مطالب فصل
- Port Mirroring چیست؟
- قابلیت SPAN
- قابلیت RSPAN
- قابلیت ERSPAN
- بررسی قابلیت های Port Mirroring در VDS
- پیکربندی قابلیت Distributed Port Mirroring
- پیکربندی قابلیت Remote Mirroring Source
- پیکربندی قابلیت Remote Mirroring Destination
- پیکربندی قابلیت Encapsulated Remote Mirroring (L3) Source
- آماده سازی زیر ساخت مورد نیاز برای Encapsulated Remote Mirroring (L3) Source و مفهوم TCP/IP stack
- ادامه پیکربندی قابلیت Encapsulated Remote Mirroring (L3) Source
- آموزش نحوه isolate سازی ترافیک قابلیت Encapsulated Remote Mirroring (L3) Source
- فیلم آموزشی
Port Mirroring چیست؟
Port Mirroring
در این قسمت از آموزش به بحث مربوط به Port Mirroring یا Port Shadowing میپردازیم و یاد میگیریم که به چه صورت میتوانیم dataی یک VM یا dataی یک VMkernel را به سیستمی که قرار است این data را آنالیز کند، انتقال دهیم.
قبل از این آموزش، در آموزشهای مربوط به VSS با یک سری از Packet capture ها آشنا شدیم که از طریق Command line این کار را برای ما انجام میدادند. آن موارد هم چنان در VDS نیز قابل پیاده سازی میباشند ولی ما قصد داریم به صورت گرافیکی قابلیتهایی که مختص خود VDS میباشد را یاد گرفته و نحوه config آنها را فرا بگیریم. خب طبق روال همیشگی، قبل از وارد شدن به دنیای Virtualization، در ابتدا موارد را در دنیای فیزیکی بررسی کرده و سپس در دنیای مجازی پیاده سازی میکنیم.
قابلیت SPAN
قابلیت SPAN
قابلیت SPAN یا Switched Port Analyzer همان قابلیتی است که به ما این امکان را میدهد تا از یک port خاص یعنی از یک Source port خاص یا یک VLAN خاص ترافیک را به یک Destination Interface خاص کپی کنیم؛ یعنی تنظیم کنیم هر ترافیکی که از این Source port یا از این Source VLAN دریافت کردی، به طور مثال به Interface Gigethernet 2/0 یا Interface Ethernet 0/1 یا هر Interface دیگری ارسال کن. پس Source ما یک Interface خاص یا یک VLAN خاص و Destination ما یک Interface خاص دیگر میباشد. با توجه به تصویر زیر:
مثلاً یک کپی از ترافیکهای ورودی یا خروجی (Ingress, Egress) مربوط به PC موجود در شکل به سیستمی که بر روی آن Wireshark یا هر Analyzer دیگر که نصب است، ارسال میشود. البته میتوانیم تنظیم نماییم که کدام ترافیکها آنالیز شوند، ترافیکهای ورودی (Ingress, Rx) یا ترافیکهای خروجی (Egress, Tx) و هم چنین ورودی و خروجی Interface مشخص شده در شکل بررسی میشود.
حال ممکن است در قسمت بالا، یک شبکه دیگری داشته باشید یا به اینترنت متصل باشید که به سوئیچ فیزیکیتان متصل است، از سمت اینترنت ترافیکی به PC ارسال میشود، برای آنالیز کردن این ترافیک، بایستی یک کپی از آن به سیستمی که دارای IDS، IPS، Wireshark و Firewall میباشد ارسال نمایید.
پس این قابلیت، قابلیت SPAN میباشد که در یک سوئیچ اتفاق میافتد نه در سوئیچهای مختلف. یعنی Source interface ما نمیتواند در یک SW فیزیکی دیگر باشه و Destination interface ما یا همان سیستم آنالیزور ما در یک SW فیزیکی دیگر!! قابلیت SPAN فقط در یک SW قابل اجرا می باشد. در ادامه با پروتکل های دیگری نیز آشنا خواهیم شد.
قابلیت RSPAN
قابلیت RSPAN
از قابلیت RSPAN یا Remote SPAN زمانی استفاده میکنیم که Source و Destination در سوئیچهای فیزیکی متفاوتی باشند؛ به طور مثال در تصویر زیر، Source ما PC و Destination سیستم Analyzer باشد، اما دقت داشته باشید ارتباطات ما هم چنان به صورت لایه 2 ای میباشند.
نکته:
ممکن است مبدأ و مقصد در VLAN های مختلفی قرار گرفته و Subnet های متفاوتی داشته باشند، اما ارتباط فیزیکی آنها به صورت Layer 2 است و سیستمی که درحال آنالیز میباشد، از نظر فیزیکی از طریق سوئیچها قابل دسترس است و سیستم RSPAN نیاز ندارد تا از یک Router برای رسیدن به آن استفاده نماید؛ زیرا سیستم RSPAN به نوعی درحال Broadcasting میباشد، بنابراین از Router ها قابل عبور نبوده و بایستی ارتباط فیزیکی مبدأ و مقصد حتما Layer 2 ای باشد.
خب پس ترافیک را capture کرده و به سیستم Analyzer میفرستیم تا آنالیز شود. چرا port مشخص شده در Switch-1 را capture میکنیم؟ زیرا تمام ترافیکهایی که به این PC وارد یا از این PC خارج میشوند، از این port عبور خواهند کرد، پس آن را capture کرده و از طریق RSPAN به سیستم آنالیزگر ارسال میکنیم. قابل ذکر است Switch-2 هیچ تأثیری در config ندارد، چرا که config اول در Switch-1 و config دوم در Switch-3 (یا همان سوئیچ آخر) انجام میشود. همچنین لینکهای بین سوئیچها باید در حالت Trunk قرار بگیرند تا Source Interface بتواند ترافیک را از PC به یک VLAN خاص مثلا VLAN 10 که به عنوان Monitor traffic است، ارسال کند. پس از ارسال، VLAN 10 در حالت Broadcasting قرار گرفته و ترافیک را به Switch-3 میرساند، سپس Switch-3 آن را به عنوان Source در نظر گرفته و به Interface مشخص شده در تصویر ارسال میکند که config آن نیز به همین روال انجام میشود.
اگر بخواهیم از RSPAN یک جمع بندی داشته باشیم:
RSPAN زمانی به درد ما میخورد که Source یا سیستمی که میخواهیم capture شود با Destination یا سیستمی که آنالیزگر بر روی آن نصب است، در یک سوئیچ نباشند و میخواهیم حالت Remote ای SPAN را انجام دهیم.
قابلیت ERSPAN
قابلیت ERSPAN
قابلیت ERSPAN یا Encapsulated RSPAN زمانی استفاده میشود که Source ای که قرار است ترافیک های آن capture شود در یک شبکه و Destination که همان سیستمی است که نقش آنالیزگر را دارد در شبکه دیگری باشد (نه اینکه در Subnet جدا بلکه در یک شبکه جدا باشند) و برای رسیدن ترافیک از Source به Destination لازم است از چندین Router عبور کند.
نکته:
پس Source سیستمی است که قصد داریم ترافیکهای آن را capture کنیم و Destination نیز سیستمی است که وظیفه آنالیز کردن ترافیکها را توسط یک آنالیزگر برعهده دارد.
سوال:
یعنی در قابلیتهای SPAN و RSPAN بایستی در یک Subnet باشند تا Capture و آنالیز صورت بگیرد؟ خیر، در قابلیتهای SPAN و RSPAN، IP اهمیتی نداشته و ترافیک کپی شده و به یک مقصد خاصی ارسال میشود. در SPAN محدود به یک سوئیچ هستیم ولی در RSPAN میتوان در چندین سوئیچ از این قابلیت استفاده نمود و هیچ ارتباطی به IP و Subnet ندارد، و هم چنین این دو پروتکل (SPAN, RSPAN) قابلیت route شدن ندارند، اما ERSPAN این قابلیت را داراست.
شما با قابلیت ERSPAN میتوانید ترافیکی را Capture کرده و به مقصد خاصی که از چندین Router عبور میکند، ارسال نمایید. به شکل زیر توجه کنید.
همانطور که مشاهده میکنید، دو عدد Router داریم و هر قسمت دارای IP میباشد. برای اینکه ترافیک از Source به Agent انتقال پیدا کند، بایستی عملیات Routing انجام شود. (IP مربوط به Agent در Configuration بسیار مهم است که در داخل Router، config مربوطه انجام میشود.)
خب ما ماهیت قابلیتهای SPAN، RSPAN و ERSPAN را درک کردیم، حال بایستی در دنیای Virtualization آنها را بررسی کنیم.
بررسی قابلیت های Port Mirroring در VDS
وارد vCenter شده و از قسمت Networking، VDS مورد نظر را انتخاب میکنیم. سپس از تب Cofigure، Port Mirroring را انتخاب کرده و در نهایت بر روی New کلیک میکنیم تا با یک سری گزینه آشنا شویم.
در این بخش با 4 قابلیت آشنا میشویم.
• قابلیت Distributed Port Mirroring:
با فعال کردن این قابلیت، انتقال از یک port به port دیگر صورت میگیرد. به این صورت که Source یک Port ID (یا یک VDS Port group) و Destination یک Port ID دیگر باشد؛ همانند قابلیت SPAN. یا به عبارت دیگر، از یک Source خاص به یک Interface مشخص، ترافیکی ارسال میشود؛ مثلا از Port ID-42 به Port ID-43.
• قابلیت Remote Mirroring Source:
در این قابلیت، ارسال ترافیک از یک Port ID به یک Uplink خاص یا یک pNIC خاص (یا همان کارت شبکه فیزیکی سرور) انجام میشود.
• قابلیت Remote Mirroring Destination:
در این قابلیت، ارسال از یک یا چند VLAN به عنوان Source، به یک Port ID خاص به عنوان Destination صورت میگیرد. به طور مثال از VLAN 10 به یک Port ID بر روی VDS.
• قابلیت Encapsulated Remote Mirroring (L3) Source:
در واقع این قابلیت، بیانگر قابلیت ERSPAN میباشد که ترافیک از یک Port ID به یک VM، یا به یک سرور یا به PC ای که در یک شبکه دیگر قرار دارد، ارسال میشود، به این صورت که ترافیک بایستی از چندین Router عبور کرده و به سیستم آنالیزگر برسد.
اگر بخواهیم مروری بر این قسمت داشته باشیم، ارسال ترافیک در هر کدام از قابلیتها به این صورت میباشد:
• در قابلیت اول، از یک dvSwitch Port به یک dvSwitch Port دیگر ( یا از یک Port ID به Port ID دیگر)
• در قابلیت دوم، از یک dvSwitch Port به یک کارت شبکه فیزیکی سرور
• در قابلیت سوم، از یک یا چند VLAN به یک Port ID خاص.
• در قابلیت چهارم، از یک dvSwitch Port یا یک Port ID به یک سرور یا PC که باید از یک یا چند Router عبور کند.
با عرض پوزش ، دسترسی کامل به محتوای فصل ، فقط برای کاربرانی که فصل رو خریداری کرده اند ، امکان پذیر می باشد.
برای ثبت نظر ابتدا وارد حساب کاربری خود شوید
ورود به حساب کاربریهیچ نظری ارسال نشده است! اولین نظر را شما ارسال کنید...