Spegling

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 1 januari 2019; kontroller kräver 4 redigeringar .

Mirroring ( eng.  port mirroring , SPAN - förkortning från Switched Port Analyzer ) - duplicering av paket från en port på en nätverksswitch (eller VPN ) till en annan.

Ett stort antal hanterade nätverksväxlar låter dig duplicera trafik från en eller flera portar och/eller VLAN (VLAN) till en enda port [1] . Detta används främst för att övervaka all trafik i säkerhetssyfte, eller för att bedöma prestanda/belastning av nätverksutrustning som använder hårdvara.

De kan också implementeras i virtuella switchar i virtualiseringssystem [1] .

Exempel

Ett exempel på att skapa trafikspegling på en Cisco 2950-switch:

Efter det kommer trafik från portarna 0/1-0/3 att dupliceras till port 0/4 i VLAN 1 Visning av aktuella speglingssessioner kan utföras med kommandot

visa monitorsession 1


Det är inte nödvändigt att använda "encap ingress vlan 1" för att konfigurera direktspegling. Detta tillägg behövs för att utrustning som Cisco IPS (ASA i IPS-läge) ska kunna stänga misstänkta anslutningar, och inte bara lyssna på trafik. Som standard accepterar inte målporten i en spansession inkommande trafik. För att avgöra vilken (inkommande/utgående) trafik som behöver speglas, används följande alternativ:

Endast inkommande:

Övervaka session 1 källgränssnitt fastethernet 0/1 rx

Endast utgående:

Övervaka session 1 källgränssnitt fastethernet 0/1 tx

Båda riktningarna:

Övervaka session 1 källgränssnitt fastethernet 0/1 båda

Se även

Anteckningar

  1. 1 2 SwitchReference - The Wireshark Wiki . Hämtad 18 november 2017. Arkiverad från originalet 18 juli 2017.
  2. Port Mirror vs Network Tap-ntop . Hämtad 18 november 2017. Arkiverad från originalet 1 december 2017.

Länkar