Der ultimative Leitfaden für die Port-Spiegelung

Moderne Netzwerküberwachungssoftware umfasst ausgefeilte Tools wie grafische Darstellungen und Analysetools. Es wird jedoch vorkommen, dass Sie auf die Analyseverfahren für die Erfassung von Paketen zurückgreifen müssen, wenn diese sich im Netzwerk bewegen. Die Portspiegelung ist eine Paketerfassungstechnik.

Für die Paketerfassung ist ein Hardwareelement erforderlich, das als a bezeichnet wird TAP (Zugangspunkt testen). Glücklicherweise haben Sie bereits Hardware, die den gesamten Netzwerkverkehr kanalisiert: Switches und Hubs. Sie können die Funktionen dieser Geräte nutzen, um den Kauf eines separaten Inline-Sensors oder Verkehrssplitters zu vermeiden. Die Technik zur Erfassung des Datenverkehrs mithilfe Ihrer Netzwerkgeräte wird als „Port-Spiegelung.”In diesem Handbuch finden Sie alle Informationen, die Sie zum Implementieren der Portspiegelung in Ihrem Netzwerk benötigen.

>>> Wechseln Sie zur folgenden Liste der empfohlenen Überwachungstools<<<

Verkehrsverarbeitung wechseln

Ein sehr kleines Netzwerk hätte nur einen Switch oder Hub. Es ist jedoch nicht viel Wachstum im Netzwerk erforderlich, um eine Anforderung für einen anderen Switch zu erstellen. Wenn Sie über mehrere Switches in Ihrem Netzwerk verfügen, wird der Datenverkehr weitergeleitet, ohne dass alle Pakete über einen zentralen Punkt geleitet werden müssen.

Diese dezentrale Konfiguration bedeutet, dass Sie nicht nur einen Switch im Netzwerk für die Datenerfassung auswählen können, wenn Sie dies möchten Beispielverkehr von all Ihren Daten. Dies liegt daran, dass die anderen Switches in Ihrem Netzwerk Datenverkehr zwischen ihnen austauschen, der nicht über das von Ihnen ausgewählte Gerät geleitet werden muss. Dieses Problem tritt jedoch auch auf, wenn Sie sich für die Implementierung von a entscheiden ZAPFHAHN als Paketerfassungstool.

Bei der Erfassung des Netzwerkverkehrs müssen Sie entscheiden, ob Ihre Anforderungen von den Paketen erfüllt werden können, die einen Punkt passieren, oder ob Sie das gesamte Netzwerkverkehrsverhalten im gesamten Netzwerk auf einmal sehen müssen.

In der Realität ist es wahrscheinlicher, dass Sie den Datenverkehr pro Verbindung überprüfen müssen. In einem solchen Szenario werden Sie wahrscheinlich versuchen herauszufinden, warum eine Verbindung in Ihrem Netzwerk überlastet ist und welche Arten von Verkehr Sie umleiten oder drosseln könnten, um das Problem zu beheben.

Obwohl Sie vielleicht wollen Den gesamten Netzwerkverkehr anzeigen, Das alles auf einmal zu erfassen, wird bald zu einem überambitionierten Ziel. Wenn Sie alle Netzwerkpakete erfassen könnten, würden Sie von allen gesammelten Daten überfordert sein.

Um die Leistung Ihres Netzwerks richtig einschätzen zu können, kategorisieren Sie den gesamten Datenverkehr ohnehin nach Netzwerkgeräten. Verwenden Sie daher die Portspiegelung besser für jedes Gerät einzeln. Andere Tools sind besser geeignet, um eine vollständige Netzwerksichtbarkeit zu gewährleisten. In diesen Fällen ist es besser, NetFlow zu verwenden, um Daten von mehreren Netzwerkpunkten gleichzeitig abzutasten. Sie benötigen ein ausgeklügeltes Tool zur Analyse des Netzwerkverkehrs aggregieren und zusammenfassen alle Verkehrsdaten.

Informationen zur Portspiegelung

Die Portspiegelung bietet eine Methode zum Duplizieren des Netzwerkverkehrs und zum Weiterleiten der Kopie an einen Datenspeicher. In einem Splitter verwenden Sie ein Gerät, das dupliziert den gesamten Verkehr Dabei wird eine Kopie an den vorgesehenen Speicherort weitergeleitet und die andere auf einem Bildschirm oder in einer Datei angezeigt. Bei der Portspiegelung verwenden Sie genau die gleiche Technik, ändern jedoch die Einstellungen Ihres Switches, um eine Datenkopierfunktion zu erstellen, sodass kein separates physisches Gerät installiert werden muss.

Im Wesentlichen weist eine Portspiegelungsanweisung den Switch an, eine Kopie des Datenverkehrs an einen bestimmten Port zu senden. Die Methodik umfasst eine Reihe von Optionen, mit denen Sie Folgendes tun können Wählen Sie einen bestimmten Verkehr von einer bestimmten Adresse aus oder zu einer bestimmten Adresse reisen oder den gesamten Datenverkehr kopieren. Nachdem der Switch den erforderlichen Datenverkehr aufgeteilt hat, müssen Sie nur die Pakete sammeln, die an den als Datenübermittlungspunkt festgelegten Port gesendet werden.

Switches und Hubs

EIN Verknüpfung, oder “hop,”In einem Netzwerk ist die Verbindung zwischen zwei Geräten. Die Verbindung kann die letzte Strecke sein, die eine Verbindung herstellt Endpunkt, oder es könnte zwischen zwei sein Netzwerkgeräte. An mindestens einem Ende der Verbindung befindet sich immer ein Netzwerkgerät. Für den Datenverkehr innerhalb eines Netzwerks ist dieses Gerät entweder ein Schalter oder ein Nabe.

Ein Hub überträgt den gesamten Datenverkehr, den er auf einer seiner Verbindungen empfängt, an alle anderen. Die Zieladresse auf den eingehenden Paketen wird nicht beachtet. Ein Schalter ist selektiver, weil es Untersucht Paket-Header und leitet sie an den Port weiter, den sie für diese Adresse angegeben hat. Das an diesen Zielport angeschlossene Kabel führt möglicherweise nicht zu dem Endpunkt, der durch diese Adresse identifiziert wird. Befindet sich zwischen diesem Switch und dem Endpunkt ein anderes Netzwerkgerät, führt das Kabel, das die sich bewegenden Daten empfängt, zu diesem Zwischengerät, das diese wiederum weiterleitet.

Glücklicherweise werden bei der Paketerfassung von Switches und Hubs keine temporären physischen Verbindungen zwischen dem Quell- und dem Zielport einer Verbindung hergestellt. Stattdessen, Das Gerät sammelt die eingehenden Daten. Es dann Erstellt eine exakte Kopie dieser Daten und wendet es auf den Zielport an. Im Falle von Hubs ist diese Aktion schafft Vervielfältigung. Wenn ein Hub beispielsweise ein Paket an einem seiner zehn Ports empfängt, sendet er dasselbe Paket an allen anderen neun Ports aus.

So wird ein Paket neun Kopien. Ein Switch macht genau dasselbe mit Paketen, die für markiert sind Übertragung. Datenverkehr, der an ein Ziel gesendet wird, wird nur auf den Port kopiert, den der Switch für diese Adresse aufgelistet hat. Es gibt also weiterhin nur eine Instanz dieser Daten, wenn sie den Switch verlassen.

Das Duplizieren von Paketen, die von Switches und Routern ausgeführt werden, entspricht genau der Arbeit, die von einem Verkehrsteiler ausgeführt wird.

Portspiegelung mit einem Hub

Wie Sie aus den Beschreibungen der Funktionsweise von Switches und Hubs ersehen können, Ein Hub dupliziert automatisch den gesamten empfangenen Datenverkehr. Wenn Sie also nur Hubs in Ihrem Netzwerk haben, ist es sehr einfach, eine Kopie des gesamten darauf zirkulierenden Datenverkehrs abzurufen. Der Hub sendet den gesamten Datenverkehr an alle Endpunkte. Wenn dieser Datenverkehr über andere Netzwerkgeräte übertragen werden muss, um einige der Endpunkte im Netzwerk zu erreichen, wird der Datenverkehr zu diesen Endpunkten dadurch nicht blockiert, wenn die Zwischengeräte auch Hubs sind.

Da Ihr eigener Computer mit einem der Hubs im Netzwerk verbunden ist, wird der gesamte Datenverkehr im Netzwerk automatisch an Ihren Computer gesendet, ohne dass die Einstellungen des Hubs geändert werden müssen. Ihr Computer liest jedoch nicht den gesamten Datenverkehr ein.

In der Firmware auf der Netzwerkkarte Ihres Computers ist eine Kennung fest codiert: Dies ist die MAC-Adresse, welches dafür steht “Media Access Controller.”Die Netzwerkkarte reagiert nur auf eingehende Nachrichten mit dieser MAC-Adresse. Alle anderen werden ignoriert. Stellen Sie sich die Netzwerkkarte als Portier in einem privaten Club vor. Jeder, der ankommt, muss ein Passwort eingeben, um eintreten zu können. Personen ohne Passwort werden für die Eingabe gesperrt. Die MAC-Adresse ist das Passwort.

Wenn Sie den gesamten Datenverkehr in einem Netzwerk anzeigen möchten, das vollständig mit Hubs ausgestattet ist, müssen Sie der Netzwerkkarte lediglich mitteilen, dass die Anforderung für eine eigene MAC-Adresse gelöscht werden soll. In der Netzwerkterminologie heißt diese Einstellung „Promiscuous-Modus.”

Puristen werden argumentieren, dass das Versetzen Ihrer Netzwerkkarte in den Promiscuous-Modus keine „Portspiegelung“ ist, da Ihre Netzwerkkarte keine Pakete dupliziert. Sie sagen, die Karte lösche nur die Anforderung für ihre MAC-Adresse, um ankommende Pakete zu erkennen und sie an Anwendungen auf Ihrem Computer weiterzuleiten.

In Wahrheit ist „Portspiegelung auf einem Hub“ ein redundantes Konzept, da der Hub standardmäßig alle Pakete dupliziert. Im Allgemeinen wird der Begriff „Port Mirroring“ nur für Switches verwendet.

Portspiegelung mit einem Switch

Wenn ein Switch ein Paket empfängt, verweist er auf die Zieladresse im Header des Datagramms. Anschließend wird eine Kopie des Pakets erstellt und die neue Version an die Portnummer gesendet, die dieser MAC-Adresse zugeordnet ist.

Im Standardbetrieb heißt das:Unicast,”Von einer eingehenden Nachricht wird nur eine Kopie erstellt und diese wird nur an einem Port gesendet. Switches können Datenverkehr duplizieren, jedoch. Wenn der Switch beispielsweise eine Broadcast-Nachricht empfängt, erstellt er die gleiche Anzahl Kopien wie die Anzahl der aktiven Ports und sendet an jedem dieser Ports eine Kopie aus. Schalter haben auch “MulticastFähigkeiten, die es erforderlich machen, eine begrenzte Anzahl von Kopien zu erstellen.

Da alle Switches so programmiert sind, dass sie Broadcast- und Multicast-Nachrichten verarbeiten können, ist die Aufgabe des Duplizierens von Paketen für ihre Hardware nicht problematisch. Konzeptionell sind für die Durchführung der Paketduplizierung auf Ihrem Switch nur sehr wenige Aufgaben erforderlich:

1. Der Switch wird angewiesen, eine Kopie des gesamten Datenverkehrs zu erstellen.
2. Der Switch sendet den gesamten Datenverkehr an das vorgesehene Ziel.
3. Der Switch sendet eine Kopie des gesamten Datenverkehrs an einen angegebenen Port.
4. Sie sammeln den gesamten Verkehr am angegebenen Hafen.

Es ist sehr einfach, alle doppelten Pakete über einen Switch zu übertragen, und der Verarbeitungsaufwand für das Gerät ist sehr gering. Wenn Sie die Pakete untersuchen möchten, die über einen bestimmten Switch gesendet werden, müssen Sie ihn nur anweisen, den gesamten Datenverkehr zu duplizieren und an einen Port zu senden und ihn auch weiterzuleiten Ordnen Sie die MAC-Adresse Ihres Computers der angegebenen Anschlussnummer zu. Anschließend müssen Sie die Netzwerkkarte Ihres Computers in den Promiscuous-Modus versetzen, um sicherzustellen, dass der gesamte Datenverkehr und nicht nur die Datagramme mit ihrer MAC-Adresse empfangen werden.

Duplizieren des gesamten Netzwerkverkehrs

Die obige Lösung ist eine vereinfachte Version dessen, was in einem Switch tatsächlich passiert, wenn er eine Portspiegelung durchführt. In Wirklichkeit ist die Aufgabe etwas komplizierter. Zum Beispiel wäre es unpraktisch, Ihren Computer direkt mit einem Kabel an einen Switch anzuschließen, um den gesamten Datenverkehr aufzunehmen. Früher war dies eine Anforderung von LAN-Analysatoren, und eine standortspezifische Verbindung ist nach wie vor ein zentrales Merkmal von Netzwerk-TAPs.

Dank der Routing-Technologie ist die moderne Portspiegelung anspruchsvoller. Sie können den Datenverkehr überprüfen, der über einen beliebigen Switch auf der ganzen Welt übertragen wird, Solange dieser Switch von Ihrem Standort aus über das Netzwerk oder das Internet erreichbar ist. Sie müssen Ihren Computer nicht physisch an diesen Switch anschließen. Wenn Sie im Internet unterwegs sind, wird die Portspiegelung etwas komplizierter, da Datagramme auf der Internet-Netzwerkebene zusätzliche Pakete benötigen. In diesem Handbuch wird nur die Portspiegelung innerhalb eines Netzwerks behandelt.

Die meisten Switches können erfasste Pakete über ein Netzwerk übermitteln und über andere Netzwerkgeräte übertragen. Jeder Switch-Hersteller stellt für seine Switches eine eigene Firmware her, und das Menü der Verwaltungskonsole ist für jeden Switch unterschiedlich. Für die Zwecke dieses Handbuchs konzentrieren wir uns auf die von verwendeten Methoden Cisco Systems um die Portspiegelung auf den Netzwerk-Switches verfügbar zu machen.

Informationen zu Cisco SPAN-Switches

Die Cisco-Switch-Port-Mirroring-Funktion wird aufgerufen SPANNE. Das steht für Switched Port Analyzer. Mit SPAN können Sie alle Pakete auf jedem Cisco-Switch erfassen, unabhängig davon, ob Sie direkt mit diesem Switch verbunden sind oder nicht. Sie benötigen jedoch einen freien Port an einem Switch, der zum Sammelpunkt für doppelte Pakete werden kann.

In der SPAN-TerminologieQuellport”Ist ein Port, von dem aus der Datenverkehr dupliziert wird. Das “Zielhafen”Ist die Adresse des Ports, an den die duplizierten Pakete zur Abholung gesendet werden. Denken Sie sehr sorgfältig an diese unterschiedlichen Begriffe, da Sie versucht sind, auf Ihre traditionelle Netzwerkterminologie zu verweisen, mit der Sie Pakete betrachten, die von einem Quellport zu einem Zielport laufen.

Das SPAN-System kann einen oder mehrere Ports überwachen. Es ist auch möglich, die Richtung des Verkehrs an diesem Hafen zu identifizieren, sodass Sie nur Zufluss, nur Abfluss oder beides erhalten. Wenn Sie jedoch mehrere Ports gleichzeitig untersuchen, muss für alle dieselbe Verkehrsflussrichtung überwacht werden.

Sie können die zu erfassenden Von- und Bis-Ports nicht angeben (d. H. Nur Datenverkehr, der an einem bestimmten Port ankommt, der von einem bestimmten Port abfährt). Wenn dies die Funktionalität ist, die Sie suchen, Wählen Sie den Zulaufanschluss und dort alle empfangenen Pakete erfassen. Sie können dann den gesamten Datenverkehr mit Ausnahme desjenigen herausfiltern, der auf dem übertragenen Port von Interesse verbleibt, sobald Sie alle Daten in Ihrem haben Analyse-Software.

In einer Sitzung können Sie entweder Ports überwachen oder überwachen VLANs – Sie können nicht beide Arten von Ports gleichzeitig abdecken.

Cisco SPAN-Modi

Mit Cisco SPAN können Sie Pakete in drei Modi erfassen:

• Local SPAN: Überwachen Sie den Datenverkehr auf einem Switch, mit dem Sie direkt verbunden sind.
• Remote-SPAN (RSPAN): Überwachen Sie den Datenverkehr an einem Remote-Port, aber lassen Sie die erfassten Pakete zur Abholung an einen Port Ihres lokalen Switch senden.
• Encapsulated Remote SPAN (ERSPAN): Der gleiche Vorgang wie bei RSPAN, mit der Ausnahme, dass die Übertragung gespiegelter Pakete an Ihren lokalen Switch durch GRE-Kapselung erfolgt.

Die RSPAN-Option ist für die Switches Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 und 2900XL nicht verfügbar.

Cisco SPAN-Verfügbarkeit

SPAN ist für alle folgenden Cisco Switch-Modelle verfügbar:

Catalyst Express 500/520-Serie

• Katalysatorserie 1900
• Catalyst 2900XL-Serie
• Katalysatorserie 2940
• Katalysator 2948G-L2, 2948G-GE-TX, 2980G-A
• Katalysatorserie 2950
• Katalysatorserie 2955
• Katalysator 2960 Serie
• Katalysatorserie 2970
• Catalyst 3500 XL-Serie
• Catalyst 3550 Series
• Katalysator 3560 / 3560E / 3650X-Serie
• Katalysator 3750 / 3750E / 3750X-Serie
• Catalyst 3750 Metro Series
• Catalyst 4500/4000 Series
• Catalyst 4900 Series
• Katalysatorserie 5500/5000
• Catalyst 6500/6000 Series

Leider ist der Befehlssatz nicht bei allen Switches gleich. Dies liegt hauptsächlich daran, dass das Unternehmen eine spezielle Firmware für einige seiner Catalyst-Geräte hat, die als “Catalyst” bezeichnet wird CatOS. Andere Cisco-Switches verwenden ein Betriebssystem namens IOS, Dies ist nicht dasselbe wie das von Apple-Geräten verwendete iOS-Betriebssystem.

Einige Cisco-Switches verfügen nicht über native Portspiegelungsfunktionen. Es gibt jedoch ein kostenloses Dienstprogramm, das Sie unter diesen Umständen verwenden können. Weitere Informationen hierzu finden Sie in Kürze.

Richten Sie SPAN auf IOS-Switches ein

Bei Switch-Modellen mit IOS-Firmware müssen Sie das Betriebssystem des Geräts aufrufen und einen Befehl ausgeben, um den SPAN-Port und den zu überwachenden Port anzugeben. Diese Aufgabe wird durch zwei Befehlszeilen realisiert. Man muss Geben Sie die Quelle an, Dies bedeutet, der Port, an dem der Datenverkehr repliziert wird, und der andere gibt die Portnummer an, mit der der Sniffer verbunden ist – Dies ist die Ziellinie.

Sitzungsquelle überwachen [Schnittstelle | Fernbedienung | vlan] [rx | tx | beide]
Sitzungszielschnittstelle überwachen

Nachdem Sie den Spiegel definiert haben, müssen Sie drücken STRG-Z um die Konfigurationsdefinition zu beenden.

Mit der Sitzungsnummer können Sie lediglich mehrere verschiedene Monitore erstellen, die gleichzeitig ausgeführt werden. Wenn Sie in einem nachfolgenden Befehl dieselbe Sitzungsnummer verwenden, brechen Sie den ursprünglichen Trace ab und ersetzen ihn durch die neue Spezifikation. Portbereiche werden durch einen Bindestrich (“-“) und eine Folge von Ports durch Kommas (“,”) getrennt..

Das letzte Element in der Befehlszeile für den Quellport (den zu überwachenden Port) ist die Angabe, ob der Switch übertragene Pakete replizieren soll von jedem Hafen, oder beide.

Richten Sie SPAN auf CatOS-Switches ein

Neuere Catalyst-Produktreihen werden mit einem neueren Betriebssystem namens ausgeliefert CatOS, anstelle des älteren IOS-Betriebssystems. Die Befehle zum Einrichten der SPAN-Spiegelung in diesen Schaltern unterscheiden sich geringfügig. Mit diesem Betriebssystem erstellen Sie die Spiegelung mit nur einem Befehl anstelle von zwei Befehlen.

set span [rx | tx | both]

[inpkts]

[Lernen ]

[Multicast]

[Filter]

[erstellen]

Die Quellports werden durch das erste Element in diesem Befehl definiert, das diesrc_mod / src_portsTeil. Eine zweite Portkennung im Befehl wird automatisch als Zielport gelesen, d. H. Der Port, an den der Paket-Sniffer angeschlossen ist. Das “rx | tx | beideDas Element “” weist den Switch an, die übertragenen Pakete zu replizieren von jedem Hafen, oder beide.

Es gibt auch einen Befehl set span, um die Spiegelung zu deaktivieren:

set span disable [dest_mod / dest_port | all]

Richten Sie SPAN auf Catalyst Express 500- und Catalyst Express 520-Switches ein

Wenn Sie über einen Catalyst Express 500- oder Catalyst Express 520-Switch verfügen, geben Sie die SPAN-Einstellungen nicht im Betriebssystem ein. Um mit dem Switch zu kommunizieren und seine Einstellungen zu ändern, müssen Sie den Cisco Network Assistant installieren (CNA). Diese Netzwerkverwaltungssoftware ist kostenlos und läuft in der Windows-Umgebung. Befolgen Sie diese Schritte, um SPAN für den Switch zu aktivieren.

1. Melden Sie sich über die CNA-Schnittstelle beim Switch an.
2. Wähle aus Smartports Option in der CNA Speisekarte. Daraufhin wird eine Grafik angezeigt, die das Port-Array des Switch darstellt.
3. Klicken Sie auf den Port, an den Sie den Packet Sniffer anschließen möchten, und wählen Sie den Ändern Möglichkeit. Dies öffnet ein Popup-Fenster.
4. Wählen Diagnose in dem Rolle Liste und wählen Sie den Port aus, dessen Datenverkehr überwacht werden soll Quelle Dropdown-Liste. Wenn Sie ein VLAN speziell überwachen möchten, wählen Sie es aus der Ingress VLAN aufführen. Wenn Sie nicht nur den Datenverkehr für ein VLAN überwachen möchten, belassen Sie diesen Wert auf dem Standardwert. Klicke auf in Ordnung um die Einstellungen zu speichern.
5. Klicke auf in Ordnung und dann Anwenden in dem Smartports Bildschirm.

Ein Problem mit der CNA-Methode besteht darin, dass die Software nur unter Windows-Versionen bis zu ausgeführt wird Windows 7.

Erfasste Paketverarbeitung

Die auf Ihrem Switch eingerichtete Portspiegelung speichert oder analysiert die erfassten Pakete nicht. Sie können verwenden jede Netzwerkanalyse-Software um die Pakete zu verarbeiten, die an Ihr Gerät gesendet werden.

Ein zentrales Problem, das Sie beim Erfassen von Paketen erkennen müssen, ist, dass Sie mit einer sehr großen Datenmenge umgehen müssen. Ein Rohtext-Dump des durchlaufenden Netzwerkverkehrs ist ohne einen geführten Datenbetrachter kaum zu durchkämmen. Dies ist die niedrigste Kategorie von Datenzugriffstools, die Sie berücksichtigen sollten. Ein vollständiges Dienstprogramm zur Verkehrsanalyse wäre sogar noch besser.

Sie können eine umfassende Liste von sehen empfohlene Tools zur Analyse des Netzwerkverkehrs Im Artikel: 9 Best Packet Analyzers / Packet Sniffers für 2023. Die beiden wichtigsten Tools in diesem Test sind im Folgenden zusammengefasst.

SolarWinds Deep Packet Inspection- und Analyse-Tool (KOSTENLOSE TESTPHASE)

SolarWinds produziert einen großen Katalog von Netzwerküberwachungs- und -management-Tools. Bei der Analyse der Port-Mirroring-Ausgabe sollten Sie die des Unternehmens berücksichtigen Deep Packet und Analyse Werkzeug, um Ihre beste Wahl zu sein. Dies ist Teil des Network Performance Monitor des Unternehmens, dessen zentrales Produkt.

Dieses Tool kann Daten interpretieren, die von stammen eine breite Palette von Paketsammelwerkzeugen und lassen Sie sehen, wo Verkehrsstöße auftreten. Sie müssen sich die Anwendungen ansehen, die den größten Bedarf in Ihrem Netzwerk erzeugen, um Strategien zur Verbesserung der Leistung zu entwickeln. Dieses Analysetool unterstützt diese Untersuchungen.

Der Network Performance Monitor ist ein erstklassiges Tool und nicht kostenlos. Sie können jedoch eine kostenlose 30-Tage-Testversion erhalten. Denken Sie daran, dass die Paketerfassung keine praktikable Option ist, um den gesamten Datenverkehr in Ihrem gesamten Netzwerk zu überwachen. In solchen Situationen sind Sie mit dem SolarWinds NetFlow Traffic Analyzer besser aufgehoben. Dies beschäftigt Cisco NetFlow Funktionalität zum Abtasten des Netzwerkverkehrs. Es ist auch in der Lage, mit zu kommunizieren Juniper Networks Ausrüstung durch die J-Flow Packet Sampling Standard, mit Huawei Geräte, mit NetStream, und es kann auch herstellerunabhängig verwendet werden sFlow und IPFIX Verkehrsanalysesysteme. Sie können den NetFlow Traffic Analyzer auch 30 Tage lang kostenlos testen.

Der Network Performance Monitor und der NetFlow Traffic Analyzer sind eine gute Kombination für die Netzwerkanalyse, da sie eine Übersichtsperspektive und die Tools zum Untersuchen des Paketverkehrs bieten, der über einzelne Geräte ausgeführt wird. SolarWinds bietet diese beiden Tools zusammen als Network Bandwidth Analyzer Pack an, das Sie auch 30 Tage lang kostenlos testen können.

SolarWinds Deep Packet Inspection and AnalysisDownload 30-tägige KOSTENLOSE Testversion

Paessler Packet Capture Tool

Paessler PRTG ist ein Netzwerküberwachungstool, das sich aus vielen einzelnen Sensoren zusammensetzt. Eines dieser Tools ist a Paketerfassungssensor. Dieser Sensor wird ohne physischen TAP geliefert. Stattdessen stützt es sich auf die Daten, die in einem Stream von Ihren Switches bereitgestellt werden. Dieses Tool bietet großartige Datenvisualisierungen sowohl für Live-Daten als auch für aus dem Dateispeicher gelesene Pakete.

Das Tolle an PRTG ist, dass es Ihnen mit demselben Tool verschiedene Sichtbarkeitsebenen bietet. Es enthält auch Sensoren, die Netzwerkdaten abtasten und nur Paket-Header von verschiedenen Standorten im Netzwerk erfassen. Du kannst auch Datenmenge reduzieren Dies muss vom Monitor durch Angabe der Stichprobe verarbeitet werden.

Neben dem Paket-Sniffing-Sensor umfasst PRTG die folgenden Verkehrsprobensysteme:

• Ein NetFlow-Sensor
• Ein sFlow-Sensor
• Ein J-Flow Sensor

Mit diesem System können Sie mit den Sensoren NetFlow, sFlow und J-Flow einen Überblick über Ihr gesamtes Netzwerk erhalten und dann zum Paket-Sniffer gehen, um sich auf die typischen Flows an einem Gerät zu konzentrieren. Sobald Sie einen überlasteten Switch isoliert haben, können Sie die spezifischen Ports mit zu viel Datenverkehr als Basis verwenden und die Arten des Datenverkehrs untersuchen, die ihn überfordern. Mit diesen Informationen können Sie entweder Traffic-Shaping-Maßnahmen implementieren oder zusätzliche Infrastrukturen hinzufügen, um Verkehrspunkte umzuleiten und die Last zu verteilen.

Der Paket-Sniffer-Sensor verarbeitet nur die Header von Verkehrsdatagrammen, die sich im Netzwerk bewegen. Diese Strategie reduziert den Verarbeitungsaufwand für die Aggregation von Durchflussmetriken und beschleunigt die Analyse erheblich.

Probleme mit der Portspiegelung

Die vollständige Erfassung und Speicherung von Paketen kann zu Problemen mit der Vertraulichkeit von Daten führen. Obwohl der größte Teil des Datenverkehrs in Ihrem Netzwerk verschlüsselt wird, wird nicht der gesamte interne Datenverkehr verschlüsselt, wenn er für externe Sites bestimmt ist. Sofern Ihre Organisation keine zusätzliche Sicherheit für E-Mails implementiert hat, wird der E-Mail-Verkehr in Ihrem Netzwerk standardmäßig nicht verschlüsselt.

Als alternative Verkehrsanalysetechnik können Sie NetFlow in Betracht ziehen. Dies ist ein Messaging-System, das auf allen Cisco-Geräten aktiviert ist und nur die Header von Paketen an einen zentralen Monitor weiterleitet. Informationen zu Netzwerkmonitoren, die NetFlow-Daten erfassen, finden Sie in Artikel 10 Best Free und Premium NetFlow Analyzer and Collectors.

Sobald Sie die Informationen zu allen Verkehrsüberwachungsfunktionen Ihrer Cisco-Switches zur Hand haben, können Sie besser entscheiden, welche Paketerfassungsmethode verwendet werden soll.

Auswahl der richtigen Netzwerkanalysestrategie

Hoffentlich wurden Sie in diesem Handbuch auf die Probleme bei der Portspiegelung aufmerksam gemacht. Es gibt zwar Zeiten, in denen Sie nicht umhin können, die Paketebene zu erreichen, um den Netzwerkverkehr ordnungsgemäß zu beurteilen, dies sollte jedoch der Fall sein Grenzen Sie Ihre Forschung ein mit anderen Tools, bevor Sie eine Paketerfassung als Aufgabe arrangieren.

Die Portspiegelung hat ihre Probleme – sie unterbricht die Vertraulichkeit von Daten und kann sehr große Datenmengen erzeugen. Methoden erforschen, um aggregierte Verkehrsinformationen als Ihre erste Ermittlungslinie und erhalten Sie die Portspiegelung, sobald Sie Links mit Problemen identifiziert haben. Wenn Sie die Portspiegelung für Ihre Switches eingerichtet haben, müssen Sie alle Daten in ein Analysetool leiten, damit Sie alle durch diese Strategie generierten Informationen ordnungsgemäß nutzen können.