Захват трафика из нескольких подключений на коммутаторе

Рассмотрим настройку мониторинга трафика в нижней части этой страницы: https://www.ntop.org/pf_ring/port-mirror-vs-network-tap/

Две линии сетевого подключения подключаются к коммутатору, который объединяет трафик, а затем отправляет трафик на ПК для анализа. Однако я не уверен, как это будет работать при использовании нескольких подключений, поскольку один из описанных результатов заключается в том, что пакеты будут транслироваться во все остальные порты. В качестве примера мы хотим отслеживать 3 100-мегабитных соединения по медью и использовать пассивный кран. С каждого из соединений два кабеля перейдут к коммутатору, и будут заняты 6 портов. Затем коммутатор будет отображать все эти порты в одно (TX?) Соединение, например. к порту с адаптером SFP. Поскольку, согласно веб-сайту, ни один трафик с ПК мониторинга не должен быть отправлен обратно на коммутатор, просто должно быть достаточно соединения TX SFP с RX SFP на ПК. Согласно веб-сайту, альтернативой будет использование ethernet и сокращение полосы TX от ПК.

Но что произойдет с широковещательным трафиком из порта 1, например? порт 6? Будет ли порт 6 транслировать этот трафик снова на все другие разные порты, что приведет к широкомасштабному шторму? Если да, то какие будут соответствующие контрмеры? Можно ли отключить широковещательную рассылку и отправлять трафик только на конкретный порт SFP?

2 голоса | спросил JaneDoe 20 PMpFri, 20 Apr 2018 16:19:14 +030019Friday 2018, 16:19:14

2 ответа


2

В основном это зависит от вашего коммутатора.

например. на коммутаторах HP Provision, входящий и исходящий трафик контролируемых портов копируется в зеркальный порт. Когда вы контролируете как порт A, так и порт B, вы получаете A-> B или наоборот, два потока на зеркальном порту с некоторыми устройствами и один раз на других. Я не уверен в вещах, но вы, вероятно, получите копию с каждого контролируемого порта.

Поскольку пересылка выполняется только с входными кадрами, кадр, выходящий из зеркального порта, не будет умножен.

Обычно вы просто отслеживаете трафик на одном порту в обоих направлениях, и это не проблема.

При использовании пассивного крана крана является односторонним соединением (или, точнее, двумя такими соединениями), поэтому ничто не будет возвращаться назад. Проблема с объединением нескольких кранов через коммутатор заключается в том, что у коммутатора не будет порт назначения для почти любого кадра, поэтому все кадры, вероятно, будут залиты во все порты коммутатора (имитируют концентратор ретранслятора). узнает все выбранные MAC-адреса как принадлежащие одному из портов прослушивания - это может вызвать частую ситуацию, когда кадр, принятый на подключенном порту, перенаправляется (в никуда) другим каналом выстукивания. Вы не получите полный захват.

Кроме того, вы не должны подключать этот коммутатор обратно к контролируемой сети - это создало бы мост, вызывающий шторм и SAT-неустойчивость.

Резка стороны передачи (для двухпроцессорных соединений, таких как 10BASE-T, 100BASE-TX, 1000BASE-SX, ...) может не работать. Использование автоматического согласования требует, чтобы обе стороны видели друг друга, что не сработает. Вам нужно будет принудительно увеличить скорость и дуплекс на порту, чтобы соединение просто зависело от носителя. Это может не работать с современными сетевыми адаптерами (так как очень часто вы не можете деактивировать autoneg, просто ограничивайте его до одного режима скорости и дуплекса).

ответил Zac67 20 PMpFri, 20 Apr 2018 18:04:57 +030004Friday 2018, 18:04:57
1
  

Поскольку порты доступа не принимаются, а передаются только, коммутатор не знает, кто сидит за портами. Следствием этого является то, что он передает пакеты всем портам.

Неправильно. Коммутаторы узнают местоположение узлов, просматривая трафик, входящий в каждый порт. Если кадр с src MAC X поступает на порт 1, коммутатор записывает X = 1. Когда он видит любые последующие кадры с dst MAC X, этот кадр будет отправлен только на порт 1. Система монитора на порте 3 ничего не увидит.

Короче говоря, вы не можете использовать стандартный переключатель для агрегирования ответвлений или интервалов.

(Если у вашего переключателя есть ручка, чтобы отключить обучение Mac, тогда это сработает - потому что вы создали концентратор .)

ответил Ricky Beam 20 PMpFri, 20 Apr 2018 22:11:09 +030011Friday 2018, 22:11:09

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132