Qu’est-ce que la mise en miroir des ports ? Le guide ultime
Les logiciels modernes de surveillance de réseau comprennent des outils sophistiqués, tels que des représentations graphiques et des outils analytiques. Cependant, il y aura des moments où vous devrez revenir aux techniques d'analyse pratiques de capture des paquets lorsqu'ils voyagent sur le réseau. La mise en miroir des ports est une technique de capture de paquets.
La capture de paquets nécessite un élément matériel, appelé TAP (tester le point d'accès ). Heureusement, vous disposez déjà d’un matériel qui canalise tout votre trafic réseau : des commutateurs et des hubs. Vous pouvez exploiter les capacités de ces appareils pour éliminer le besoin d’acheter un capteur en ligne séparé ou un répartiteur de trafic. La technique d’utilisation de votre équipement réseau pour capter le trafic s’appelle « mise en miroir des ports .» Ce guide vous donnera toutes les informations dont vous avez besoin pour mettre en œuvre la mise en miroir des ports sur votre réseau.
>>> Accédez à la liste des outils de surveillance recommandés ci-dessous <<<
Changer le traitement du trafic
Un très petit réseau n’aurait qu’un seul commutateur ou hub. Cependant, il ne faut pas beaucoup de croissance du réseau pour créer le besoin d’un autre commutateur. Lorsque vous disposez de plusieurs commutateurs sur votre réseau, ils déplacent le trafic sans acheminer tous les paquets via un point central.
Cette configuration décentralisée signifie que vous ne pouvez pas sélectionner un seul commutateur sur le réseau pour la collecte de données si vous le souhaitez.exemple de traficà partir de toutes vos données. En effet, les autres commutateurs de votre réseau échangeront entre eux du trafic qui n’a pas besoin d’être acheminé via l’appareil de votre choix. Cependant, ce problème se poserait également si vous choisissiez de mettre en œuvre unROBINETcomme outil de capture de paquets.
Lors de la capture du trafic réseau, vous devez décider si vos besoins peuvent être satisfaits par les paquets passant par un point, ou si vous devez voir tout le comportement du trafic réseau sur l'ensemble du réseau en même temps.
En réalité, il est plus probable que vous deviez regarder le trafic par lien. Dans un tel scénario, vous essaierez probablement de comprendre pourquoi un lien de votre réseau est surchargé et quels types de trafic vous pourriez réacheminer ou limiter afin de résoudre le problème.
Même si vous voudrez peut-être voir tout le trafic réseau , capturer tout cela en même temps devient vite un objectif trop ambitieux. Si vous pouviez capturer tous les paquets entrants et sortants, vous seriez submergé par toutes les données collectées.
Afin d'évaluer correctement les performances de votre réseau, vous allez de toute façon classer tout le trafic par périphérique réseau, il est donc préférable d'utiliser la mise en miroir des ports périphérique par périphérique. D'autres outils sont mieux adaptés pour vous offrir une visibilité sur l'ensemble du réseau. Dans ces cas-là, il serait préférable d’utiliser NetFlow pour échantillonner simultanément les données de plusieurs points du réseau. Vous auriez besoin d'un outil sophistiqué d'analyse du trafic réseau pourregrouper et résumertoutes les données de trafic.
Qu’est-ce que la mise en miroir des ports ?
La mise en miroir des ports offre une méthode de duplication du trafic réseau et de direction de la copie vers un magasin de données.
Dans un répartiteur, vous utilisez un appareil quiduplique tout le traficavec une copie continuant vers ses destinations prévues et l'autre s'affichant sur un écran ou allant vers un fichier. Avec la mise en miroir de ports, vous utilisez exactement la même technique, mais vous modifiez les paramètres de votre commutateur pour créer une fonction de duplication de données, éliminant ainsi le besoin d'installer un périphérique physique distinct.
Essentiellement, une instruction de mise en miroir de port indique au commutateur d'envoyer une copie du trafic vers un port spécifique. La méthodologie comprend une gamme d'options, vous permettant de choisissez un trafic spécifique provenant de ou voyageant vers des adresses IP données, ou choisissant de copier tout le trafic. Une fois que le commutateur a réparti le trafic requis, il ne vous reste plus qu'à collecter les paquets qui sont envoyés au port désigné comme point de livraison des données.
Commutateurs et hubs
UN lien , ou ' houblon ', sur un réseau, c'est la connexion entre deux appareils. Le lien pourrait être le dernier tronçon qui relie un point final , ou cela peut être entre deux Périphériques réseau . Il y aura toujours un périphérique réseau à au moins une extrémité de la liaison. Pour le trafic au sein d'un réseau, cet appareil sera soit un changer ou un moyeu .
Un hub transmet tout le trafic qu’il reçoit sur l’une de ses connexions vers toutes les autres. Il ne prête pas attention à l’adresse de destination des paquets entrants. Un commutateur est plus sélectif car ilexamine les en-têtes des paquetset transmet chacun au port qu'il a répertorié pour cette adresse. Le câble connecté à ce port de destination peut ne pas conduire au point de terminaison identifié par cette adresse. S'il existe un autre périphérique réseau entre ce commutateur et le point final, le câble qui reçoit les données en mouvement mènera à ce périphérique intermédiaire, qui, à son tour, les transmettra.
Heureusement, pour la capture de paquets, les commutateurs et les hubs n’établissent pas de liens physiques temporaires entre les ports source et de destination d’une connexion. Plutôt, l'appareil collecte les données entrantes . Alors crée une copie exacte de ces données et l'applique au port de destination. Dans le cas des hubs, cette action crée une duplication . Par exemple, si un hub reçoit un paquet sur l’un de ses dix ports, il enverra ce même paquet sur l’ensemble de ses neuf autres ports.
Ainsi, un paquet devient neuf copies. Un commutateur fait exactement la même chose avec les paquets marqués pour diffuser . Le trafic qui se dirige vers une destination est uniquement copié sur le port répertorié par le commutateur pour cette adresse. Il ne reste donc qu’une seule instance de ces données lorsqu’elles quittent le commutateur.
La duplication des paquets effectuée par les commutateurs et les routeurs est exactement la même que le travail effectué par un répartiteur de trafic.
Mise en miroir des ports avec un hub
Comme vous pouvez le voir dans les descriptions du fonctionnement des commutateurs et des hubs, un hub duplique automatiquement tout le trafic qu'il reçoit . Ainsi, si vous n’avez que des hubs sur votre réseau, il est très simple d’obtenir une copie de tout le trafic qui y circule. Le hub envoie tout le trafic à tous les points de terminaison. Si ce trafic doit transiter par d’autres périphériques réseau pour atteindre certains points de terminaison du réseau, cela ne bloquera pas l’accès du trafic à ces points de terminaison si les périphériques intermédiaires sont également des hubs.
Comme votre propre ordinateur est connecté à l'un des hubs du réseau, tout le trafic du réseau sera automatiquement envoyé vers votre ordinateur sans avoir à modifier les paramètres du hub. Cependant, votre ordinateur ne lira pas tout ce trafic.
Le firmware de la carte d’interface réseau de votre ordinateur possède un identifiant codé en dur : c’est le Adresse Mac , Qui veut dire ' contrôleur d'accès aux médias .» La carte réseau ne réagira qu'aux messages entrants contenant cette adresse MAC. Tous les autres seront ignorés. Considérez la carte réseau comme le portier d'un club privé. Toute personne arrivant doit donner un mot de passe pour pouvoir entrer ; ceux qui n’ont pas le mot de passe ne peuvent pas entrer. L'adresse MAC est ce mot de passe.
Si vous souhaitez voir tout le trafic sur un réseau entièrement équipé de hubs, tout ce que vous avez à faire est de dire à la carte réseau de supprimer l'exigence de sa propre adresse MAC. Dans la terminologie réseau, ce paramètre est appelé « mode promiscuité .»
Les puristes diront que mettre votre carte réseau en mode promiscuité n'est pas une « mise en miroir de ports », car votre carte réseau ne duplique pas de paquets. Ils disent que la carte supprime simplement l'exigence de son adresse MAC afin de reconnaître les paquets arrivant et de les transmettre aux applications de votre ordinateur.
En réalité, la « mise en miroir des ports sur un hub » est un concept redondant car le hub duplique tous les paquets par défaut. Généralement, le terme « mise en miroir de ports » s’applique uniquement aux commutateurs.
Mise en miroir des ports avec un switch
Lorsqu'un commutateur reçoit un paquet, il fait référence à l'adresse de destination dans l'en-tête du datagramme. Il crée ensuite une copie du paquet et envoie cette nouvelle version sur le numéro de port associé à cette adresse MAC.
Dans les opérations standard, appelées « monodiffusion », une seule copie est faite d'un message entrant et celle-ci n'est envoyée que sur un seul port. Les commutateurs sont capables de dupliquer le trafic , cependant. Par exemple, lorsque le commutateur reçoit un message de diffusion, il effectue le même nombre de copies que son nombre de ports actifs et envoie une copie sur chacun de ces ports. Les commutateurs ont également ' multidiffusion » capacités, qui les obligent à créer un nombre limité de copies.
Comme tous les commutateurs sont programmés pour gérer les messages de diffusion et de multidiffusion, la tâche de duplication des paquets ne pose pas de problème à leur matériel. Conceptuellement, faire en sorte que votre commutateur effectue une duplication de paquets nécessite très peu de tâches :
- Le commutateur est invité à faire une copie de tout le trafic.
- Le commutateur envoie tout le trafic vers sa destination prévue.
- Le commutateur envoie une copie de tout le trafic à un port désigné.
- Vous collectez tout le trafic au port désigné.
La duplication de tous les paquets transitant par un commutateur est une tâche très simple et ne nécessite pas beaucoup d'effort de traitement supplémentaire de la part de l'appareil. Si vous souhaitez examiner les paquets transitant par un commutateur spécifique, il vous suffit de lui dire de dupliquer tout ce trafic et de l'envoyer vers un port, ainsi que de lui dire de associez l'adresse MAC de votre ordinateur à ce numéro de port désigné . Vous devez ensuite mettre la carte réseau de votre ordinateur en mode promiscuité pour vous assurer qu'il captera tout le trafic et pas seulement les datagrammes portant son adresse MAC.
Dupliquer tout le trafic réseau
La solution ci-dessus est une version simplifiée de ce qui se passe réellement dans un commutateur lorsqu'il effectue la mise en miroir des ports. En réalité, la tâche est un peu plus compliquée. Par exemple, il serait peu pratique de devoir connecter votre ordinateur directement avec un câble à un switch afin de capter tout son trafic. Autrefois, c'était une exigence des analyseurs LAN, et une connexion spécifique à un emplacement est toujours une caractéristique clé des TAP réseau.
Grâce à la technologie de routage, la mise en miroir des ports moderne est plus sophistiquée. Vous pouvez examiner le trafic passant par n'importe quel commutateur n'importe où dans le monde. , à condition que ce commutateur soit accessible depuis votre emplacement, soit via le réseau, soit via Internet. Vous n'avez pas besoin de connecter physiquement votre ordinateur à ce commutateur. Lorsque vous voyagez sur Internet, la mise en miroir des ports devient un peu plus compliquée car les datagrammes nécessitent un packaging supplémentaire au niveau de la couche réseau Internet. Pour ce guide, nous traiterons uniquement de la mise en miroir des ports à partir d'un réseau.
La plupart des commutateurs ont la capacité de transmettre des paquets capturés sur un réseau, transitant par d'autres périphériques réseau. Chaque fabricant de commutateurs produit son propre firmware pour ses commutateurs et le menu de la console de gestion est différent pour chacun. Pour les besoins de ce guide, nous nous concentrerons sur les méthodes utilisées par Systèmes Cisco pour rendre la mise en miroir des ports disponible sur ses commutateurs réseau.
À propos des commutateurs Cisco SPAN
La fonction de mise en miroir des ports du commutateur Cisco s'appelle PORTÉE . Cela représente Analyseur de ports commutés . SPAN vous offre toutes les fonctionnalités nécessaires pour capturer des paquets sur n'importe quel commutateur Cisco, que vous soyez directement connecté ou non à ce commutateur. Cependant, vous devez disposer d'un port libre sur un commutateur qui peut devenir le point de collecte des paquets dupliqués.
Dans la terminologie SPAN, un « port source » est un port à partir duquel le trafic est dupliqué. Le ' le port de destination » est l'adresse du port auquel les paquets dupliqués sont envoyés pour être collectés. Faites très attention à ne pas oublier ces termes distinctifs, car vous serez tenté de vous référer à votre terminologie réseau traditionnelle lorsque vous examinerez des paquets allant d'un port source à un port de destination.
Le système SPAN est capable de surveiller un ou plusieurs ports. Il est également possible d'identifier la direction du trafic à ce port, en vous donnant uniquement les entrées, uniquement les sorties, ou les deux. Cependant, si vous examinez plusieurs ports à la fois, ils doivent tous faire l’objet d’une surveillance dans le même sens de flux de trafic.
Vous ne pouvez pas spécifier les ports de départ et de destination à capturer (c'est-à-dire obtenir uniquement le trafic arrivant à un port spécifique qui part d'un port spécifique). Si c'est la fonctionnalité que vous recherchez, choisissez le port d'entrée et capturez-y tous les paquets reçus. Vous pouvez ensuite filtrer tout le trafic sauf celui qui part sur le port d'intérêt transmis une fois que vous avez toutes les données dans votre logiciel d'analyse .
Au cours d'une session, vous pouvez soit surveiller les ports, soit surveiller VLAN – vous ne pouvez pas couvrir les deux types de ports à la fois.
Modes Cisco SPAN
Cisco SPAN vous permet de capturer des paquets via trois modes :
- PORTÉE locale : Surveillez le trafic sur un switch auquel vous êtes directement connecté.
- SPAN distant (RSPAN) : Surveillez le trafic sur un port distant, mais envoyez les paquets capturés à un port de votre commutateur local pour les collecter.
- SPAN distant encapsulé (ERSPAN) : Le même processus que RSPAN sauf que le transfert des paquets en miroir vers votre commutateur local est effectué par encapsulation GRE.
L'option RSPAN n'est pas disponible sur les commutateurs Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 et 2900XL.
Disponibilité de Cisco SPAN
SPAN est disponible sur tous les modèles de commutateurs Cisco suivants :
Catalyst Express série 500/520
- Catalyseur série 1900
- Catalyseur série 2900XL
- Catalyseur série 2940
- Catalyseur 2948G-L2, 2948G-GE-TX, 2980G-A
- Catalyseur série 2950
- Catalyseur série 2955
- Catalyseur série 2960
- Catalyseur série 2970
- Série Catalyst 3500 XL
- Catalyseur série 3550
- Catalyseur série 3560/3560E/3650X
- Catalyseur série 3750/3750E/3750X
- Série Catalyst 3750 Metro
- Catalyseur série 4500/4000
- Catalyseur série 4900
- Catalyseur série 5500/5000
- Catalyseur série 6500/6000
Malheureusement, le jeu de commandes n'est pas le même sur tous les commutateurs. Cela est principalement dû au fait que la société dispose d'un micrologiciel spécialisé pour certains de ses appareils Catalyst, appelé Catos . D'autres commutateurs Cisco utilisent un système d'exploitation appelé IOS , qui n'est pas le même que le système d'exploitation iOS utilisé par les appareils Apple.
Quelques commutateurs Cisco ne disposent pas de capacités natives de mise en miroir des ports, mais il existe un utilitaire gratuit que vous pouvez utiliser dans ces circonstances, et que vous découvrirez sous peu.
Configurer SPAN sur les commutateurs IOS
Pour les modèles de commutateurs dotés du micrologiciel IOS, vous devez accéder au système d'exploitation de l'appareil et émettre une commande afin de spécifier le port SPAN et le port à surveiller. Cette tâche est implémentée par deux lignes de commandes. Il faut préciser la source , c'est-à-dire le port dont le trafic sera répliqué et l'autre donne le numéro de port auquel le renifleur est connecté – c'est la ligne de destination.
|_+_|Une fois que vous avez fini de définir le miroir, vous devez appuyer sur CTRL-Z pour terminer la définition de la configuration de mise en miroir des ports.
Le numéro de session vous permet simplement de créer plusieurs moniteurs différents fonctionnant simultanément. Si vous utilisez le même numéro de session de surveillance dans une commande ultérieure, vous annulerez la trace d'origine et la remplacerez par la nouvelle spécification. Les plages de ports sont définies par un tiret (« - ») et une séquence de ports est séparée par des virgules (« », » .
Le dernier élément de la ligne de commande du port source (le port à surveiller) indique si le commutateur doit répliquer les paquets transmis. depuis l'un ou l'autre port , ou les deux .
Configurer SPAN sur les commutateurs CatOS
Les gammes Catalyst plus récentes sont livrées avec un système d'exploitation plus récent, appelé Catos , au lieu de l'ancien système d'exploitation IOS. Les commandes utilisées pour configurer la mise en miroir SPAN dans ces commutateurs sont un peu différentes. Avec ce système d'exploitation, vous créez une mise en miroir avec une seule commande au lieu de deux.
|_+_|Les ports sources sont définis par le premier élément de cette commande, qui est le « src_mod/src_ports ' partie. Un deuxième identifiant de port sur la commande est automatiquement lu comme port de destination, c'est-à-dire le port auquel le renifleur de paquets est connecté. Le ' rx | envoi | les deux L'élément ' indique au commutateur de répliquer les paquets transmis depuis l'un ou l'autre port , ou les deux .
Il existe également une commande set span pour désactiver la mise en miroir :
|_+_|Configurer SPAN sur les commutateurs Catalyst Express 500 et Catalyst Express 520
Si vous disposez d'un commutateur Catalyst Express 500 ou Catalyst Express 520, vous n'entrez pas les paramètres SPAN au niveau du système d'exploitation. Afin de communiquer avec le switch et de modifier ses paramètres, vous devez installer le Assistant réseau Cisco ( AIIC ). Ce logiciel de gestion de réseau est gratuit et fonctionne sur l'environnement Windows. Suivez ces étapes pour activer SPAN sur le commutateur.
- Connectez-vous au commutateur via l’interface CNA.
- Sélectionnez le Ports intelligents possibilité dans le AIIC menu. Cela affichera un graphique représentant le tableau de ports du commutateur.
- Cliquez sur le port auquel vous souhaitez connecter le renifleur de paquets et sélectionnez le Modifier option. Cela fera apparaître une fenêtre pop-up.
- Sélectionner Diagnostique dans le Rôle et sélectionnez le port dont le trafic sera surveillé à partir de la Source la liste déroulante. Si vous souhaitez surveiller spécifiquement un VLAN, sélectionnez-le dans la liste VLAN d'entrée liste. Si vous ne souhaitez pas simplement surveiller le trafic d'un VLAN, laissez cette valeur par défaut. Cliquer sur D'ACCORD pour enregistrer les paramètres.
- Cliquer sur D'ACCORD et puis Appliquer dans le Ports intelligents écran.
Un problème avec la méthode CNA est que le logiciel ne fonctionne que sur les versions Windows jusqu'à Windows 7 .
Traitement des paquets capturés
La mise en miroir des ports configurée sur votre commutateur ne stockera ni n'analysera les paquets capturés. Vous pouvez utiliser n'importe quel logiciel d'analyse de réseau pour traiter les paquets envoyés à votre appareil.
Un problème clé que vous devrez reconnaître lorsque vous capturez des paquets est que vous devrez gérer une très grande quantité de données. Un vidage de texte brut du trafic réseau en transit est presque impossible à parcourir sans une visionneuse de données guidée. Il s’agit de la catégorie la plus basse d’outils d’accès aux données que vous devriez considérer. Un utilitaire complet d’analyse du trafic serait encore mieux.
Vous pouvez voir une liste complète de outils d'analyse du trafic réseau recommandés dans l'article, Meilleurs analyseurs de paquets/renifleurs de paquets . Pour plus de commodité, les deux principaux outils réseau de cette revue sont résumés ci-dessous.
Outil d’inspection et d’analyse approfondie des paquets SolarWinds (ESSAI GRATUIT)
SolarWinds produit un large catalogue d'outils de surveillance et de gestion du réseau. Pour l’analyse des résultats de la mise en miroir des ports, vous devez prendre en compte les spécifications de l’entreprise. Paquet approfondi et analyse outil pour être votre meilleure option. Cela fait partie du Network Performance Monitor de la société, qui est son produit central.
Cet outil est capable d'interpréter les données provenant de une large gamme d'outils de collecte de paquets et vous permettra de voir où se produisent les pics de trafic. Vous devez examiner les applications qui génèrent la plus grande partie de la demande sur votre réseau afin d'élaborer des stratégies visant à améliorer les performances. Cet outil d’analyse soutient ces enquêtes.
Le Network Performance Monitor est un outil haut de gamme et il n’est pas gratuit. Cependant, vous pouvez bénéficier d’un essai gratuit de 30 jours. N'oubliez pas que la capture de paquets n'est pas vraiment une option réalisable pour surveiller tout le trafic sur l'ensemble de votre réseau. Pour ces situations, vous feriez mieux d’utiliser l’analyseur de trafic SolarWinds NetFlow. Cela emploie Cisco NetFlow fonctionnalité pour échantillonner le trafic du réseau. Il est également capable de communiquer avec Réseaux Juniper équipement à travers le Flux J étalon d'échantillonnage de paquets, avec Huawei appareils, utilisation NetStream , et il peut également utiliser le système indépendant du fabricant sFlux et IPFIX systèmes d'analyse du trafic. Vous pouvez également obtenir NetFlow Traffic Analyzer avec un essai gratuit de 30 jours.
L'Analyseur de performances réseau et l'Analyseur de trafic NetFlow constituent une bonne combinaison pour l'analyse du réseau, car ils vous donnent une perspective générale et les outils nécessaires pour examiner le trafic de paquets transitant par des appareils individuels. SolarWinds propose ces deux outils ensemble sous le nom de Network Bandwidth Analyzer Pack, que vous pouvez également obtenir avec un essai gratuit de 30 jours.
Inspection et analyse approfondies des paquets SolarWinds Téléchargez un essai GRATUIT de 30 jours
Outil de capture de paquets Paessler
Paessler PRTG est un outil de surveillance de réseau composé de nombreux capteurs individuels. L'un de ces outils est un capteur de capture de paquets . Ce capteur n’est pas livré avec un TAP physique ; au lieu de cela, il s'appuie sur les données fournies dans un flux provenant de vos commutateurs. Cet outil offre d'excellentes visualisations de données pour les données en direct et pour les paquets lus à partir du stockage de fichiers.
L’avantage de PRTG est qu’il peut vous offrir différentes couches de visibilité à partir du même outil. Il comprend également des capteurs qui échantillonnent les données du réseau, capturant uniquement les en-têtes de paquets provenant de différents emplacements du réseau. Vous pouvez aussi réduire la quantité de données qui doit être traité par le moniteur en spécifiant l’échantillonnage.
Outre le capteur de détection de paquets, PRTG comprend les systèmes d'échantillonnage du trafic suivants :
- Un capteur NetFlow
- Le capteur sFlow
- Un capteur J-Flow
Avec ce système, vous pouvez utiliser les capteurs NetFlow, sFlow et J-Flow pour obtenir une vue d'ensemble de l'ensemble de votre réseau, puis accéder au renifleur de paquets pour vous concentrer sur les flux typiques d'un appareil. Une fois que vous avez isolé un commutateur surchargé, vous pouvez vous concentrer sur les ports spécifiques qui ont trop de trafic et examiner les types de trafic qui le submergent. Grâce à ces informations, vous pouvez soit mettre en œuvre des mesures de gestion du trafic, soit choisir d'ajouter davantage d'infrastructures pour rediriger les points à fort trafic et répartir la charge.
Le capteur renifleur de paquets traite uniquement les en-têtes des datagrammes de trafic circulant sur le réseau. Cette stratégie réduit la quantité de traitement nécessaire pour agréger les métriques de flux et accélère considérablement l'analyse.
Problèmes de mise en miroir des ports
La capture et le stockage complets des paquets peuvent vous poser des problèmes de confidentialité des données. Même si la majeure partie du trafic circulant sur votre réseau sera chiffrée, s’il est destiné à des sites externes, tout le trafic interne ne sera pas chiffré. À moins que votre organisation n'ait décidé de mettre en œuvre une sécurité supplémentaire pour les e-mails, le trafic de messagerie sur votre réseau ne sera pas chiffré par défaut.
Comme technique alternative d'analyse du trafic, vous pouvez envisager d'utiliser NetFlow. Il s'agit d'un système de messagerie activé sur tous les appareils Cisco et qui transmettra uniquement les en-têtes des paquets à un moniteur central. Vous pouvez en savoir plus sur les moniteurs réseau qui collectent les données NetFlow dans l'article Meilleurs analyseurs et outils de collecte NetFlow .
Une fois que vous aurez à portée de main les informations sur toutes les capacités de surveillance du trafic de vos commutateurs Cisco, vous serez en meilleure position pour décider quelle méthode de capture de paquets utiliser.
Choisir la bonne stratégie d'analyse de réseau
Espérons que ce guide vous a fait prendre conscience des problèmes liés à la mise en miroir des ports. Bien qu'il y ait des moments où vous ne pouvez vraiment pas éviter de descendre au niveau des paquets afin d'évaluer correctement votre trafic réseau, vous devriez affinez votre recherche avec d'autres outils avant d'organiser une capture de paquets en tant que tâche.
La mise en miroir des ports a ses problèmes : elle rompt la confidentialité des données et peut générer de très grandes quantités de données. Explorer les méthodes pour informations routières globales comme première ligne d'enquête et accédez à la mise en miroir des ports une fois que vous avez identifié les liens présentant des problèmes. Une fois que vous avez configuré la mise en miroir des ports sur vos commutateurs, assurez-vous de canaliser toutes les données vers un outil d'analyse afin de pouvoir utiliser correctement toutes les informations générées par cette stratégie.
FAQ sur la mise en miroir des ports
Quelle est la différence entre la mise en miroir des ports et la mise en miroir du trafic ?
La principale différence entre la mise en miroir des ports et la surveillance du trafic réside dans le fait qu'un moniteur de trafic collecte des statistiques sur les paquets lorsqu'ils transitent par des commutateurs et des routeurs, mais la mise en miroir des ports prend une copie complète de tous ces paquets.
La mise en miroir des ports affecte-t-elle les performances du réseau ?
Selon Cisco Systems, le principal fabricant de commutateurs réseau, la mise en miroir des ports n'impose pas une lourde charge aux commutateurs. Le commutateur n’a pas besoin de traiter le flux supplémentaire généré par la mise en miroir, il duplique uniquement une sortie sur laquelle il devait déjà travailler.
Qu’est-ce qu’un port span sur un commutateur ?
Un port span est en réalité un port SPAN – SPAN signifie Switched Port Analyzer. Le port SPAN est dédié à fournir un canal pour l'analyse des paquets – il s'agit en fait d'un port virtuel.