Port Mirroring (Puerto Espejo)

55 0 0 0

Hola, como sabemos, a veces necesitamos capturar los paquetes para ayudarnos a localizar el problema de la red, en cuyo caso, Port Mirroring podría ayudarnos a capturar los paquetes de manera conveniente.

En este post, presentaremos el Port Mirroring a detalle.

1. Visión general del Port Mirroring.

171152c1jw6wcw13z1owjv.png

 

En algunos casos, debemos monitorear los paquetes entrantes o salientes en un puerto específico de un Switch o analizar el tráfico específico. Por ejemplo, en la figura anterior, la interfaz GE0/0/24 en el switch  transporta una gran cantidad de tráfico, y los paquetes entrantes y salientes en esta interfaz deben analizarse para localizar fallas en la red. Podemos conectar una PC en la interfaz GE0/0/5 en el Switch, instalar un software de análisis de protocolo en la PC e implementar el port mirroring para reflejar los paquetes entrantes y salientes en GE0/0/24 a GE0/0/5. Luego podemos verificar los paquetes a través del software de análisis de protocolo en la PC.

El Port mirroring copia el tráfico en un puerto específico a un puerto de monitoreo. Sin la tecnología del Port mirroring los paquetes pueden enviarse a la PC de monitoreo solo cuando el destino de estos paquetes es el puerto conectado a la PC.

El Port mirroring se utiliza normalmente para la medición del tráfico, la recopilación de estadísticas de tráfico y la localización de fallas.

Tipos de Espejo (Mirroring)

Port mirroring

La función de Port mirroring es copiar los datos en un puerto espejo a un puerto de observación para su análisis y monitoreo.

Traffic mirroring

La función de Traffic mirroring copia los flujos de servicio que coinciden con las reglas de ACL en un puerto de observación para su análisis y monitoreo.

 

2. Port Mirroring.

171152arwnptlcc4birvvi.png

 

En Port Mirroring,  un switch copia los paquetes entrantes o salientes que pasan a través de un puerto espejo y envía los paquetes a un puerto de observación específico para su análisis y monitoreo. Durante el port mirroring, todos los paquetes que pasan a través de este puerto se copian en un puerto de observación. Los Switches Ethernet admiten el mirroring N: 1. Es decir, los paquetes en varios puertos se copian en un puerto de monitoreo.

También, el port mirroring es clasificado en Port Mirroring Local y Port Mirroring Remoto.

Port Mirroring Local.

En el Port Mirroring Local, un host de monitoreo está conectado directamente a un puerto de observación.

Port Mirroring Remoto.

En el Port Mirroring Remoto, un host de monitoreo y un puerto de observación están conectados a través de una red de Capa 2 o Capa 3.

En Port Mirroring de Capa 2 (RSPAN: remote switched port analyzer): cuando un host de monitoreo y un puerto de observación están conectados a través de una red de Capa 2, el S9300 agrega una VLAN ID a los paquetes que pasan a través de un puerto espejo y difunde los paquetes en la VLAN espejo remota a través del puerto de observación. Después de recibir los paquetes, el dispositivo remoto compara la VLAN ID en los paquetes con la VLAN ID local configurada con la remota. Si las VLAN ID son las mismas, el dispositivo remoto reenvía los paquetes al puerto de observación remoto.

 

El port mirroring de Capa 3 (ERSPAN: encapsulated remote SPAN): cuando un host de monitoreo y un puerto de observación están conectados a través de una red de Capa 3, el S9300 encapsula los paquetes reflejados en paquetes GRE o desencapsula los paquetes para que los paquetes reflejados puedan atravesar la Capa 3. De esta manera, el dispositivo donde reside el port mirroring y el dispositivo donde reside el puerto de observación implementan el port mirroring a través de la red de Capa 3.

 

3. Traffic Mirroring.

171152z0qa7oj3agh09b5a.png

 

La función del traffic mirroring copia los flujos especificados que pasan a través de un puerto espejo a un puerto de observación o del CPU para su análisis y monitoreo. Una política de tráfico que contiene el comportamiento de traffic mirroring se aplica al puerto espejo. Los paquetes que coinciden con el clasificador de tráfico en la política de tráfico en el puerto espejo se copian y luego se envían al puerto de observación o al CPU.

 

El tráfico se puede reflejar en un puerto o en el CPU.

Tráfico reflejado en un puerto: los paquetes que cumplen con los requisitos en un puerto habilitado con traffic mirroring se copian y luego se envían a un puerto de observación para su análisis y diagnóstico.

Tráfico reflejado en el CPU: los paquetes que cumplen con los requisitos en un puerto habilitado traffic mirroring se copian y luego se envían al CPU para su análisis y diagnóstico. Aquí, el CPU se refiere al CPU de la LPU donde está habilitada el traffic mirroring.

 

4. Configurar Port Mirroring Local.

171152c1jw6wcw13z1owjv.png

 

Reflejar los paquetes entrantes y salientes en GE0/0/24 del Switch a GE0/0/5.

La configuración es la siguiente:

[SW] observe-port 1 interface gigabitethernet0/0/5
[SW] interface gigabitethernet0/0/24
[SW-gigabitethernet0/0/24] port-mirroring to observe-port 1 both

 

5. Análisis de paquetes.

http://image.hw3static.com/hi/showimage-15204603-432623-716bda3c9e54ebe3e31eb3240ab95a73.jpg

 

·         El tráfico de varios tipos se transmite en una red IP.

·         El correcto funcionamiento de los protocolos o servicios depende del intercambio normal de paquetes. Como se muestra en la figura anterior, SW1 y SW2 ejecutan OSPF. Los dos Switches intercambian paquetes OSPF constantemente para que el OSPF pueda funcionar normalmente. Si un usuario inicia sesión en SW2 desde SW1 a través de Telnet, los paquetes relacionados se intercambian entre ellos.

 

6. Herramientas para el análisis de paquetes.

Las herramientas comunes de análisis de paquetes incluyen Ethereal, Wireshark y Sniffer.

La siguiente figura muestra la interfaz de usuario (UI) de Wireshark. Después de instalar el software, inícielo y seleccione la tarjeta de interfaz de red (NIC). Luego se obtienen los paquetes en la NIC. Los paquetes obtenidos se muestran en la siguiente figura.

 

http://image.hw3static.com/hi/showimage-15204639-432623-23d755e456afe106385293bd2ce60812.jpg

 

Examen:

171152ol0v40u0xbf4lujb.jpg

 

Configure las direcciones IP de la PC y el Switch, como se muestra en la figura anterior.

Habilitar el servicio Telnet en el switch.

Inicie Wireshark en la PC y configure Wireshark para escuchar en la NIC Ethernet del Switch.

Hacer Telner al Switc desde la PC y comprobar los paquetes obtenidos. Los paquetes de telnet se transmiten en texto plano. Por lo tanto, se obtienen el nombre de usuario y la contraseña para el inicio de sesión de Telnet y las operaciones realizadas en el switch.

Por lo tanto, el protocolo Telnet no es seguro.

Recordatorio: Wireshark es un software no estándar. La instalación no autorizada de Wireshark es una violación de las normas de seguridad de la información. Por lo tanto, para instalar y usar Wireshark, siga el proceso relacionado o utilícelo en su PC.

 

Eso es todo en esta publicación, espero que les haya gustado.

Si tiene alguna sugerencia o protocolo que desee aprender, descríbala.

Si está buscando otra información, puede visitar nuestro sitio web de soporte (haga clic aquí) o para revisar KB (haga clic aquí).

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba