Lustrzane kopie pakietów

Pytanie: Dawniej, gdy w sieciach LAN powszechne były koncentratory, monitorowanie połączenia wiązało się zawsze z odłączeniem od portu kabla (a tym samym użytkownika) i dołączeniem do niego analizatora. Obecnie mamy do czynienia z przełącznikami. Jak można sobie poradzić z monitorowaniem w przypadku sieci opartych na tych urządzeniach, tak aby nie narażać użytkowników na przerwy w pracy?

Pytanie: Dawniej, gdy w sieciach LAN powszechne były koncentratory, monitorowanie połączenia wiązało się zawsze z odłączeniem od portu kabla (a tym samym użytkownika) i dołączeniem do niego analizatora. Obecnie mamy do czynienia z przełącznikami. Jak można sobie poradzić z monitorowaniem w przypadku sieci opartych na tych urządzeniach, tak aby nie narażać użytkowników na przerwy w pracy?

Odpowiedź: W sieciach LAN mamy do czynienia z prostymi przełącznikami niezarządzalnymi i przełącznikami zarządzalnymi. Te ostatnie wśród wielu zalet mają (w większości przypadków) też i taką, że w odniesieniu do każdego portu można użyć funkcji mirror (noszącej też niekiedy nazwę span). Po uruchomieniu tej funkcji administrator może przesyłać kopie danych przychodzących oraz wychodzących z określonego portu do innego portu znajdującego się w tym przełączniku lub do portu znajdującego się w innym przełączniku.

Administrator może w ten sposób przenosić w locie takie dane w inne miejsce w celu dalszej obróbki (np. monitorowanie ruchu), nie uciekając się do zmiany okablowania przełącznika czy wyłączania z eksploatacji portu. Zależnie od modelu przełącznika, nazwa funkcji realizującej takie zadania może być różna.

I tak np. w przypadku przełącznika Cisco Catalyst 6500 jest to polecenie monitorowania. W innych przełącznikach tej firmy może to być polecenie Set Span, któremu towarzyszą dodatkowe parametry (numer portu, tylko ruch wchodzący, tylko ruch wychodzący, oba rodzaje ruchu itp.).

Przełączniki Cisco oferują opcję, która pozwala przepisywać pakiety odbierane i wysyłane przez port do portu znajdującego się w innym przełączniku pracującym w sieci. Administrator może uruchamiać wiele takich sesji, każda przepisując dane z określonego portu przełącznika na inny port. Musi on jednak brać pod uwagę i to, że takie przepisywania danych absorbują pewną część przepustowości połączeń obsługujących sieć LAN, co może się odbijać niekorzystnie na wydajności aplikacji korzystających z usług sieci.

I tu ważna uwaga. W przypadku uruchomienia funkcji "mirror" w przełącznikach Cisco, port docelowy nie otrzymuje adresu IP z serwera DHCP. Dlatego port taki jest bardziej odporny na ataki, które są przeprowadzane w warstwie Layer 3, czyli przy użyciu konkretnego adresu IP przypisanego do portu.

Podsumowując, opcja przepisywania lustrzanej kopii pakietów odbieranych/wysyłanych przez określony port do innego portu tego samego przełącznika (lub do portu znajdującego się w innym przełączniku) jest bardzo przydatna do diagnozowania pracy sieci LAN i ewentualnego usprawniania jej pracy, nie narażając użytkowników korzystających z jej usług na przerwy w pracy.


TOP 200