Мониторинг трафика через коммутатор

18 декабря 2024 г.

SPAN (Switched Port Analyzer) и RSPAN (Remote SPAN) - это инструменты, которые позволяют зеркалировать трафик как локально, так и удаленно, предоставляя информацию для дальнейшей диагностики проблем, выявления уязвимостей и оптимизации работы сети. В данной статье мы рассмотрим оба инструмента мониторинга и их реализацию на коммутаторах Kyland.

SPAN: Локальный мониторинг

SPAN позволяет копировать сетевой трафик с одного или нескольких портов коммутатора на другой порт этого же коммутатора, такой порт еще называют мониторинговым. Мониторинговый порт может быть подключен к сетевому анализатору (к примеру, ПО Wireshark), который позволяет детально изучать проходящий трафик, выявить аномалии и проблемы безопасности.

Из недостатков данного способа мониторинга можно назвать ограничение одним коммутатором. Поэтому при необходимости мониторинга большого объема трафика с использованием SPAN может потреблять значительное количество ресурсов.

Локальный мониторинг доступен на всех коммутаторах Kyland, а его настройка, на примере коммутатора SICOM3000A описана ниже.

Задача: необходимо проанализировать трафик на порту 1 коммутатора с сетевого анализатора, который расположен на порту 2.

Настройка

Вся настройка производится во вкладке Mirror -> Mirroring.

1. Включение функции зеркалирования портов.

2. Выбор типа зеркалирования. По задаче необходимо выполнить локальное зеркалирование, поэтому выбирается тип Mirror, но на коммутаторе также доступно и удаленное зеркалирование.

3. Выбор порта-источника в соответствии со схемой и зеркалирование всего трафика (both).

4. Выбор порта назначения в соответствии со схемой.

Если необходимо производить мониторинг определенных VLAN источника, следует их прописать в строке Source VLANs.

После завершения всех настроек необходимо сохранить конфигурацию в энергонезависимую память: Maintenance -> Save Current Configuration.

После выполнения данных настроек анализатор будет видеть весь передаваемый трафик с ПК, в том числе требуемый по задаче трафик между конечным оборудованием и ПК, что позволит произвести дальнейший анализ.

RSPAN: Удаленный мониторинг

В свою очередь RSPAN предоставляет возможность использовать в качестве источника и назначения трафика интерфейсы, находящиеся на разных коммутаторах, что значительно упрощает проведение анализа сетевого трафика в распределенных сетях без необходимости выполнять физическое подключение к определенному коммутатору, где находится целевое устройство.

Данный тип мониторинга трафика, помимо промышленных коммутаторов SICOM3000A, доступен еще и на ЦОД-коммутаторах Kyland.

Задача: необходимо проанализировать трафик на порту g0/1 коммутатора SW_1 с сетевого анализатора, который расположен на порту g0/2 коммутатора SW_3.

Настройка

1. Настройка коммутатора-источника SW_1. Количество сессий RSPAN на коммутаторах SICOM6648G может быть до 4. В соответствии со схемой назначаем портам роли - источник или получатель. Для порта-источника выбираем зеркалирование всего трафика (both), но также возможно указать и отдельные направления - на прием (RX) или передачу (TX). Порт получателя настраивается немного иначе, чем при работе SPAN.

2. Настройка промежуточного коммутатора SW_2. Необходимо создать на коммутаторе RSPAN VLAN 100, оба порта перевести в режим trunk, а на порту назначения отключить изучение MAC-адресов.

3. Настройка коммутатора-получателя SW_3. Настройка производится аналогично SW_1, только не требуется указывать RSPAN VLAN.

После выполнения данных настроек анализатор, подключенный к коммутатору SW_3, будет видеть весь передаваемый трафик с ПК, который подключен к коммутатору SW_1, что позволит произвести дальнейший анализ.