最新のネットワーク監視ソフトウェアには、グラフィカルな表現や分析ツールなどの洗練されたツールが含まれています。ただし、パケットがネットワーク上を移動するときにキャプチャするナットとボルトの分析手法に戻る必要がある場合があります。ポートミラーリングはパケットキャプチャ技術です.
パケットキャプチャには、ハードウェア要素が必要です。 TAP(テストアクセスポイント)。幸いなことに、すべてのネットワークトラフィック(スイッチとハブ)を転送するハードウェアが既にあります。これらのデバイスの機能を利用して、個別のインラインセンサーまたはトラフィックスプリッターを購入する必要をなくすことができます。ネットワーク機器を使用してトラフィックをキャプチャする手法は、「ポートミラーリング.このガイドは、ネットワークにポートミラーリングを実装するために必要なすべての情報を提供します.
>>> 以下の推奨監視ツールのリストにジャンプします<<<
スイッチトラフィック処理
非常に小さなネットワークには、スイッチまたはハブが1つしかありません。ただし、別のスイッチの要件を作成するためにネットワークを大きく成長させる必要はありません。ネットワーク上に複数のスイッチがある場合、すべてのパケットを中央ポイントに流す必要なくトラフィックを移動します.
この分散構成は、必要に応じて、データ収集用にネットワーク上のスイッチを1つだけ選択できないことを意味します サンプルトラフィック すべてのデータから。これは、ネットワーク上の他のスイッチが、選択したデバイスを経由する必要のないトラフィックを交換しているためです。ただし、この問題は、 TAP パケットキャプチャツールとして.
ネットワークトラフィックをキャプチャするときは、1ポイントを通過するパケットで要件を満たすことができるかどうか、またはネットワーク全体のすべてのネットワークトラフィックの動作を一度に確認する必要があるかどうかを決定する必要があります。.
実際には、リンクごとのトラフィックを調べる必要がある可能性が高くなります。このようなシナリオでは、おそらくネットワーク上の1つのリンクが過負荷になっている理由と、問題を解決するために再ルーティングまたはスロットルできるトラフィックのタイプを確認しようとするでしょう。.
あなたがしたいかもしれませんが すべてのネットワークトラフィックを見る, すべてを一度にキャプチャすることは、すぐに野心的な目標になります。すべてのネットワークパケットをキャプチャできる場合、収集されたすべてのデータに圧倒されます。.
ネットワークのパフォーマンスを適切に評価するには、すべてのトラフィックをネットワークデバイスごとに分類するため、デバイスごとにポートミラーリングを使用することをお勧めします。他のツールは、ネットワーク全体を可視化するのに適しています。これらのインスタンスでは、NetFlowを使用して複数のネットワークポイントから同時にデータをサンプリングする方が良いでしょう。洗練されたネットワークトラフィック分析ツールが必要になります 集約および要約 すべての交通データ.
ポートミラーリングについて
ポートミラーリングは、ネットワークトラフィックを複製し、コピーをデータストアに向ける方法を提供します。スプリッターでは、次のデバイスを使用します すべてのトラフィックを複製します 1つのコピーが目的の宛先に続き、もう1つのコピーが画面に表示されるか、ファイルに移動します。ポートミラーリングでは、まったく同じ手法を使用しますが、スイッチの設定を変更してデータ複製機能を作成するため、個別の物理デバイスをインストールする必要がなくなります。.
基本的に、ポートミラーリング命令は、特定のポートにトラフィックのコピーを送信するようスイッチに指示します。方法論にはさまざまなオプションが含まれており、次のことが可能です。 特定のトラフィックを選択する 特定のアドレスから発信または特定のアドレスに移動するか、すべてのトラフィックをコピーすることを選択します。スイッチが必要なトラフィックを分割したら、データ配信ポイントとして指定されたポートに送信されるパケットを収集するだけです.
スイッチとハブ
A リンク, または「ホップ,」はネットワーク上の2つのデバイス間の接続です。リンクは、 終点, またはそれは2つの間にあるかもしれません ネットワーク機器. リンクの少なくとも一方の端には常にネットワークデバイスがあります。ネットワーク内のトラフィックの場合、そのデバイスは スイッチ または ハブ.
ハブは、接続の1つで受信したすべてのトラフィックを他のすべてに送信します。着信パケットの宛先アドレスには注意を払いません。スイッチはより選択的です パケットヘッダーを調べます そして、そのアドレスに対してリストされているポートにそれぞれを転送します。その宛先ポートに接続されたケーブルは、そのアドレスで識別されるエンドポイントにつながっていない場合があります。そのスイッチとエンドポイントの間に別のネットワークデバイスがある場合、移動データを受信するケーブルはその中間デバイスにつながり、その中間デバイスはそれを転送します.
幸いなことに、パケットキャプチャの場合、スイッチとハブは接続の送信元ポートと宛先ポート間の一時的な物理リンクを偽造しません。代わりに, デバイスは着信データを収集します. それから そのデータの正確なコピーを作成します 宛先ポートに適用します。ハブの場合、このアクション 複製を作成します. たとえば、ハブが10個のポートの1つでパケットを受信した場合、その同じパケットを他の9個のポートすべてに送信します。.
したがって、1つのパケットは9つのコピーになります。スイッチは、マークされたパケットに対してまったく同じことを行います 放送. 1つの宛先に送信されるトラフィックは、スイッチがそのアドレス用にリストしたポートにのみコピーされます。そのため、スイッチから移動するデータのインスタンスは1つだけです。.
スイッチとルーターによって実行されるパケットの複製は、トラフィックスプリッターによって実行される作業とまったく同じです。.
ハブを使用したポートミラーリング
スイッチとハブの仕組みの説明からわかるように, ハブは、受信したすべてのトラフィックを自動的に複製します. そのため、ネットワーク上にハブしかない場合、その上を循環しているすべてのトラフィックのコピーを取得するのは非常に簡単です。ハブはすべてのトラフィックをすべてのエンドポイントに送信します。そのトラフィックがネットワーク上の一部のエンドポイントに到達するために他のネットワークデバイスを通過する必要がある場合、中間デバイスもハブである場合、それらのエンドポイントに到達するトラフィックをブロックしません.
ご使用のコンピューターはネットワーク上のハブの1つに接続されているため、ネットワーク上のすべてのトラフィックは自動的にコンピューターに送信され、ハブの設定を変更する必要はありません。ただし、そのトラフィックのすべてがコンピューターで読み取られるわけではありません.
コンピューターのネットワークカードのファームウェアには、ハードコードされた識別子があります。これは Macアドレス, これは「メディアアクセスコントローラー.ネットワークカードは、そのMACアドレスが含まれている到着メッセージにのみ反応します。他のすべては無視されます。ネットワークカードをプライベートクラブのドアマンと考えてください。到着する人は誰でも入るためにパスワードを与えなければなりません。パスワードを持たない人は入力できなくなります。 MACアドレスはそのパスワードです.
ハブが完全に装備されているネットワーク上のすべてのトラフィックを表示する場合は、ネットワークカードに独自のMACアドレスの要件を削除するように指示するだけです。ネットワーク用語では、この設定は「無差別モード.」
純粋主義者は、ネットワークカードがパケットを複製していないため、ネットワークカードを無差別モードにすることは「ポートミラーリング」ではないと主張します。彼らは、到着したパケットを認識し、それらをコンピューター上のアプリケーションに転送するために、カードがMACアドレスの要件を破棄しているだけだと言います。.
実際には、ハブはデフォルトですべてのパケットを複製するため、「ハブ上のポートミラーリング」は冗長な概念です。通常、「ポートミラーリング」という用語はスイッチにのみ適用されます.
スイッチを使用したポートミラーリング
スイッチはパケットを受信すると、データグラムのヘッダー内の宛先アドレスを参照します。次に、パケットのコピーを作成し、そのMACアドレスに関連付けられているポート番号に新しいバージョンを送信します.
標準操作では、「ユニキャスト,」1つのコピーのみが着信メッセージから作成され、1つのポートでのみ送信されます. スイッチはトラフィックを複製できます, しかしながら。たとえば、スイッチがブロードキャストメッセージを受信すると、アクティブポートのカウントと同じ数のコピーを作成し、それらの各ポートに1つのコピーを送信します。スイッチにも「マルチキャスト」機能。限られた数のコピーを作成する必要があります.
すべてのスイッチはブロードキャストメッセージとマルチキャストメッセージを処理するようにプログラムされているため、パケットを複製するタスクではハードウェアに問題は生じません。概念的には、スイッチでパケット複製を実行するために必要なタスクはほとんどありません。
- スイッチはすべてのトラフィックのコピーを作成するように指示されます.
- スイッチはすべてのトラフィックを目的の宛先に送信します.
- スイッチは、指定されたポートにすべてのトラフィックのコピーを送信します.
- 指定されたポートですべてのトラフィックを収集します.
複製されたすべてのパケットをスイッチを通過させることは非常に簡単な作業であり、デバイス側で余分な処理労力をあまり使いません。特定のスイッチを通過するパケットを調べたい場合は、そのすべてのトラフィックを複製し、ポートに送信するよう指示するだけでなく、 コンピューターのMACアドレスを指定されたポート番号に関連付けます. 次に、コンピューターのネットワークカードを無差別モードにして、MACアドレスが設定されたデータグラムだけでなく、すべてのトラフィックを確実に取得する必要があります.
すべてのネットワークトラフィックを複製する
上記のソリューションは、ポートミラーリングを実行するときにスイッチで実際に発生することを簡略化したバージョンです。実際には、タスクはもう少し複雑です。たとえば、すべてのトラフィックを取得するために、スイッチにケーブルでコンピューターを直接接続する必要があるのは不便です。昔は、これはLANアナライザーの要件でしたが、場所固有の接続は依然としてネットワークTAPの重要な機能です.
ルーティングテクノロジーのおかげで、最新のポートミラーリングはより洗練されています. 世界中のあらゆるスイッチを通過するトラフィックを調べることができます, そのスイッチがネットワーク経由またはインターネット経由であなたの場所から到達可能である限り。コンピュータをそのスイッチに物理的に接続する必要はありません。インターネット上を移動する場合、データグラムにはインターネットネットワーク層で追加のパッケージが必要になるため、ポートミラーリングはもう少し複雑になります。このガイドでは、ネットワーク内からのポートミラーリングのみを扱います。.
ほとんどのスイッチには、キャプチャしたパケットをネットワーク経由で配信し、他のネットワークデバイスを通過させる機能があります。各スイッチの製造元はスイッチ用に独自のファームウェアを作成し、管理コンソールのメニューはそれぞれ異なります。このガイドの目的上、使用する方法に焦点を当てます シスコシステムズ ネットワークスイッチでポートミラーリングを利用可能にする.
Cisco SPANスイッチについて
Ciscoスイッチポートミラーリング機能は呼ばれます スパン. これは スイッチドポートアナライザー. SPANは、Ciscoスイッチに直接接続されているかどうかに関係なく、Ciscoスイッチでパケットをキャプチャするすべての機能を提供します。ただし、重複パケットの収集ポイントになる可能性があるスイッチ上にスペアポートが必要です。.
SPAN用語では、「送信元ポート」は、トラフィックの複製元のポートです。 「宛先ポート」は、複製パケットが収集のために送信されるポートのアドレスです。これらの特徴的な用語を覚えておくように非常に注意してください。ソースポートから宛先ポートに実行されるパケットを見るという従来のネットワーク用語を参照したくなるためです。.
SPANシステムは、1つまたは複数のポートを監視できます。そのポートでトラフィックの方向を識別し、流入のみ、流出のみ、またはその両方を提供することもできます。ただし、一度に多数のポートを調べる場合、すべてのポートで同じトラフィックフロー方向を監視する必要があります.
キャプチャする送信元ポートと送信先ポートを指定することはできません(つまり、特定のポートから出る特定のポートに到着するトラフィックのみを取得します)。これがあなたが探している機能である場合, 流入ポートを選ぶ 受信したすべてのパケットをそこにキャプチャします。その後、すべてのデータを取得した後、対象の送信ポートに残すことを除いて、すべてのトラフィックを除外できます。 分析ソフトウェア.
セッションでは、ポートを監視するか、監視することができます VLAN –両方のタイプのポートを一度にカバーすることはできません.
Cisco SPANモード
Cisco SPANを使用すると、次の3つのモードでパケットをキャプチャできます。
- ローカルSPAN: 直接接続されているスイッチのトラフィックを監視する.
- リモートSPAN(RSPAN): リモートポートのトラフィックを監視しますが、収集されたパケットをローカルスイッチのポートに送信して収集します.
- カプセル化されたリモートSPAN(ERSPAN): ローカルスイッチへのミラーパケットの転送がGREカプセル化によって行われることを除いて、RSPANと同じプロセス.
RSPANオプションは、Express 500 / 520、5500 / 5000、3500 XL、2940、2948G-L3、および2900XLスイッチでは使用できません.
Cisco SPANの可用性
SPANは、次のすべてのCiscoスイッチモデルで使用できます。
Catalyst Express 500/520シリーズ
- Catalyst 1900シリーズ
- Catalyst 2900XLシリーズ
- Catalyst 2940シリーズ
- Catalyst 2948G-L2、2948G-GE-TX、2980G-A
- Catalyst 2950シリーズ
- Catalyst 2955シリーズ
- Catalyst 2960シリーズ
- Catalyst 2970シリーズ
- Catalyst 3500 XLシリーズ
- Catalyst 3550シリーズ
- Catalyst 3560 / 3560E / 3650Xシリーズ
- Catalyst 3750 / 3750E / 3750Xシリーズ
- Catalyst 3750 Metroシリーズ
- Catalyst 4500/4000シリーズ
- Catalyst 4900シリーズ
- Catalyst 5500/5000シリーズ
- Catalyst 6500/6000シリーズ
残念ながら、コマンドセットはすべてのスイッチで同じではありません。これは主に、Catalystデバイスの一部に専用のファームウェアが用意されているためです。 CatOS. 他のCiscoスイッチはと呼ばれるオペレーティングシステムを使用します IOS, Appleデバイスが使用するiOSオペレーティングシステムとは異なります.
いくつかのCiscoスイッチにはネイティブポートミラーリング機能がありませんが、これらの状況で使用できる無料のユーティリティがあります。.
IOSスイッチでのSPANのセットアップ
IOSファームウェアを搭載したスイッチモデルの場合、デバイスのオペレーティングシステムにアクセスして、監視するSPANポートとポートを指定するためのコマンドを発行する必要があります。このタスクは、2行のコマンドで実装されます。する必要があります ソースを指定する, つまり、トラフィックが複製されるポートと、 スニファーが接続されているポート番号を提供します –これは宛先行です.
セッションソースの監視[インターフェイス|リモート| vlan] [rx | tx |どちらも]
セッション宛先インターフェイスの監視
ミラーの定義が終了したら、を押す必要があります CTRL-Z 構成定義を終了するには.
セッション番号を使用すると、同時に実行する複数の異なるモニターを作成できます。後続のコマンドで同じセッション番号を使用すると、元のトレースがキャンセルされ、新しい仕様に置き換えられます. ポート範囲はダッシュ(「-」)で定義され、ポートのシーケンスはコンマ(「、」)で区切られます.
送信元ポート(監視するポート)のコマンドラインの最後の要素は、スイッチが送信パケットを複製するかどうかの指定です。 いずれかのポートから, または どちらも.
CatOSスイッチでSPANをセットアップする
より新しいCatalyst範囲には、新しいオペレーティングシステムが付属しています。 CatOS, 古いIOSオペレーティングシステムの代わりに。これらのスイッチでSPANミラーリングをセットアップするために使用されるコマンドは少し異なります。このオペレーティングシステムでは、2つではなく1つのコマンドでミラーリングを作成します.
スパンの設定[rx | tx | both]
[inpkts]
[学習]
[マルチキャスト]
[フィルター]
[作成]
送信元ポートは、このコマンドの最初の要素、つまり「src_mod / src_ports」一部。コマンドの2番目のポート識別子は、宛先ポート(つまり、パケットスニファーが接続されているポート)として自動的に読み取られます。 「rx | tx |どちらも」要素は、送信されたパケットを複製するようにスイッチに指示します いずれかのポートから, または どちらも.
ミラーリングをオフにするset spanコマンドもあります。
set span disable [dest_mod / dest_port | all]
Catalyst Express 500およびCatalyst Express 520スイッチでSPANをセットアップする
Catalyst Express 500またはCatalyst Express 520スイッチを使用している場合、オペレーティングシステムでSPAN設定を入力しないでください。スイッチと通信して設定を変更するには、Cisco Network Assistantをインストールする必要があります(CNA)。このネットワーク管理ソフトウェアは無料で、Windows環境で実行されます。次の手順に従って、スイッチでSPANをアクティブにします。.
- CNAインターフェースを介してスイッチにログインします.
- を選択 スマートポート のオプション CNA メニュー。これにより、スイッチのポート配列を表すグラフィックが表示されます.
- パケットスニファーを接続するポートをクリックして、 変更する オプション。これにより、ポップアップウィンドウが表示されます.
- 選択する 診断 の中に 役割 リストから、トラフィックを監視するポートを選択します ソース ドロップダウンリスト。 VLANを明確に監視する場合は、VLANを選択します 入力VLAN リスト。 VLANのトラフィックを監視するだけではない場合は、この値をデフォルトのままにします。クリック OK 設定を保存するには.
- クリック OK その後 適用する の中に スマートポート 画面.
CNAメソッドの1つの問題は、ソフトウェアがWindowsバージョンでのみ実行されることです。 Windows 7.
キャプチャされたパケット処理
スイッチで設定されたポートミラーリングは、キャプチャされたパケットを保存または分析しません。使用できます ネットワーク分析ソフトウェア デバイスに送信されるパケットを処理する.
パケットをキャプチャするときに認識しなければならない重要な問題は、非常に大量のデータを処理する必要があることです。通過するネットワークトラフィックの生のテキストダンプは、ガイド付きのデータビューアーなしでくぐり抜けることはほとんど不可能です。これは、考慮すべきデータアクセスツールの最も低いカテゴリです。完全なトラフィック分析ユーティリティがさらに優れている.
あなたはの包括的なリストを見ることができます 推奨されるネットワークトラフィック分析ツール 記事では、2023年の9つのベストパケットアナライザー/パケットスニファーをご覧ください。便宜上、そのレビューの上位2つのツールを以下にまとめています。.
SolarWinds Deep Packet Inspection and Analysisツール (無料トライアル)
SolarWindsは、ネットワーク監視および管理ツールの大規模なカタログを作成します。ポートミラーリングの出力分析については、会社の ディープパケットと分析 あなたの最良の選択肢になるツール。これは、同社の中心的な製品である同社のネットワークパフォーマンスモニターの一部です。.
このツールは、 幅広いパケット収集ツール トラフィックの急増が発生する場所を確認できます。パフォーマンスを改善するための戦略を構築するために、ネットワークでほとんどの需要を生成しているアプリケーションを調べる必要があります。この分析ツールはこれらの調査をサポートします.
ネットワークパフォーマンスモニターは最先端のツールであり、無料ではありません。ただし、30日間の無料試用版を入手できます。パケットキャプチャは、実際にはすべてのネットワーク上のすべてのトラフィックを監視するための実行可能なオプションではないことに注意してください。これらの状況では、SolarWinds NetFlow Traffic Analyzerを使用する方が良いでしょう。これは採用します Cisco NetFlow ネットワークからのトラフィックをサンプリングする機能。また、と通信することができます ジュニパーネットワークス を介して機器 J-Flow パケットサンプリング標準、 ファーウェイ デバイス、使用 NetStream, また、メーカーに依存しない sFlow そして IPFIX トラフィック分析システム。 30日間の無料トライアルでNetFlow Traffic Analyzerを入手することもできます。.
Network Performance MonitorとNetFlow Traffic Analyzerは、個々のデバイスを通過するパケットトラフィックを調べるための概要とツールを提供するため、ネットワーク分析の優れた組み合わせになります。 SolarWindsは、これらの2つのツールをNetwork Bandwidth Analyzer Packとして提供します。これは、30日間の無料トライアルにも参加できます.
SolarWinds Deep Packet Inspection and Analysis30日間の無料トライアルをダウンロード
Paesslerパケットキャプチャツール
Paessler PRTGは、多くの個々のセンサーで構成されるネットワーク監視ツールです。これらのツールの1つは パケットキャプチャセンサー. このセンサーには物理的なTAPは付属していません。代わりに、スイッチからストリームで提供されるデータに依存します。このツールは、ライブデータとファイルストレージから読み取られたパケットの両方に対して優れたデータ視覚化を提供します.
PRTGの素晴らしい点は、同じツール内からさまざまな可視性レイヤーを提供できることです。ネットワークデータをサンプリングするセンサーも含まれており、ネットワーク上のさまざまな場所からパケットヘッダーのみをキャプチャします。あなたもすることができます データ量を減らす サンプリングを指定して、モニターで処理する必要がある.
パケットスニッフィングセンサーに加えて、PRTGには次のトラフィックサンプリングシステムが含まれています。
- NetFlowセンサー
- sFlowセンサー
- J-Flowセンサー
このシステムでは、NetFlow、sFlow、およびJ-Flowセンサーを使用してネットワーク全体の概要を取得し、パケットスニファーに移動して1つのデバイスの一般的なフローに集中できます。過負荷のスイッチを分離すると、トラフィックが多すぎる特定のポートに戻り、それを圧倒しているトラフィックのタイプを確認できます。この情報を使用して、トラフィックシェーピング手段を実装するか、より多くのインフラストラクチャを追加して、重いトラフィックポイントを再ルーティングし、負荷を分散することを選択できます。.
パケットスニファーセンサーは、ネットワーク上を移動するトラフィックデータグラムのヘッダーのみを処理します。この戦略により、フローメトリックの集約に必要な処理量が削減され、分析が大幅に高速化されます。.
ポートミラーリングの問題
完全なパケットキャプチャおよびストレージでは、データの機密性に関する問題が発生する可能性があります。ネットワークを通過するトラフィックのほとんどは暗号化されますが、外部サイト宛ての場合、社内トラフィックがすべて暗号化されるわけではありません。組織が電子メールに追加のセキュリティを実装することを決定しない限り、ネットワーク周辺のメールトラフィックはデフォルトで暗号化されません.
代替のトラフィック分析手法として、NetFlowの使用を検討できます。これは、すべてのシスコデバイスで有効になっているメッセージングシステムであり、パケットのヘッダーのみを中央モニターに転送します。 NetFlowデータを収集するネットワークモニターについては、記事10 Best Free and Premium NetFlow Analyzers and Collectorsで読むことができます.
シスコスイッチのすべてのトラフィックモニタリング機能に関する情報をすぐに入手できれば、使用するパケットキャプチャ方法を決定するのに適した状態になります。.
適切なネットワーク分析戦略の選択
願わくば、このガイドがポートミラーリングを取り巻く問題に気づいたことを願っています。ネットワークトラフィックを適切に評価するために、パケットレベルまで下がることを本当に避けられない場合がありますが、 研究を絞り込む タスクとしてパケットキャプチャを準備する前に他のツールを使用する.
ポートミラーリングには問題があります。データの機密性が損なわれ、大量のデータが生成される可能性があります。方法を調べる 交通情報の集約 最初の調査として、問題のあるリンクを特定したらポートミラーリングを開始します。スイッチでポートミラーリングを設定したら、この戦略が生成するすべての情報を適切に使用できるように、すべてのデータを分析ツールに転送してください。.