Netzwerküberwachungstool, das aus vielen einzelnen Sensoren besteht. Eines dieser Tools ist a Paketerfassungssensor . Dieser Sensor wird nicht mit einem physischen TAP geliefert; Stattdessen stützt es sich auf die Daten, die in einem Stream von Ihren Switches bereitgestellt werden. Dieses Tool bietet großartige Datenvisualisierungen sowohl für Live-Daten als auch für aus dem Dateispeicher gelesene Pakete.
Das Tolle an PRTG ist, dass es Ihnen mit demselben Tool verschiedene Sichtbarkeitsebenen bieten kann. Es umfasst auch Sensoren, die Netzwerkdaten abtasten und dabei lediglich Paketheader von verschiedenen Standorten im Netzwerk erfassen. Du kannst auch Reduzieren Sie die Datenmenge die vom Monitor durch Angabe der Stichprobenverarbeitung verarbeitet werden muss.
Neben dem Paket-Sniffing-Sensor umfasst PRTG die folgenden Traffic-Sampling-Systeme:
- Ein NetFlow-Sensor
- Der sFlow-Sensor
- Ein J-Flow-Sensor
Mit diesem System könnten Sie die NetFlow-, sFlow- und J-Flow-Sensoren nutzen, um sich einen Überblick über Ihr gesamtes Netzwerk zu verschaffen und dann zum Paket-Sniffer gehen, um sich auf die typischen Flüsse an einem Gerät zu konzentrieren. Sobald Sie einen überlasteten Switch isoliert haben, können Sie sich auf die spezifischen Ports konzentrieren, die zu viel Verkehr haben, und sich die Verkehrstypen ansehen, die ihn überfordern. Mit diesen Informationen können Sie entweder Traffic-Shaping-Maßnahmen umsetzen oder sich dafür entscheiden, mehr Infrastruktur hinzuzufügen, um stark frequentierte Punkte umzuleiten und die Last zu verteilen.
Der Paket-Sniffer-Sensor verarbeitet nur die Header von Verkehrsdatagrammen, die im Netzwerk übertragen werden. Diese Strategie reduziert den Verarbeitungsaufwand für die Aggregation von Flussmetriken und beschleunigt die Analyse erheblich.
Probleme mit der Portspiegelung
Die vollständige Erfassung und Speicherung von Paketen kann zu Problemen mit der Datenvertraulichkeit führen. Obwohl der Großteil des Datenverkehrs in Ihrem Netzwerk verschlüsselt wird, wird nicht der gesamte interne Datenverkehr verschlüsselt, wenn er für externe Websites bestimmt ist. Sofern Ihre Organisation nicht beschlossen hat, zusätzliche Sicherheit für E-Mails zu implementieren, wird der E-Mail-Verkehr in Ihrem Netzwerk standardmäßig nicht verschlüsselt.
Als alternative Technik zur Verkehrsanalyse könnten Sie die Verwendung von NetFlow in Betracht ziehen. Hierbei handelt es sich um ein Nachrichtensystem, das auf allen Cisco-Geräten aktiviert ist und nur die Header von Paketen an einen zentralen Monitor weiterleitet. Informationen zu Netzwerkmonitoren, die NetFlow-Daten sammeln, können Sie im Artikel lesen Beste NetFlow-Analysatoren und Collector-Tools .
Sobald Sie die Informationen über alle Verkehrsüberwachungsfunktionen Ihrer Cisco-Switches zur Hand haben, können Sie besser entscheiden, welche Paketerfassungsmethode Sie verwenden möchten.
Auswahl der richtigen Netzwerkanalysestrategie
Hoffentlich hat Sie dieser Leitfaden auf die Probleme im Zusammenhang mit der Portspiegelung aufmerksam gemacht. Obwohl es Zeiten gibt, in denen Sie wirklich nicht umhin können, auf die Paketebene zu gehen, um Ihren Netzwerkverkehr richtig einzuschätzen, sollten Sie dies tun Grenzen Sie Ihre Recherche ein mit anderen Tools, bevor Sie eine Paketerfassung als Aufgabe vereinbaren.
Die Portspiegelung hat ihre Probleme – sie bricht die Vertraulichkeit der Daten und kann sehr große Datenmengen erzeugen. Entdecken Sie Methoden, um aggregierte Verkehrsinformationen Als erste Untersuchungslinie sollten Sie mit der Portspiegelung beginnen, sobald Sie Zusammenhänge mit Problemen identifiziert haben. Sobald Sie die Portspiegelung auf Ihren Switches eingerichtet haben, stellen Sie sicher, dass alle Daten in ein Analysetool geleitet werden, damit Sie alle Informationen, die diese Strategie generiert, richtig nutzen können.
Häufig gestellte Fragen zur Portspiegelung
Was ist der Unterschied zwischen Portspiegelung und Verkehrsspiegelung?
Der Hauptunterschied zwischen Port-Spiegelung und Verkehrsüberwachung besteht darin, dass ein Verkehrsmonitor Statistiken über Pakete sammelt, während sie Switches und Router passieren, während bei der Port-Spiegelung eine vollständige Kopie aller dieser Pakete erstellt wird.
Beeinflusst die Portspiegelung die Netzwerkleistung?
Laut Cisco Systems, dem führenden Hersteller von Netzwerk-Switches, stellt die Portspiegelung keine große Belastung für Switches dar. Der Switch muss den zusätzlichen Stream, der durch die Spiegelung erzeugt wird, nicht verarbeiten, er dupliziert lediglich eine Ausgabe, an der er bereits arbeiten musste.
Was ist ein Span-Port an einem Switch?
Ein Span-Port ist eigentlich ein SPAN-Port – SPAN steht für Switched Port Analyzer. Der SPAN-Port dient der Bereitstellung eines Kanals für die Paketanalyse – es handelt sich tatsächlich um einen virtuellen Port.