Как правильно подключиться к сети для захвата трафика? Часть 2. Захват на коммутаторе путем настройки зеркала или SPAN
Второй по популярности способ захвата трафика в ИТ-среде - это настройка зеркала или SPAN сессии. После введения специальных команд коммутатор копирует весь трафик с порта источника и отправляет копию на порт, к которому мы можем подключить ноутбук с программой Wireshark (об ограничениях такого подключения читайте здесь) или специализированный сервер с установленным анализатором протоколов. Для корректной настройки данной функции рекомендуем обратиться к руководству пользователя коммутатора.
Данный метод удобен в нескольких сценариях, если:
-
необходимо захватить трафик между устройствами без прерывания самого сервиса.
-
необходимо понять источник проблемы, которая касается не только одного клиента или сервера, а целой группы. В данном случае мы можем настроить SPAN сессию Uplink порта и видеть весь трафик от клиентов к серверам и обратно. Но в этом случае мы не увидим общения между серверами, если приложение многоуровневое.
-
необходимо понять источник проблемы, которая касается группы серверов или пользователей. Если мы можем настроить сессию для целой виртуальной локальной сети (VLAN), то мы будем видеть в отличии от первого случая ещё и траффик между серверами, если они входят в этот же VLAN. Но при таком варианте исполнения SPAN сессии мы можем видеть задваивание трафика.
В современных сетях для повышения отказоустойчивости серверов их подключают к сети двумя сетевыми адаптерами и они сгруппированы по любому из стандартов (IEEE 802.3ad или IEEE 802.1ax LAСP). В случае если мы решаем проблему с таким сервером, то зеркалировать необходимо оба порта на коммутаторе, к которому он подключен. В случае если сервер подключен к разным коммутаторам, то тогда необходимо использовать аппаратный анализатор с несколькими интерфейсами и подключать его к двум SPAN портам на разных коммутаторах.
Преимущества SPAN для копирования трафика:
-
Очень легко настроить
Часто это делается удаленно, а то и с помощью RSPAN, если есть такая возможность.
-
Не оказывается абсолютно никакого влияния на трафик и связь между устройствами
Надо быть аккуратным при настройке SPAN на Cisco. Тут нет «защиты от дурака» и можно «положить» порт.
-
Можно получить копию трафика с нескольких источников
На недорогих моделях коммутаторов в документации можно найти возможность копирования хоть всех 23 портов в один, но помните о загрузке интерфейсов, которые вы копируете и пропускную способность порта, к которому подключаете анализатор. Ноутбук с гиговой картой полезен, только если загрузка на выходе будет 10-15% от гигабита.
-
Необходимо видеть траффик всего VLAN
Помним только еще раз, что в этом случае трафик может задваиваться и надо быть внимательным при анализе TCP retransmissions. Следует обращать внимание на SEQ номер пакета и IP ID. Если они одинаковые, то это дубль. Если разные, то это пакет, который отправлен заново.
-
Не оказывает какого-либо ощутимого влияния на коммутатор
Принимаем во внимание при настройке SPAN для копирования трафика:
-
Коммутатор не позволит видеть ошибки на физическом и канальном уровне модели OSI.
-
Необходимо контролировать пропускную способность порта получателя скопированного трафика, чтобы не перегрузить его и не начать терять пакеты. Rx и Tx полный дуплекс 1 Гбит/сек при 100% загрузке – это 2 Гбита трафика на SPAN порту.
-
Необходим свободный порт для получения скопированного трафика.
-
Ограниченное количество доступных SPAN сессий на коммутаторе.
-
Необходимо читать документацию на коммутаторы, так как есть ограничения по скорости копируемого трафика.
Данным материалом мы продолжаем серию статей о том, как правильно осуществлять захват трафика в сети для его анализа. В следующей статье мы остановимся на использовании пассивных и интеллектуальных ответвителей трафика. Ответвитель трафика наиболее предпочтительный метод для получения доступа к необходимым данным.
Если у вас есть интересные истории о настройках SPAN сессий, присылайте их на нашу почту: info@networkguru.ru. Будем рады услышать и обсудить!
См. также:
-
Какие проблемы в приложениях можно выявить, захватывая трафик одновременно в нескольких местах?
-
Планирование, развертывание и эксплуатация Microsoft Lync Server 2013. Личный опыт
Авторизуйтесь для этого