Spejling

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 1. januar 2019; checks kræver 4 redigeringer .

Mirroring ( eng.  port mirroring , SPAN - forkortelse fra Switched Port Analyzer ) - duplikering af pakker fra en port på en netværksswitch (eller VPN ) til en anden.

Et stort antal administrerede netværksswitches giver dig mulighed for at duplikere trafik fra en eller flere porte og/eller VLAN'er (VLAN) til en enkelt port [1] . Dette bruges hovedsageligt til at overvåge al trafik af sikkerhedsmæssige årsager eller til at vurdere ydeevnen/belastningen af ​​netværksudstyr ved hjælp af hardware.

De kan også implementeres i virtuelle switche i virtualiseringssystemer [1] .

Eksempler

Et eksempel på oprettelse af trafikspejling på en Cisco 2950-switch:

Derefter vil trafik fra porte 0/1-0/3 blive duplikeret til port 0/4 i VLAN 1 Visning af de aktuelle spejlingssessioner kan udføres med kommandoen

vis monitorsession 1


Det er ikke nødvendigt at bruge "encap ingress vlan 1" til at konfigurere direkte spejling. Denne tilføjelse er nødvendig for at gøre det muligt for udstyr såsom Cisco IPS (ASA i IPS-tilstand) at lukke mistænkelige forbindelser og ikke kun lytte til trafik. Som standard accepterer destinationsporten i en span-session ikke indgående trafik. For at bestemme hvilken (indgående/udgående) trafik der skal spejles, bruges følgende muligheder:

Kun indgående:

Overvåg session 1 kildegrænseflade fastethernet 0/1 rx

Kun udgående:

Overvåg session 1 kildegrænseflade fastethernet 0/1 tx

Begge retninger:

Overvåg session 1 kildegrænseflade fastethernet 0/1 begge

Se også

Noter

  1. 1 2 SwitchReference - The Wireshark Wiki . Hentet 18. november 2017. Arkiveret fra originalen 18. juli 2017.
  2. Port Mirror vs Network Tap-ntop . Hentet 18. november 2017. Arkiveret fra originalen 1. december 2017.

Links