曾想在开关上配置两个以上TX/RX/Bos开关港口分析器吗处理内联IPS电机光转接开关问题处理用以太网水水龙头后生成的布线恶梦吗曾想过使用包监控开关吗?
SPAN端口限制
以太网开关制造商为何严重限制SPAN/port监控会议数,局域网交换机消化式CPU附加流量SPAN端口已知加载网络设备总CPU开关没有强网络处理器,精通网络管理和其他包处理进程分包并发至目的地 监控端口取CPU资源这可能是制造商想限制SPAN会议数目的原因流量量与CPU潜在作用关系重大
SPAN端口的另一个问题是SPAN数据处理优先级比Ethernet开关正常流量低因此,在拥塞时,SPAN交通极有可能被任意投送,无法进入监控装置span传输802.1Q和客户/服务器正常传输SPAN流量在中继端口也得到较低优先级处理
关键问题与网络可扩缩性相关联,是对可配置Cisco Ethernet开关SPAN/port监控会议数的限制Cisco6500开关可达四专用传输span 会话配置Tx专用SPAN讲解问题在于IPS只观察向一个方向流水量span会议类型通常配置检测恶意包流出互联网等信任度较低的网络至服务器网络等信任度更高的网络Cisco6500开关可配置最多2Tx/Rx(全态或双相兼)SPAN 会话session允许捕捉分析从两个方向向攻击者流出包这有助于更精确地判断恶意交通和攻击这个链接提供更多信息说明 span 会话配置方式以及span 会话对Cisco开关的限制Cisco还发布小工作组和堆放式Cisco开关信息(Catalyst 2940、2950、2955、2960、2970、3550、3560、3560-E、3750和3750-E开关)应用下列限制
虚拟交换系统也可以为执行SPAN/port监控数据流量分析提供一些优势监控系统可连接VSS6500开关,但仍能监控6500开关中的端口虚拟开关域数SPAN会议仍然有限虚拟切换主动主管能提供什么
许多组织目前已最大限度地增加以太网交换机上提供SPAN/port-Monitor会议数换句话说,大多数公司没有任何额外能力监测核心开关或DMZ开关上的任何其他流量需要安装新安全或监控系统时,若需对流经局域网开关的交通路径透视则问题大增
公司对SPAN端口核心开关附加需求PS电工、Web应用防火墙和Web内容过滤系统需要能够观察往返互联网流量以帮助预防安全攻击当前,这些内容滤波和深包检查系统部署内部局域网帮助保护终端用户使用台式计算机内容过滤函数还需要捕获包并观察流量模式并使用SPAN端口
spAN等开关也有好处但这些限制(如单点会议数)并可能给开关带来不必要的重负,而开关最好由专用设备处理。Cisco6500s监督引擎720s两个RSPAN源会议可配置然而,许多RSPAN目的地可配置表示单源可覆盖并传送多安全系统,这些安全系统有兴趣观察活动网络的流量
使用Hubs
历史中枢(多端转发器)用于执行网络监控枢纽以半双工法在所有端口向所有其他端口转发所有流量所有数据流量都重复到所有端口,以便任何端口都可方便地观察连接中枢的任何设备流量枢纽创建碰撞域节减网络效率但这些枢纽大都以10Mbps或100MbpsEthernet速度运行以太网交换机减少“colision域名”,并假设中心受欢迎程度更高,因此,今天中心制造厂家寥寥无几。以太网开关保留一张以太网MAC地址表连接每个端口,只有直达这些端口的前向流量产生效率是因为所有连接开关的节点都看不到开关上所有其他流量,而只接收寄存包难寻中心站 近似无法寻中心站 在1Gbps运营
硬件磁带
SPAN端口和中枢的替代是硬件开机网络开机监控网络流量时可大有裨益网络开关硬件设备提供访问跨计算机网络流数据的途径在许多情况下,第三方宜监测网络二点-A点和B点-网络流量A点和B点间网络由物理电缆组成时,网络开机可能是完成监测的最佳方式网络开关至少有3个端口:A端口、B端口和监控端口A点B点网络电缆换成两条电缆,一通通通A端口,一通通B点B端口窃听器遍历A和B间所有交通量,A和B仍然认为彼此连接,但窃听器还复制A和B间交通量到监控端口,使第三方能够监听多牌网络窃听器广受欢迎NetOptics可能是最热门网络窃听器千兆门并菲尼沙还有其他公司制作光学水龙头
使用网络水龙头的好处是水龙头不改变时间关系框架、间距和响应时间对VoIP和其他应用分析特别重要,包括全复解析磁带不引入对应用分析很重要的任何额外抖动或失真磁带不疏导数据或过滤物理层错误包、短/长框架、带坏CRCs框架磁带不因拥塞滴包磁带非IP可处理设备,因此不易安全攻击磁带易安装,不需要网络工程师配置SPAN端口,每次需要使用时都使用磁带还工作IPv4和IPv6流量CiscoSPAN会议目前不捕捉IPv6包
网络水龙没有银弹常常用回接器提供安全设备流量副本(例如内容检验设备或入侵预防系统等)。通常需要这些装置是因为监管或组织特有要求和/或策略正因如此,组织政策应决定网络水龙遍历环境使用网络水龙头的难题是,由于电网布线问题,电网水龙头可能成问题多电缆,如果不贴上标签并记录良好,可增加故障解析和MTTR时间公司往往需要监控主动连接和冗余连接,因此水龙头为监控所有可能的交通路径制造困难
内联IPS和IPS嵌入其他系统效果更好,因为它们减少了布线,沿传输路径减少组件数并失效嵌入其他电机的IPS系统允许深包检验,但不需要其他活动组件、单构件、单软件许可,从而减少TCO并提高整体网络可靠性
RMON验证
最大使用SPAN端口的替代办法是移动网络测试设备使用水龙头或探针网络故障解析练习以随机方式发生 免得全时搭建安全系统需要积极观察交通24X7使用RMON探针解决网络故障RMON允许全包捕捉另一种解决办法是组织更多地依赖NetFlow对流量模式和网络应用故障解析进行更高层次分析
Cisco小型协议分析器
Cisco路由器或6500开关上特定网络故障排除活动的另一个选项是使用内装包抓取函数.Mini协议分析器函数提供抓包能力IOS路由器(12.4(20T+)或Cisco6500切换器(12.2(33)SXI+)可用这可能不是执行IPS功能的永久解决方案,但当所有Tx/Rx/BathSPAN 会话都用于IPS函数时,它可提供函数执行网络故障排除下链路提供使用Mini协议分析器的信息
VLANACL
公司监控流量的另一种替代方式是使用VLANACL捕获端特征性能方法使用访问链表应用VLAN6500接口和通信目的地匹配ACL发送到抓取端口VACLs可用这样的方式以粒子化方式进行网络流量分析,即只捕捉特定流量兴趣比VLAN上所有其他流量兴趣方法工作, 但仍限 span 会话总数可配置 6500开关下方链接VACL抓取可配置
分组监控矩阵开关
另一种解决办法是使用专门设计设备,允许多水龙头聚合并连接所有监测系统切换器连接网络监控设备到网络端点下图显示矩阵切换方式连接网络环境内所有不同点,即包级监控需要进行sPAN端口可配置网络切换器向矩阵切换大部分流量矩阵切换器还连接所有用于监控网络的工具包括IPS设备、散装解故障检测器、RMON探针或Web应用防火墙
包监控矩阵切换器并装配置接口,使网络管理员从连接网络设备输入端口发送传输到连接各种工具输出端口包从单输入端口复制到多输出端口时,多工具需要看到相同类型流量多数矩阵切换器都有能力创建复杂滤波器,只发送输入端口期望的流量类型到输出端口,网络监控工具只见理想流量类型矩阵切换器还可用角色配置管理方式,以便只有特定员工才能修改监视程序以达到特定目的。安全团队将有能力修改IPS端口监控配置,网络管理员将有能力修改封口嗅探器,但他们无法修改彼此监控多数矩阵切换器还带各种接口类型,供1Gbps和10Gbps接口使用,并可加速跨端传送包