Network Performance Monitoring (NPM) and Diagnostics | Application Performance Monitoring (APM) | Application-Aware Network Performance Monitoring (AA NPM) | Network Fault Management | Information Security | Network Security

Как правильно подключиться к сети для захвата трафика? Часть 2. Захват на коммутаторе путем настройки зеркала или SPAN

Захват трафика на коммутаторе путем настройки зеркала или SPAN

Второй по популярности способ захвата трафика в ИТ-среде - это настройка зеркала или SPAN сессии. После введения специальных команд коммутатор копирует весь трафик с порта источника и отправляет копию на порт, к которому мы можем подключить ноутбук с программой Wireshark (об ограничениях такого подключения читайте здесь) или специализированный сервер с установленным анализатором протоколов. Для корректной настройки данной функции рекомендуем обратиться к руководству пользователя коммутатора.

Данный метод удобен в нескольких сценариях, если:

  • необходимо захватить трафик между устройствами без прерывания самого сервиса.

  • необходимо понять источник проблемы, которая касается не только одного клиента или сервера, а целой группы. В данном случае мы можем настроить SPAN сессию Uplink порта и видеть весь трафик от клиентов к серверам и обратно. Но в этом случае мы не увидим общения между серверами, если приложение многоуровневое.

  • необходимо понять источник проблемы, которая касается группы серверов или пользователей. Если мы можем настроить сессию для целой виртуальной локальной сети (VLAN), то мы будем видеть в отличии от первого случая ещё и траффик между серверами, если они входят в этот же VLAN. Но при таком варианте исполнения SPAN сессии мы можем видеть задваивание трафика.

В современных сетях для повышения отказоустойчивости серверов их подключают к сети двумя сетевыми адаптерами и они сгруппированы по любому из стандартов (IEEE 802.3ad или IEEE 802.1ax LAСP). В случае если мы решаем проблему с таким сервером, то зеркалировать необходимо оба порта на коммутаторе, к которому он подключен. В случае если сервер подключен к разным коммутаторам, то тогда необходимо использовать аппаратный анализатор с несколькими интерфейсами и подключать его к двум SPAN портам на разных коммутаторах.

Преимущества SPAN для копирования трафика:

Преимущества SPAN для копирования трафика

  • Очень легко настроить

Часто это делается удаленно, а то и с помощью RSPAN, если есть такая возможность.

  • Не оказывается абсолютно никакого влияния на трафик и связь между устройствами

Надо быть аккуратным при настройке SPAN на Cisco. Тут нет «защиты от дурака» и можно «положить» порт.

  • Можно получить копию трафика с нескольких источников

На недорогих моделях коммутаторов в документации можно найти возможность копирования хоть всех 23 портов в один, но помните о загрузке интерфейсов, которые вы копируете и пропускную способность порта, к которому подключаете анализатор. Ноутбук с гиговой картой полезен, только если загрузка на выходе будет 10-15% от гигабита.

  • Необходимо видеть траффик всего VLAN

Помним только еще раз, что в этом случае трафик может задваиваться и надо быть внимательным при анализе TCP retransmissions. Следует обращать внимание на SEQ номер пакета и IP ID. Если они одинаковые, то это дубль. Если разные, то это пакет, который отправлен заново.

  • Не оказывает какого-либо ощутимого влияния на коммутатор

Принимаем во внимание при настройке SPAN для копирования трафика:

  • Коммутатор не позволит видеть ошибки на физическом и канальном уровне модели OSI.

  • Необходимо контролировать пропускную способность порта получателя скопированного трафика, чтобы не перегрузить его и не начать терять пакеты. Rx и Tx полный дуплекс 1 Гбит/сек при 100% загрузке – это 2 Гбита трафика на SPAN порту.

  • Необходим свободный порт для получения скопированного трафика.

  • Ограниченное количество доступных SPAN сессий на коммутаторе.

  • Необходимо читать документацию на коммутаторы, так как есть ограничения по скорости копируемого трафика.

Данным материалом мы продолжаем серию статей о том, как правильно осуществлять захват трафика в сети для его анализа. В следующей статье мы остановимся на использовании пассивных и интеллектуальных ответвителей трафика. Ответвитель трафика наиболее предпочтительный метод для получения доступа к необходимым данным.

Если у вас есть интересные истории о настройках SPAN сессий, присылайте их на нашу почту: info@networkguru.ru. Будем рады услышать и обсудить!

См. также:

 

Комментарии
Тут пока ничего нет, но Вы можете быть первым!
Авторизуйтесь для этого
Заказать звонок

- Email
- Confirm
Имя *
Телефон *
Комментарий
Согласие на отправку персональных данных *

* - Обязательное для заполнения