Зеркалирование
Зеркали́рование (англ. port mirroring, SPAN - аббр. от Switched Port Analyzer) — дублирование пакетов одного порта сетевого коммутатора (или VPN) на другом.
Большое количество управляемых сетевых коммутаторов позволяют дублировать трафик от одного или нескольких портов и/или ВЛВС (VLAN) на отдельно взятый порт[1]. В основном это применяется для мониторинга всего трафика в целях безопасности, либо оценки производительности/загрузки сетевого оборудования с применением аппаратных средств.
Также могут реализовываться в виртуальных коммутаторах в системах виртуализации[1].
Примеры
Пример создания зеркалирования трафика на коммутаторе Cisco 2950:
После этого трафик с портов 0/1-0/3 будет продублирован на порт 0/4 в ВЛВС 1 Просмотр текущих сессий зеркалирования может быть выполнен командой
show monitor session 1
Для настройки непосредственно зеркалирования необязательно использовать «encap ingress vlan 1». Это дополнение нужно, чтобы дать возможность оборудованию, типа Cisco IPS (ASA в режиме IPS), закрывать подозрительные соединения, а не только слушать трафик. По умолчанию, destination port в спан-сессии не принимает входящий трафик.
Для определения, какой именно (входящий/исходящий) трафик необходимо зеркалировать, используются варианты:
Только входящий:
Monitor session 1 source interface fastethernet 0/1 rx
Только исходящий:
Monitor session 1 source interface fastethernet 0/1 tx
Оба направления:
Monitor session 1 source interface fastethernet 0/1 both
См. также
- Network tap, сетевой отвод - аппаратная реализация зеркалирования[2]
Ссылки
- Cisco Systems - Catalyst Switched Port Analyzer (SPAN) Configuration Example
- Алексей Засецкий, Владимир Шельгов, Мониторинг сети ЦОД Журнал сетевых решений/LAN 2013 № 05
- Лекция 9: Анализ сетевого трафика как метод диагностики сети / Андрей Бражук, Сетевые средства Linux, 26.07.2011
- Как правильно подключиться к сети для захвата трафика? Часть 2. Захват на коммутаторе путем настройки зеркала или SPAN