Меню

Настроить один порт как зеркало

Зеркалирование портов в MikroTik

Дата: 22.06.2016

Зеркалирование портов — это (аппаратная) функция коммутатора (или маршрутизатора со встроенным чипом коммутации). Поэтому она доступна не во всех моделях MikroTik. Актуальную информацию по этому поводу можно почерпнуть на той же Wiki-странице — достаточно посмотреть в блок-схеме устройства (доступны на нашем сайте и на сайте производителя) наличие чипа коммутации и его модель, затем в таблице в Wiki уточнить поддержку им функции зеркалирования.

Разберём пару примеров.

1. В ультрабюджетной точке доступа hAP lite (RB941-2nD) имеется чип коммутации Atheros 8227 (порты ether1-ether4), который, согласно таблице на странице Wiki, поддерживает функцию зеркалирования портов. Её можно настроить, к примеру, следующим образом:

2. В маршрутизаторе CCR1036-12G-4S нет чипов коммутации — это видно на блок-схеме. Все порты подключены напрямую к процессору, что является одним из преимуществ такого класса устройств (для их основной задачи — маршрутизации), поэтому функция зеркалирования портов недоступна.

В линейке CCR чип коммутации (и, соответственно, эта функция) есть только в моделях CCR1009-8G-1S-1S+ (ether1-ether4), CCR1009-8G-1S-1S+PC (ether1-ether4), CCR1009-8G-1S-PC (ether1ether4) (на 22.06.2016).

Отдельно стоят устройства линейки CRS (Cloud Router Switch) — они обладают широкими возможностями коммутации, в том числе функцией зеркалирования. Настройка производится несколько иначе. Подробности указаны на соответствующей Wiki-странице CRS_features, примеры настройки (Port Based, VLAN Based, MAC Based) — на CRS_examples.

Источник

Лабораторная работа №14. Зеркалирование портов (Port Mirroring)

Коммутаторы улучшают производительность и надёжность сети, передавая трафик только на те порты, которым он предназначен. При этом анализ критичных данных – сложная задача, поскольку инструментальные средства сетевого анализа физически изолированы от анализируемого трафика.

В коммутаторах D-Link реализована поддержка функции Port Mirroring (Зеркалирование портов), которая полезна администраторам для мониторинга и поиска неисправностей в сети.

Функция Port Mirroring позволяет отображать (копировать) кадры, принимаемые в порт-источник (Source port) и отправляемые на целевой порт (Target port) коммутатора, к которому подключено устройство мониторинга с целью анализа проходящих через интересующий порт-источник пакетов.

Цель: изучить настройку функции зеркалирования портов.

Оборудование (на 1 рабочее место):

Коммутатор DES-3528 или DES-3810-28 1 шт.

Рабочая станция 3 шт.

Консольный кабель 1 шт.

Кабель Ethernet 3 шт.

Схема 14:

Укажите порты, трафик которых будет пересылаться на целевой порт 10:

config mirror port 10 add source ports 1,5 both

Включите функцию зеркалирования портов глобально в коммутаторе:

Проверьте настройки функции:

Внимание: целевой порт и порт-источник должны принадлежать одной VLAN и иметь одинаковую скорость работы. В том случае, если скорость порта-источника будет выше скорости целевого порта, то коммутатор снизит скорость порта-источника до скорости работы целевого порта. Также целевой порт не может быть членом группы агрегированных каналов.

Запустите на рабочей станции ПК1 анализатор протоколов Wireshark.

Выполните тестирование соединения между ПК 2 и ПК 3 и наоборот командой ping.

Захватите и проанализируйте пакеты с помощью анализатора протоколов.

Что вы наблюдаете? Запишите.

Отключите функцию зеркалирования портов:

Проверьте настройки функции:

Выполните тестирование соединения между ПК 2 и ПК 3 и наоборот командой ping.

Захватите и проанализируйте пакеты с помощью анализатора протоколов.

Что вы наблюдаете теперь? Объясните, почему так происходит?

Лабораторная работа №15. Итоговая самостоятельная работа

В предыдущих лабораторных работах была рассмотрена настройка и функционирование основных сетевых протоколов и функций, используемых в большинстве современных сетей. Данная лабораторная работа предполагает самостоятельное создание учебной сети, имитирующей локальную сеть реального предприятия и обеспечивающей решение широкого круга задач.

При выполнении работы, в учебной сети должен быть настроен один маршрутизирующий коммутатор.

Цель: самостоятельно разработать конфигурацию сложной сети. Собрать схему, настроить и исследовать совместное использование различных протоколов и функций.

Читайте также:  Как настроить прицел овервотч

Оборудование (на 10 рабочих мест):

Коммутатор DES-3528 8 шт.

Коммутатор DES-3810-28 2 шт.

Рабочая станция 10 шт.

Консольный кабель 10 шт.

Кабель Ethernet 25 шт.

Перед выполнением задания необходимо сбросить настройки коммутаторов к заводским настройкам по умолчанию командой:

Подготовительная работа

В работе будут использованы следующие протоколы и функции:

Прежде чем начать строительство сети, необходимо провести небольшое проектирование.

Схема 15:

Модели коммутаторов умышленно не обозначены на схеме. Местоположение каждого коммутатора из используемых для выполнения работы необходимо определить самостоятельно. В роли серверов можно использовать две любые рабочие станции, например, ПК1 и ПК2.

Для повышения отказоустойчивости в топологии сети заложены избыточные каналы связи. Предполагается создание агрегированных каналов связи.

К каждому коммутатору необходимо подключить один ПК (порт подключения выбирается самостоятельно). Каждый применяемый в схеме ПК должен быть размещён в своём индивидуальном VLAN.

Устройства во всех VLAN должны иметь возможность обмениваться данными через маршрутизирующий коммутатор. Необходимо обеспечить приоритизацию входящих и исходящих пакетов на серверах №1 и №2.

Необходимо заблокировать любой трафик между ПК3-ПК6 и сервером №1, между ПК7-ПК10 и сервером №2.

В процессе проектирования и настройки сети предполагается совместная работа всех рабочих групп с целью согласования значений сетевых параметров, требуемых для организации связи между соседними коммутаторами. Укажите согласованные параметры на схеме сети.

Для дальнейшей работы необходимо:

1. Распределить имеющиеся коммутаторы по схеме так, чтобы получить сеть с

максимальной пропускной способностью.

2. Выбрать номера портов коммутаторов для соединения друг с другом.

3. Выбрать номера портов коммутаторов для подключения ПК.

4. Определить очередность настройки протоколов и функций, очередность

5. Определить, какие порты, в каких VLAN должны быть настроены.

6. Разработать план IP-адресации для всех VLAN, выбрать адреса для

IP-интерфейсов маршрутизирующего коммутатора.

7. Выбрать в качестве корневого моста для протокола RSTP такой коммутатор,

который обеспечит построение топологии с максимальной производительностью сети.

8. Определить порты, на которых необходимо настроить приоритезацию.

9. Разработать ACL.

10. Выбрать порты, на которых будет включена функция LBD.

11. Определить пороговые значения для функции Safeguard Engine.

Выполнение работы

Ввиду сложности и объёмности работы, а так же зависимости результатов одной отдельной группы от результатов работы всех остальных групп, рекомендуется разделить лабораторную работу на этапы, согласовать очерёдность их выполнения и проведения промежуточных тестов. Это позволит своевременно обнаружить ошибки в проекте сети и выполненных конфигурациях.

Ожидаемый результат

1. Связь между всеми ПК и серверами должна быть только через маршрутизирующий коммутатор.

2. В созданной сети не должно быть активных коммутационных петель.

3. Любые коммутационные петли, появляющиеся в сети, должны автоматически блокироваться.

4. Корневой мост в RSTP должен быть назначен так, чтобы активная топология обеспечивала максимальную производительность сети.

5. Должны быть активизированы функции безопасности протокола RSTP и защиты от образования петель.

6. Настроенная приоритизация должна обеспечивать беспрепятственное прохождение определенных видов трафика через любые сетевые интерфейсы.

7. Запрещённый трафик не должен достигать получателей.

Зарисуйте получившуюся топологию RSTP, указав на ней корневой мост, все активные интерфейсы и их скорости:

Какой командой (командами) можно проверить, что данные между ПК и серверами передаются именно через маршрутизатор?

На каких устройствах, и какими командами можно проверить, что данные между ПК и серверами передаются именно через маршрутизирующий коммутатор?

Проверьте, блокируется ли запрещённый для передачи трафик. Как можно проверить, на каком именно коммутаторе происходит блокировка?

Источник



Настроить один порт как зеркало

В Windows Server 2012 Hyper-V появилась новая функция — зеркалирование портов (port mirroring), позволяющая мониторить трафик виртуальных машин без необходимости захватывать трафик непосредственно внутри самой гостевой ОС. По сути, эта функция то же самое, что и аппаратный port mirroring, но на уровне виртуального коммутатора Hyper-V. Зеркалирование портов можно использовать в системах на базе Hyper-V для поиска неисправностей в сети, тестирования, мониторинга, анализа сетевого трафика и перенаправления трафика на анализ в IDS системы (системы обнаружения вторжений). Попробуем настроить зеркалирование трафика в Hyper-V 2012R2 на конкретном примере.

Читайте также:  Как настроить версию по модуля

Системные требования для организации мирроринга портов в Hyper-V 2012R2:
Система с Windows Server 2012 Hyper-V и административного доступа к ней
Как минимум один виртуальный коммутатор (vSwitch)
Как минимум две виртуальные машины: трафик первой мы будет дублировать на вторую

Настройка зеркалирования портов с помощью GUI

Откройте консоль управления Hyper-V Manager
Перейдите в настройки виртуальной машины, трафик которой будем зеркалировать (Settings)

Как настроить зеркалирование портов в Hyper-V 2012R2-01

В окне параметров виртуальной машины найдите сетевой адаптер, на котором необходимо включить захват трафика и перейдите в раздел расширенных настроек (Advanced Features)
В разделе Port mirroring найдите параметр Mirroring Mode и измените его значение на Source (тем самым мы на уровне виртуального коммутатора Hyper-V включим зеркалирование данного порта)

Как настроить зеркалирование портов в Hyper-V 2012R2-02

Если в вашей конфигурации Hyper-V используется более одного виртуального коммутатора, необходимо запомнить его имя (в нашем примере это Hyper-V-Guests).

Следующий этап – настройка виртуальной машины, на которую будет дублироваться трафик с первой. Для удобства анализа сетевого трафика рекомендуется в данную машину добавить отдельную виртуальную сетевую карту (vNIC), подключенную к тому же виртуальному коммутатору. Выделенная карточка позволяет получить максимально полный дамп сетевого трафика за счет отключения ненужных служб и протоколов в гостевой ОС (подробнее об этом ниже). Для этого:

Погасите виртуальную машину, которая будет выступать в качестве приемника «захватываемого» трафика
Перейдите в ее настройки (Settings) и добавьте новое оборудование (Add Hardware) типа Network Adapter
Если используется несколько коммутаторов, включите новую сетевую карту именно в тот, в котором находилась первая виртуальная машина (коммутатор Hyper-V-Guests). В расширенных свойствах новой сетевой карты в разделе Port mirroring укажите, что сетевая карта будет выступать в качестве приемника сетевого трафика Mirroring Mode – Destination.

Как настроить зеркалирование портов в Hyper-V 2012R2-03

Включите виртуальную машину

Далее перейдем к настройке зеркалирования в гостевой Windows, являющейся приемником трафика.
Зайдите на машину через консоль Hyper-V или по rdp.
В панели управления сетевыми подключениями найдите добавленную ранее сетевую карту и для упрощения дальнейшей идентификации переименуйте ее (например, в Hyper-V-Guests-Mirror-Port).
Откройте свойства данного сетевого подключения и отключите все протоколы и службы. Тем самым мы добьемся «чистоты» захватываемого трафика, который ничем не фильтруется и не ограничивается, поступая в точно таком же виде, в каком он попадает на mirror порт.

Как настроить зеркалирование портов в Hyper-V 2012R2-04

Далее можно переходить непосредственно к работе с перенаправленным трафиком: это может быть некая IDS система или система захвата и анализа сетевого трафика (Packet Capture), например Microsoft Network Monitor, Message Analyzer, Wireshark или т.п.

Как настроить зеркалирование портов в Hyper-V 2012R2-05

Port Mirroring с помощью Powershell

В Windows Server 2012 Hyper-V управлять настройками зеркалирования трафика можно и с помощью Powershell.

В следующем примере мы с помощью Powershell включим port mirroring на виртуальной машине с именем VMWin2008Source и направим трафик на виртуальную машину с именем VMWin2008Monitor:
Set-VMNetworkAdapter –VMName VMWin2008Source –PortMirroring Source
Set-VMNetworkAdapter –VMName VMWin2008Monitor –PortMirroring Destination

Читайте также:  Как настроить иконку изображения

Информация: Кроме того, полезными могут быть следующе команды:
Add-VMNetworkAdapter – добавить новый сетевой адаптер в виртуальную машину
Get-NetAdapter – получить список сетевых карт (NIC)
Rename-Netadapter – переименовать сетевую карту

Но есть и небольшая ложка дегтя – порт мирроринг работает в пределах только одного сервера Hyper-V (который, кстати, может работать непосредственно с USB флешки). Это означает, что если виртуальная машина, трафик которой зеркалируется, смигрировала на другой сервер кластера Hyper-V, то зеркалирование трафика перестает работать (на втором хосте также придется настроить отдельную машину для захвата трафика).

Источник

Зеркалирование трафика

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Зеркалирование трафика — функция коммутатора, предназначенная для перенаправления трафика с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование).

  • при поиске неисправностей, для того чтобы проанализировать трафик с помощью анализатора,
  • для перенаправления трафика на анализ системе обнаружения вторжений (IDS).

Содержание

[править] Зеркалирование трафика на коммутаторах HP ProCurve

[править] Локальное зеркалирование трафика на коммутаторах HP ProCurve

Порт на котором находится DHCP-сервер и порт на который зеркалируется трафик должны быть в одном VLAN.

Указание порта на который будет зеркалироваться трафик:

Настройка интерфейса на котором находится DHCP-сервер:

[править] Удаленное зеркалирование трафика на коммутаторах HP ProCurve

Удаленное зеркалирование предполагает передачу трафика через несколько коммутаторов.

Может ли зеркалированный трафик передаваться через устройства, которые не поддерживают удаленное зеркалирование?

Для того чтобы настроить удаленное зеркалирование, необходимо выполнить следующие шаги:

  1. Настройка поддержки jumbo фреймов
  2. Настройка сессии зеркалирования на коммутаторе получателе
  3. Настройка сессии зеркалирования на коммутаторе источнике
  4. Настройка источников зеркалированного трафика

[править] Настройка поддержки jumbo фреймов

При передаче зеркалированного трафика коммутатор добавляет 54 байта заголовка к исходному фрейму. Это может привести к тому, что коммутатор отбросит фрейм, размер которого превышает стандартный Ethernet фрейм.

Для того чтобы зеркалированный трафик дошел до коммутатора получателя необходимо настроить поддержку jumbo фреймов на:

  • коммутаторе источнике;
  • промежуточных коммутаторах на пути передачи зеркалированного трафика;
  • коммутаторе получателе.

Настройка поддержки jumbo фреймов:

При включенной поддержке jumbo фреймов, коммутатор может передавать фреймы размером до 9220 байт. Только порты работающие на скорости 1Гб или более могут поддерживать jumbo фреймы.

[править] Настройка сессии зеркалирования на коммутаторе получателе

  • — IP-адрес VLAN или подсети в которой зеркалированный трафик входит или выходит из коммутатора источника.
  • — уникальный, не использующийся UDP-порт, который коммутаторы используют для передачи зеркалированного трафика.
  • — IP-адрес VLAN или подсети в которой зеркалированный трафик входит или выходит из коммутатора получателя. Исходящий порт на коммутаторе получателе должен быть в этом VLAN или подсети.

— номер порта на коммутаторе получателе, к которому присоединено устройство получающее зеркалированный трафик (например, компьютер с анализатором трафика).

[править] Настройка сессии зеркалирования на коммутаторе источнике

[править] Настройка источников зеркалированного трафика

Источниками трафика могут быть:

  • порт,
  • транк,
  • порты в mesh,
  • VLAN,
  • трафик выделенный ACL.

[править] Пример конфигурации коммутаторов

[править] Зеркалирование трафика на коммутаторах Cisco

Настройка источника трафика:

Настройка получателя трафика (порт, к которому подключен анализатор трафика):

[править] Удаленное зеркалирование (RSPAN)

Настройка удаленного зеркалирования на коммутаторе с которого отправляется трафик:

Настройка удаленного зеркалирования на коммутаторе который получет трафик:

Источник