您是否曾经想在您的交换机上配置两个以上的TX/RX/Both switch Port Analyzer (SPAN)端口?您曾经处理过与内联IPS设备的光旁路开关相关的问题吗?你是否曾经因为使用以太网龙头而遇到过布线的麻烦?您是否考虑过使用包监控交换机,这些交换机可以从各种制造商那里获得,以避免您的头痛?
SPAN端口限制
我经常想知道为什么以太网交换机的制造商严格限制他们允许配置的SPAN/端口监控会话的数量。我只能假设它们是有限的,因为复制的通信给LAN交换机中孱弱的cpu带来了额外的负担。众所周知,SPAN端口会增加网络设备的整体CPU负载。交换机没有非常强大的网络处理器,这些处理器擅长执行网络管理和其他数据包处理。“fork”包并将它们发送到目的地和监控端口的过程需要占用CPU资源。这可能是制造商想要限制SPAN会议数量的原因。通信量也与对CPU的潜在影响有很大关系。
与SPAN端口有关的另一个问题是,在以太网交换机上,SPAN数据的优先级低于正常流量。因此,在拥塞期间,很有可能SPAN流量会被任意丢弃而不能到达监控设备。在通过802.1Q中继发送SPAN流量和常规客户端/服务器流量时也是如此。在trunk端口上,SPAN流量的优先级也较低。
与网络监控可伸缩性相关的关键问题是思科以太网交换机上可配置的SPAN/端口监控会话数量的限制。思科6500交换机可以达到四个仅传输(Tx,半双工)配置的SPAN会话。纯tx的SPAN会话的问题是,IPS只观察一个方向的流量。这些类型的SPAN会话通常配置为检测从Internet等不太可信的网络流向服务器网络等更可信的网络的恶意包。Cisco 6500交换机上最多可以配置两个Tx/Rx(全双工或两者都有)SPAN会话。这些会话允许捕获和分析进出攻击者两个方向的信息包。这允许更精确地确定恶意流量和攻击。这链接提供关于如何配置SPAN会话以及Cisco交换机上SPAN会话的限制的更多信息。思科还发布了关于较小工作组和可堆叠Cisco交换机(催化剂2940,2950,2955,2960,2970,3550,3560,3560- e, 3750和3750- e交换机)的信息,以下限制适用。
虚拟交换系统(VSS)也可以为数据流量分析提供一些优势来执行SPAN/port监控。一个监控系统可以连接到任何一个VSS 6500交换机,但可以监控任何一个6500交换机上的端口。在Virtual Switch域中,虚拟交换机的数量SPAN会议仍然有限通过Virtual Switch活动管理器可以提供什么。
许多组织目前在其以太网交换机上最大化了SPAN/端口监视器会话的数量。换句话说,大多数公司没有任何额外的能力来监视核心交换机或DMZ交换机上的任何其他流量流。如果需要部署任何新的安全或监控系统,需要查看通过局域网交换机的交通路径,那么这就是一个问题。
公司对核心交换机上的SPAN端口的附加要求。他们的IPS设备、web应用防火墙和web内容过滤系统需要能够观察到进出互联网的流量,以防止安全攻击。目前,这些内容过滤和深度包检查(DPI)系统部署在内部局域网,以帮助保护终端用户使用的桌面计算机。内容过滤功能还需要抓取报文和观察流量模式,还需要使用SPAN端口。
开关特性,如SPAN (RSPAN, ERSPAN等)也可以是有益的;然而,这些方法有限制(例如在任何时间点活动会话的数量),并可能给交换机带来不必要的负担,最好由专用设备来处理。在带有Supervisor Engine 720s的Cisco 6500上,可以配置两个RSPAN源会话。但是,可以配置许多RSPAN目的地。这意味着可以跨越单个源,并将流量发送到多个安全系统,这些安全系统有兴趣观察来自活动网络的流量。
利用中心
过去,集线器(多端口中继器)用于执行网络监视。集线器以半双工方式将所有端口上的所有流量转发到所有其他端口。所有数据流量都重复到所有端口,因此任何端口都可以轻松地观察到连接到集线器的任何设备的任何流量。集线器创建了一个冲突域,降低了网络的效率。然而,大多数集线器以10Mbps或100Mbps以太网速度运行。以太网交换机减少了“冲突域”,在集线器上更受欢迎,因此,目前集线器的制造商很少。以太网交换机维护一个连接到每个端口的以太网MAC地址表,并且只直接转发到这些端口的流量。这可以提高效率,因为连接到交换机的所有节点都看不到交换机上的所有其他流量,只收到它们打算接收的包。因此,很难找到集线器,而且几乎不可能找到运行在1Gbps的集线器。
硬件开发
替代SPAN端口和集线器的是硬件插孔。网络利用在监控网络流量时非常有用。网络tap是一种硬件设备,它提供了一种方法来访问流经计算机网络的数据。在许多情况下,它是可取的第三方监控网络中两个点之间的网络流量,a点和B点。如果a和B之间的网络点由一个物理电缆,网络开发可能是最好的方式完成此任务的监控。网络龙头至少有3个端口:A端口、B端口和监控端口。为了在a点和B点之间放置一个抽头,a点和B点之间的网线被替换为一对线缆,一根连接到抽头的a端口,一根连接到抽头的B端口。tap通过A和B之间的所有流量,所以A和B仍然认为他们是互相连接的,但tap也将A和B之间的流量复制到其监控端口,使第三方能够监听。有几个品牌的网络水龙头很受欢迎。NetOptics可能是最受欢迎的网络水龙头制造商。Gigamon和Finisar是其他制造光学水龙头的公司。
使用网络点击的一个优点是,点击不会改变帧的时间关系,间隔和响应时间,这在VoIP和其他应用分析(包括全双工分析)中尤其重要。叩头也不引入任何额外的抖动或失真,这在应用分析中很重要。点击不清理数据,也不过滤物理层错误数据包,短/长帧,带有坏crc的帧。水龙头不会因为拥塞而丢弃数据包。水龙头不是ip地址可寻址的设备,所以它们不容易受到安全攻击。水龙头易于设置,不需要网络工程师在每次需要使用时配置SPAN端口。tap也适用于IPv4和IPv6流量;目前思科SPAN会话不捕获IPv6数据包。
至于在哪里安装网络监听器,并没有什么灵丹妙药。通常情况下,窃听是用来向安全设备(如内容检查设备或入侵防御系统等)提供流量的副本。这些设备通常是由于法规或特定组织的要求和/或政策而需要的。因此,组织的政策应该规定在整个环境中网络水龙头的位置。使用网络水龙头的挑战在于,它们可能会产生布线问题。多根电缆,如果没有标记和记录好,可以增加故障排除和MTTR时间。公司经常需要同时监控活动连接和冗余连接,因此监控所有可能的交通路径很困难。
内联式ip和嵌入其他系统的ip更好,因为它们减少了布线,从而减少了传输路径上可能发生故障的组件的数量。嵌入其他设备的IPS系统允许深度数据包检测,但不需要其他活动组件、独立配置、独立软件许可,从而降低了TCO,提高了整体网络的可靠性。
RMON探针
最大化使用SPAN端口的另一种选择是将网络测试设备移动到使用水龙头或探头。网络故障排除练习以一种特别的方式进行,因此不需要一直设置它们。然而,安全系统需要24小时监视交通。其他替代方案包括使用RMON探测进行网络故障排除。RMON允许完整的包捕获。另一种解决方案是让组织更频繁地依赖NetFlow来进行流量模式的高级分析,以及网络和应用程序故障排除。
思科迷你协议分析仪(MPA)
在Cisco路由器或6500交换机上进行特定网络故障排除活动的另一个选择是使用内置抓包功能.MPA (Mini Protocol Analyzer)功能提供了在IOS路由器(12.4(20T)+)或思科6500交换机(12.2(33)SXI+)上捕获包的能力,可以随时使用。这可能不是执行IPS功能的永久解决方案,但当所有Tx/Rx/Both SPAN会话都被用于IPS功能时,它可以提供执行网络故障排除的功能。以下链接提供了关于使用Mini协议分析器的信息。
VLAN ACL (VACL)
公司监控流量的另一种方法是使用VLAN ACL (VACL)捕获端口特性。该方法使用在6500的VLAN接口上应用的访问列表,匹配ACL的流量的目的地址发送到捕获端口。这样,vacl可以更细粒度地进行网络流量分析,只捕获特定的流量,而不是VLAN上的所有其他流量。这种方法是有效的,但是它仍然限制在6500交换机上可配置的SPAN会话总数。下面是如何配置VACL捕获的链接。
包监控矩阵交换机
另一种解决方案是使用一种专门设计的设备,允许多个水龙头聚合,并连接到所有监控系统。这些交换机将网络监控设备连接到网络上您希望能够观察数据包的点。下图显示了矩阵交换机如何连接到网络环境中需要进行包级监控的所有不同点。可以在网络交换机上配置SPAN端口,将大部分流量发送到矩阵交换机。矩阵开关还连接所有用于监控网络的工具。这将包括IPS设备、用于临时故障排除的包嗅探器、RMON探针或Web应用程序防火墙。
然后,包监控矩阵交换机有一个配置接口,允许网络管理员将流量从连接到网络设备的输入端口发送到连接到各种工具的输出端口。当多个工具需要查看相同类型的流量时,数据包可以从一个输入端口复制到多个输出端口。大多数矩阵交换机都能够创建复杂的过滤器,只将所需的流量类型从输入端口发送到输出端口,因此网络监控工具只能看到所需的流量类型。矩阵交换机还可以具有基于角色的配置管理,以便只有特定的员工可以为特定的目的修改监视。例如,安全团队将有能力修改IPS端口监控配置,网络管理员将有能力修改数据包嗅探器,但他们不能修改彼此的监控。大多数矩阵交换机还带有1Gbps和10Gbps接口的各种接口类型,并可以限制跨端口转发的包。