现代网络监控软件包括复杂的工具,例如图形表示和分析工具。但是,有时您需要回到细节分析技术中来捕获数据包在网络中传播时的情况。端口镜像是一种数据包捕获技术.
数据包捕获需要一个硬件元素,称为 TAP(测试接入点)。幸运的是,您已经拥有可以引导所有网络流量的硬件:交换机和集线器。您可以利用这些设备的功能来消除购买单独的嵌入式传感器或流量分配器的需要。使用网络设备捕获流量的技术称为“端口镜像.”本指南将为您提供在网络上实施端口镜像所需的所有信息。.
>>> 跳转到下面的推荐监视工具列表<<<
交换流量处理
一个非常小的网络将只有一个交换机或集线器。但是,网络的增长并不需要太多,因此无需另外购买一台交换机。当您的网络上有多个交换机时,它们可以继续传输流量,而无需通过中心点引导所有数据包.
这种分散式配置意味着,如果您想在网络上仅选择一台交换机来收集数据, 样本流量 从所有数据中这是因为您网络上的其他交换机将在它们之间交换流量,而这些流量不需要通过您选择的设备进行引导。但是,如果您选择实施一个 TAP 作为数据包捕获工具.
捕获网络流量时,您需要确定是否可以通过传递一个点的数据包来满足您的要求,还是需要一次查看整个网络上的所有网络流量行为?.
实际上,您更有可能需要查看每个链接的流量。在这种情况下,您可能会试图查看为什么网络上的一个链路过载,以及为了解决问题您可以重新路由或限制哪种类型的流量。.
虽然你可能想 查看所有网络流量, 立即捕获所有这些成为一个雄心勃勃的目标。如果您可以捕获所有网络数据包,那么收集的所有数据将使您不知所措.
为了正确评估网络的性能,无论如何都要对网络设备的所有流量进行分类,因此最好逐个设备使用端口镜像。其他工具更适合为您提供整个网络的可见性。在这些情况下,最好使用NetFlow同时从多个网络点采样数据。您将需要一个复杂的网络流量分析工具来 汇总和总结 所有交通数据.
关于端口镜像
端口镜像提供了一种复制网络流量并将副本定向到数据存储的方法。在分离器中,您使用的设备 复制所有流量 一份继续到达其预期的目的地,另一份显示在屏幕上或转到文件。使用端口镜像,您可以使用完全相同的技术,但是您可以更改交换机的设置以创建数据复制功能,从而无需安装单独的物理设备。.
本质上,端口镜像指令告诉交换机将流量副本发送到特定端口。该方法包括一系列选项,使您能够 选择特定的流量 源自或行进到给定地址,或选择复制所有流量。一旦交换机分配了所需的流量,您要做的就是收集发送到指定为数据传递点的端口的数据包。.
交换机和集线器
一种 链接, 要么 ”跳,网络上的“”是两个设备之间的连接。该链接可能是连接 终点, 或者可能介于两个之间 网络设备. 链接的至少一端始终会有一个网络设备。对于网络内的流量,该设备将是 开关 或一个 毂.
集线器将在一个连接上接收到的所有流量发送到所有其他连接。它不会注意传入数据包上的目标地址。开关更具选择性,因为它 检查数据包头 并将它们转发到该地址列出的端口。连接到该目标端口的电缆可能不会通向该地址所标识的端点。如果在该交换机和端点之间存在另一个网络设备,则接收移动数据的电缆将通向该中间设备,该中间设备将依次转发该中间设备。.
幸运的是,对于数据包捕获,交换机和集线器不会在连接的源端口和目标端口之间建立临时的物理链接。代替, 设备收集传入的数据. 然后 创建该数据的精确副本 并将其应用于目标端口。对于集线器,此操作 创建重复. 例如,如果集线器在其十个端口之一上接收到一个数据包,它将在所有其他九个端口上发送相同的数据包.
因此,一包变成九份。交换机对标记为的数据包执行完全相同的操作 广播. 前往一个目的地的流量仅被复制到交换机为该地址列出的端口上。因此,当数据从交换机中传出时,仍然仅存在该数据的一个实例.
交换机和路由器执行的数据包复制与流量分流器执行的工作完全相同.
带集线器的端口镜像
从对交换机和集线器工作方式的描述中可以看到, 集线器会自动复制它收到的所有流量. 因此,如果您的网络上只有集线器,则很容易获得网络上流通的所有流量的副本。集线器将所有流量发送到所有端点。如果该流量必须通过其他网络设备传输以到达网络上的某些端点,则在中间设备也是集线器的情况下,也不会阻止流量到达这些端点.
当您自己的计算机连接到网络上的一个集线器时,网络上的所有流量都将自动发送到您的计算机,而无需更改集线器的设置。但是,您的计算机不会读取所有这些流量.
您计算机网卡上的固件中已硬编码了一个标识符:这是 MAC地址, 代表“媒体访问控制器.”网卡将仅对在其上具有该MAC地址的到达消息作出反应。所有其他将被忽略。将网卡想像成私人俱乐部的门卫。任何到达的人都必须输入密码才能进入。没有密码的用户将无法进入。 MAC地址是该密码.
如果要查看完全装有集线器的网络上的所有流量,您要做的就是告诉网卡放弃对自己的MAC地址的要求。在网络术语中,此设置称为“混杂模式.”
纯粹主义者将辩称,将您的网卡置于混杂模式并不是“端口镜像”,因为您的网卡没有复制数据包。他们说,该卡只是放弃了其MAC地址的要求,以便识别到达的数据包并将其转发到计算机上的应用程序.
实际上,“集线器上的端口镜像”是多余的概念,因为集线器默认情况下会复制所有数据包。通常,术语“端口镜像”仅适用于交换机.
带交换机的端口镜像
当交换机接收到数据包时,它将在数据报的报头中引用目标地址。然后,它会复制数据包,并将新版本发送到与该MAC地址关联的端口号上.
在标准操作中,称为“单播,“传入消息仅构成一个副本,并且仅在一个端口上发出. 交换机能够复制流量, 然而。例如,当交换机收到广播消息时,它会与其活动端口的数量进行相同数量的复制,并在每个这些端口上发送一份副本。开关也有“多播”功能,要求他们创建数量有限的副本.
由于所有交换机都具有处理广播和多播消息的能力,因此复制数据包的任务不会给他们的硬件带来问题。从概念上讲,让您的交换机执行数据包复制只需很少的任务:
- 指示交换机复制所有流量.
- 交换机将所有流量发送到其预期的目的地.
- 交换机将所有流量的副本发送到指定端口.
- 您在指定的端口收集所有流量.
通过交换机获取所有重复发送的数据包是一项非常简单的工作,并且不会浪费设备的大量额外处理工作。如果要检查通过特定交换机的数据包,只需告诉它复制所有流量并将其发送到端口,然后告知 将计算机的MAC地址与该指定的端口号关联. 然后,您需要将计算机的网卡设置为混杂模式,以确保它能够接收所有流量,而不仅是能接收到其MAC地址在上面的那些数据报。.
复制所有网络流量
上面的解决方案是交换机执行端口镜像时实际发生的事情的简化版本。实际上,任务要复杂一些。例如,将计算机直接用电缆连接到交换机以获取所有流量将很不方便。在过去,这是LAN分析仪的要求,并且特定位置的连接仍然是网络TAP的关键功能.
借助路由技术,现代端口镜像更加复杂. 您可以检查通过世界各地任何交换机的流量, 只要您可以通过网络或互联网从您的位置访问此开关即可。您无需将计算机物理连接到该交换机。当通过Internet传输时,端口镜像会变得更加复杂,因为数据报需要在Internet网络层进行额外的打包。对于本指南,我们将仅处理网络内部的端口镜像.
大多数交换机都具有通过网络传递捕获的数据包的能力,这些数据包会通过其他网络设备传输。每个交换机制造商都为其交换机生产自己的固件,并且每个交换机的管理控制台菜单都不同。在本指南中,我们将重点介绍 思科系统 使端口镜像在其网络交换机上可用.
关于Cisco SPAN交换机
思科交换机端口镜像功能称为 跨度. 这代表 交换端口分析仪. SPAN为您提供了捕获任何Cisco交换机上的数据包的所有功能,无论您是否直接连接到该交换机。但是,您需要在交换机上有一个备用端口,该备用端口可以成为重复数据包的收集点。.
在SPAN术语中,“源端口”是要从中复制流量的端口。 “目的端口“”是将重复的数据包发送到收集端口的端口地址。请务必记住这些独特的术语,因为您将倾向于参考传统的网络术语,即您正在查看从源端口到目标端口的数据包。.
SPAN系统能够监视一个端口或多个端口。还可以识别该端口上的流量方向,从而仅提供流入,流出或同时提供这两者。但是,如果您要一次检查多个端口,则必须对所有端口都监控相同的流量流向。.
您无法指定要捕获的“从”和“到”端口(即,仅使流量到达从特定端口离开的特定端口)。如果这是您要寻找的功能, 选择进水口 并在那里捕获所有接收到的数据包。然后,您可以过滤掉所有流量,但一旦将所有数据都留在传输的目标端口上 分析软件.
在会话中,您可以监视端口或监视 虚拟局域网 –您无法一次覆盖这两种类型的端口.
思科SPAN模式
Cisco SPAN使您可以通过三种模式捕获数据包:
- 本地SPAN: 监视直接连接到的交换机上的流量.
- 远程SPAN(RSPAN): 监视远程端口上的流量,但将捕获的数据包发送到本地交换机上的端口以进行收集.
- 封装的远程SPAN(ERSPAN): 与RSPAN相同的过程,除了通过GRE封装将镜像数据包传输到本地交换机.
RSPAN选项在Express 500 / 520、5500 / 5000、3500 XL,2940、2948G-L3和2900XL交换机上不可用.
思科SPAN可用性
SPAN在以下所有Cisco交换机型号上均可用:
Catalyst Express 500/520系列
- Catalyst 1900系列
- Catalyst 2900XL系列
- Catalyst 2940系列
- 催化剂2948G-L2、2948G-GE-TX,2980G-A
- Catalyst 2950系列
- Catalyst 2955系列
- Catalyst 2960系列
- Catalyst 2970系列
- Catalyst 3500 XL系列
- Catalyst 3550系列
- Catalyst 3560 / 3560E / 3650X系列
- Catalyst 3750 / 3750E / 3750X系列
- Catalyst 3750 Metro系列
- Catalyst 4500/4000系列
- Catalyst 4900系列
- Catalyst 5500/5000系列
- Catalyst 6500/6000系列
不幸的是,命令集在所有交换机上都不相同。这主要是因为该公司为其某些Catalyst设备配备了专门的固件,称为 卡托斯. 其他思科交换机使用的操作系统称为 iOS, 这与Apple设备使用的iOS操作系统不同.
少数Cisco交换机不具备本机端口镜像功能,但是在这些情况下可以使用免费的实用程序,稍后将详细介绍。.
在IOS交换机上设置SPAN
对于带有IOS固件的交换机型号,您需要进入设备的操作系统并发出命令以指定SPAN端口和要监视的端口。此任务由两行命令实现。一个需要 指定来源, 这意味着将复制其流量的端口,另一个 给出嗅探器连接到的端口号 –这是目标行.
监视会话源[接口|远程| vlan] [rx | tx |都]
监视会话目标接口
完成定义镜像后,需要按 CTRL-Z 结束配置定义.
会话号仅使您能够创建同时运行的多个不同的监视器。如果在后续命令中使用相同的会话号,则将取消原始跟踪并将其替换为新规范. 端口范围由破折号(“-”)定义,端口序列由逗号(“,”)分隔.
命令行中源端口(要监视的端口)的最后一个元素是交换机是否应复制传输的数据包的规范 从任一端口, 要么 都.
在CatOS交换机上设置SPAN
较新的Catalyst系列随附了一个更新的操作系统,称为 卡托斯, 而不是较旧的IOS操作系统。在这些开关中用于设置SPAN镜像的命令有些不同。使用此操作系统,您只需使用一个命令(而不是两个)来创建镜像.
设置跨度[rx | tx | both
[inpkts]
[学习中]
[多播]
[过滤器]
[创建]
源端口由该命令的第一个元素定义,即“src_mod / src_ports”部分。命令上的第二个端口标识符将自动读取为目标端口,即数据包嗅探器所连接的端口。 “rx | tx |都元素告诉交换机复制传输的数据包 从任一端口, 要么 都.
还有一个set span命令可以关闭镜像:
设置跨度禁用[dest_mod / dest_port | all]
在Catalyst Express 500和Catalyst Express 520交换机上设置SPAN
如果您使用Catalyst Express 500或Catalyst Express 520交换机,则不要在操作系统上输入SPAN设置。为了与交换机通信并更改其设置,您需要安装Cisco Network Assistant(CNA)。该网络管理软件是免费的,可以在Windows环境中运行。请按照下列步骤操作以使SPAN在交换机上处于活动状态.
- 通过CNA界面登录交换机.
- 选择 智能端口 中的选项 CNA 菜单。这将显示代表交换机端口阵列的图形.
- 单击您要将数据包嗅探器连接到的端口,然后选择 修改 选项。这将弹出一个弹出窗口.
- 选择 诊断程序 在里面 角色 列表并从端口中选择将对其流量进行监视的端口 资源 下拉列表。如果要专门监视VLAN,请从 入口VLAN 清单。如果您不只是为了监视VLAN的流量,请将该值保留为默认值。点击 好 保存设置.
- 点击 好 接着 应用 在里面 智能端口 屏幕.
CNA方法的一个问题是该软件只能在Windows版本以下运行 Windows 7的.
捕获的数据包处理
在交换机上设置的端口镜像将不会存储或分析捕获的数据包。您可以使用 任何网络分析软件 处理发送到您设备的数据包.
捕获数据包时必须要识别的一个关键问题是,您将不得不处理大量数据。没有引导的数据查看器,几乎无法梳理通过网络流量的原始文本转储。这是您应该考虑的最低级别的数据访问工具。完整的流量分析实用程序会更好.
您可以看到完整的清单 推荐的网络流量分析工具 在文章“ 2023年9种最佳数据包分析器/数据包嗅探器”中。为方便起见,该摘要中的前两个工具总结如下.
SolarWinds深度数据包检查和分析工具 (免费试用)
SolarWinds产生了大量的网络监视和管理工具。对于端口镜像输出分析,您应该考虑公司的 深度包和分析 工具成为您的最佳选择。这是公司网络性能监视器的一部分,它是其核心产品.
该工具能够解释来自 各种数据包收集工具 并让您查看流量激增的位置。您需要查看在网络上产生大多数需求的应用程序,以构建提高性能的策略。该分析工具支持这些调查.
网络性能监视器是一种顶级工具,它不是免费的。但是,您可以获得30天的免费试用期。请记住,数据包捕获实际上并不是监视整个网络上所有流量的可行选择。在这种情况下,使用SolarWinds NetFlow Traffic Analyzer会更好。这雇用 思科NetFlow 从网络采样流量的功能。它也可以与 瞻博网络 设备通过 J流 数据包采样标准 了华为 设备,使用 网流, 并且还可以使用与制造商无关的 流 和 IPFIX 交通分析系统。您还可以免费获得30天的NetFlow流量分析器.
网络性能监视器和NetFlow流量分析器是网络分析的理想组合,因为它们为您提供了概述的视角以及检查通过单个设备运行的数据包流量的工具。 SolarWinds将这两个工具作为网络带宽分析器套件一起提供,您还可以获得30天的免费试用期.
SolarWinds深度数据包检查和分析下载30天免费试用版
Paessler封包捕获工具
Paessler PRTG是一种网络监视工具,由许多单独的传感器组成。这些工具之一是 数据包捕获传感器. 该传感器不带有物理TAP;相反,它依赖于来自交换机的流中提供的数据。该工具可为实时数据和从文件存储读取的数据包提供出色的数据可视化.
PRTG的伟大之处在于,它可以从同一工具内为您提供不同层次的可见性。它还包括对网络数据进行采样的传感器,仅捕获来自网络上不同位置的数据包头。你也可以 减少数据量 监视器需要通过指定采样来处理.
除数据包嗅探传感器外,PRTG还包括以下流量采样系统:
- NetFlow传感器
- sFlow传感器
- J流量传感器
使用此系统,您可以使用NetFlow,sFlow和J-Flow传感器来了解整个网络,然后转到数据包嗅探器以关注一台设备上的典型流。一旦隔离了过载的交换机,您就可以进入流量过多的特定端口,并查看淹没它的流量类型。借助此信息,您可以实施流量调整措施或选择添加更多基础架构以重新路由繁重的流量点并分散负载.
数据包嗅探器传感器仅处理在网络中传播的流量数据报的标头。该策略减少了汇总流量指标所需的处理量,并大大加快了分析速度.
端口镜像问题
完整的数据包捕获和存储可能使您陷入数据机密性问题。尽管通过网络的大多数流量都将被加密,但是如果发往外部站点,则并非所有内部流量都将被加密。除非您的组织决定对电子邮件实施额外的安全性,否则默认情况下,不会加密网络周围的邮件流量.
作为一种替代的流量分析技术,您可以考虑使用NetFlow。这是在所有Cisco设备上启用的消息传递系统,它将仅将数据包的标头转发到中央监视器。您可以在文章10最佳免费和高级NetFlow分析仪和收集器中阅读有关收集NetFlow数据的网络监视器的信息。.
一旦掌握了有关Cisco交换机所有流量监控功能的信息,您将可以更好地决定使用哪种数据包捕获方法.
选择正确的网络分析策略
希望本指南使您了解围绕端口镜像的问题。尽管有时候确实无法避免降低数据包级别以正确评估网络流量,但您应该 缩小研究范围 与其他工具一起将数据包捕获安排为任务之前.
端口镜像存在其问题–破坏了数据的机密性,并且可以生成大量数据。探索方法 汇总交通信息 作为您的第一条调查路线,一旦确定有问题的链接,请开始进行端口镜像。在交换机上设置端口镜像后,请确保将所有数据引导到分析工具中,以便您可以正确利用此策略将生成的所有信息。.