SPAN 端口
这篇博文的目的是为您提供关于在现实生活中的网络分析情况下实际使用 SPAN 端口的更多技术用应信息,以及SPAN 端口所有优点和缺点,便于您了解 SPAN 端口的一些深入应用。
刷新基础
SPAN 端口是一种交换机功能,此功能可以让你获得数据包副本,请记住,此功能要求交换机是可配置的,因此“哑”的 5 到 16 端口交换机可能根本无法做到这一点,除非它是硬连线用于镜像数据包的特殊交换机。
“SPAN”代表“ Switch P ort AN anlyzer ” ,如果我没记错的话,它最初是为了能够调试交换机功能而不是对端点对话进行故障排除而发明的。今天,SPAN 几乎总是用于数据包分析,侦听您通常看不到的设备之间的数据包。为此,管理员配置源端口,即您想要从中复制数据包的端口(也称为“镜像”端口)和目标端口(“监控” 港口)。值得注意的是,监控端口只是交换机上的任何常规端口,它通过 SPAN 会话的配置,扮演着监控端口的角色。
对于大多数交换机,监控端口的行为与普通端口的行为不同,因为监控端口停止接受来自连接设备的数据包。这意味着大多数监视器端口只会将数据包从交换机发送到连接到它的捕获设备,但会丢弃来自捕获设备的任何内容。这很重要,原因有很多:防止捕获设备干扰生产网络。但这也意味着一旦您将端口配置为监控端口,您就不能再使用它与任何人(包括交换机)通信。所以要小心不要把自己销在外面通过在具有交换机管理 IP 地址的单个端口上配置监视器端口(否则您将不得不进入串行控制台模式,如果交换机没有,则恢复出厂设置是可能是您恢复设备的唯一选择)
有些交换机的监控端口继续像普通交换机端口一样工作(意思是,接收和传输照常工作),这是您需要注意的事情。特别是便宜的交换机和带有硬连线监视器端口的交换机可能会这样做,所以如果您不确定,请先测试。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
好的跨度
SPAN 端口非常有用:
1. 它们可以方便地访问您通常根本看不到的数据包,而无需购买额外的硬件
2. 使用 SPAN 端口不会中断网络链接
3. 可以使用或多或少简单的 CLI命令或 Web 界面打开和关闭 SPAN 会话
4. SPAN 可以提供对多个源端口甚至 VLAN 的聚合访问
1. 访问数据包
另外提醒一下,如果没有 SPAN 端口,您的捕获设备将看不到您要捕获的数据包,因为交换机只会在两个相互通信的设备之间转发它们:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 1:没有 SPAN 的交换
因此,使用 SPAN / Mirror 功能,交换机会将“镜像”端口上所有数据包的副本发送到连接捕获设备的“监控”端口:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 2 – 发送到捕获设备的副本
2.无网络链接中断
启用 SPAN 通常是一件简单的事情:您不必拔掉任何生产链路(除非所有端口都在使用中并且您没有用于网络捕获设备的空闲端口),只需将交换机配置为发送副本端口到“监视器”端口。唯一要做的就是找到一个可以用作监控端口的空闲端口,并将捕获设备连接到它(通常是笔记本电脑或其他 PC)IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
3. 通过 CLI 或 Web GUI 配置
可能比较少的系统管理员技能的人会使用 Web GUI,是比较廉价开关的。值得注意的是,某些开关很难找到正确的配置选项,但在 Google 或其他搜索引擎的帮助下,通常很容易在 GUI 中找到正确的命令或位置。以下是我之前使用的一些示例:
思科 CLI 示例:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
HP Web GUI 示例:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 3:HP SOHO Switch Web GUI
您可以指定是否要在数据包进入端口或离开端口时进行镜像,或两者都进行(参见图 3 中的“TX 和 RX”,或上述 Cisco 示例中的“both”参数)。如果您只跨越单个源端口,您通常需要“两者”,否则对话的一侧将丢失。只指定一个方向的主要原因是它在镜像两个方向导致跟踪重复的情况下提供了更大的灵活性。
顺便说一句,有一些非常旧的交换机虽然可以管理,但没有 SPAN 功能(比如 3COM Superstack 旧交换机)。如果你发现这样的开关,请更换它,这很重要。
4. SPAN 可以提供对多个来源的聚合访问
大多数交换机允许向 SPAN 配置添加多个源端口,您可以在单个监控端口上同时捕获多个设备或链接。专业交换机(一个带有“启用”和“配置”命令的命令提示符,以及有效的维护合同)也允许指定一个或多个源 VLAN,这可用于越来越多的便宜的可管理开关。
跨越 VLAN 意味着您可以访问所有进入和/或离开交换机的数据包,这些数据包属于您指定的一个或多个 VLAN。虽然这听起来很方便,但如果您这样做,您需要格外小心,我们将在本文后面了解原因。另外,请记住,指定源 VLAN 可能不会为您提供 VLAN 中的所有数据包:您只会获得那些必须通过SPAN 会话运行的交换机的数据包!而不是所有的数据包。
把配置交换机的所有交换机端口 或 VLAN镜像到监控端口,这不是“监控网络上所有内容的好方法”。原因是“带宽瓶颈”,IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
糟糕的跨度
SPAN 端口在捕获情况下并非一直都是好的。有一些场景使用 SPAN 端口很难操作,即使很方便,但它不能提供所需的精度,也有可能会损害网络。SPAN 问题列表包括:
1. 监控端口的带宽瓶颈
2. 强调交换机CPU
3. 精度不够
监控端口的带宽瓶颈
带宽瓶颈是 SPAN 会话的主要问题,即使您只是将单个端口镜像到具有相同带宽的监控端口,例如创建一个将 1Gbps 端口上的所有数据包转发到 1Gbps 监控端口的 SPAN 会话。原因是:1Gbps 全双工端口的最大组合带宽为 2Gbps(1Gbps 接收和 1Gbps 传输)。监控端口只能向捕获设备使用传输,这意味着在最坏的情况下,需要在 1Gbps 链路上推送 2Gbps。如果有很多流量,会出现交换机丢包的情况。
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 4 – SPAN 会话丢弃数据包
交换机会丢包。这意味着您的捕获设备只会看到一组不完整的数据包,甚至不知道有丢包,因为它们发生在网卡看到有传入数据包之前。交换机无法向捕获设备发出它必须丢弃数据包的信号。因此,双向带宽非常高的端口(例如骨干链路)创建 SPAN 端口并不是一个好方法。或者使用 SPAN 将 10Gbps 链接镜像到 1Gbps 链接。可能会出现很多警告的捕获文件,如下所示:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 5:发生丢包的示例
您会看到许多带有 Wireshark 创建的“ACKed unseen segment”警告的小数据包,因为大数据包无法通过,而 TCP 确认数据包将小到足以通过瓶颈。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
如果向 SPAN 会话添加更多源端口或整个 VLAN,情况会迅速升级。假设您需要捕获虚拟主机发送和接收的内容,并且它连接到具有 4 个链路的千兆交换机。由于虚拟机可能会根据某种负载平衡策略使用 4 个链接中的任何一个,因此您可能需要同时捕获所有链接。配置 4 个可能高度饱和的链路的 SPAN 端口将意味着您将面临高达 8Gbps 的总带宽,如果您使用 1Gbps 监控端口,如果运气不好,您将丢失大约 8 个数据包中的 7 个。这甚至没有接近良好的捕捉精度。
强调交换机CPU
使用 SPAN 端口的另一个重要方面是它可能会给交换机 CPU 带来额外的负载。这当然取决于开关的品牌和型号。虽然在大多数情况下交换机通常在非常快的硬件层上转发生产链路数据包,而无需涉及 CPU,但 SPAN 会话的情况通常不同。CPU 必须管理镜像过程,因此向 SPAN 会话添加越来越多的源端口可能会使交换机陷入困境:
§ 一些交换机通过在镜像期间跳过数据包来对此做出反应,这意味着当真正的数据包仍然被转发时,监控端口不会得到副本,或者延迟/乱序副本
§ 其他交换机会遇到一般问题,在生产链路上丢失或延迟数据包,以及为您提供不完整的监控端口副本
§ 我见过的最糟糕的情况是交换机开始将所有数据包泛洪到所有端口,我称之为交换机说明:“好吧,我放弃了,让我们进入紧急模式并假装我是一个集线器”
精度不够
SPAN端口捕获的最大问题是在某些捕获情况下精度不够好。这些情况包括
§ 高带宽环境:始终牢记 SPAN 端口必须聚合复制到监控端口的端口的接收和传输带宽。因此,如果您将 1Gbps 全双工链路 SPAN 到 1Gbps 监控端口,您必须考虑总带宽是否可能超过 1Gbps(总共高达 2Gbps),在这种情况下您将不得不处理丢包问题。
当然,您可以将 1Gbps 全双工端口扩展到更快的端口,例如 10Gbps 监控端口来解决这个问题。但这需要交换机有一个备用的 10Gbps 端口,并且你有一个可以以该线速捕获的捕获设备——这意味着,在 2016 年撰写本文时,笔记本电脑不是这样的选择,因为它们没有t 配备 10Gbps 端口。大多数 10G 端口也是光纤,这完全是另一回事,因为您需要匹配的采集卡。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
§ 当任务是确定数据包丢失的位置时:这是使用 SPAN 端口的自动“不可行”。
问题是这样的:如果您在捕获文件中确定一个数据包在捕获点丢失,您只能证明您没有捕获它。我的问题是这样的:“你能否保证 99.99% 的情况不仅仅是因为镜像端口瓶颈导致 SPAN 会话不得不丢弃它?你能肯定地说这个数据包真的从未在交换机上存在过吗?”。不,你不能。
我有一个案例,我必须证明防火墙阻止了一些它应该允许通过的数据包,而其他数据包则很好。这个问题是您无法使用 SPAN 端口解决的问题之一——您需要传入和传出链路上的 TAP 来证明这种事情(相信我,如果您没有,防火墙供应商将与您的捕获分析结果作斗争。 '不要使用高精度捕获 TAP。去过那里,做过很多次)。
§ 证明数据包的存在和传递:你能保证仅仅因为你在监控端口看到一个数据包就离开了生产链路上的交换机吗?我遇到过这样一种情况,即数据包由交换机发送到服务器的 NIC,这是有故障的并忽略了它——无法确定数据包是否在 SPAN 会话的线路上——只能假设,在某些情况下,这可能还不够好(同样,服务员通常会尽可能地与您的结果作斗争)。如果您需要证明网络正在完成其工作,则不能使用基于 SPAN 的捕获来证明数据包实际上已传递到服务器 NIC。您需要改用 TAP。
§ 确定网络中两点之间的数据包延迟(在大多数情况下,这本身就是一项复杂的任务):如果您必须测量网络中两个位置之间的数据包延迟,您通常会寻找个位数毫秒,在某些情况下低至纳秒案例。
我有一个软件从大型机迁移到 Linux 服务器的案例,并且通过网络到数据库的 TCP 往返完全破坏了性能,所以客户想知道是网络延迟了两台服务器之间的数据包,还是应用程序设计问题(修复成本要高得多,所以他们希望这是网络问题)。我知道两台服务器之间只有三个交换机,根据经验,交换机不会增加任何明显的延迟,除非某些东西真的坏了或设计得很糟糕。切换延迟也在微秒到纳秒的范围内,这排除了使用 SPAN 的可能性——因为 SPAN 时序会因镜像过程而失真。您永远无法信任微秒到纳秒范围内的镜像数据包时间戳。所以我不得不使用全双工 TAP 来证明网络是好的。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
丑陋的跨度
当有好的和坏的时候,通常也有丑陋的,在这种情况下意味着某些东西有效但可能有问题:
1. 生产链路上的数据包排队延迟:某些交换机在 SPAN 镜像过程中出于某种原因延迟了生产链路上的数据包。虽然这些延迟在单个数据包基础上可能并不那么重要,但它可能会增加令人讨厌的程度,因此请注意在 SPAN 捕获期间生产系统出现的问题。它们非常罕见,但它会发生。
2. 运行仍处于出厂设置的交换机:我去过一个客户站点,那里从未配置过所有交换机,以默认模式运行。连接到 24 端口交换机的默认 IP 并获得 48 端口交换机的 Web 界面有点有趣(我的第一个想法是有人搞砸了 Web 界面设计,但不,这是一个 48 端口交换机,一个如果我没记错的话,DLink)。原因是所有交换机都具有相同的默认 IP 地址,而 24 端口交换机是“核心”,而 48 端口交换机是分布层。那么,当我物理连接到 24 端口交换机时,为什么我得到了 48 端口交换机之一呢?
因为:“最后的 ARP 答案通常会获胜”。想一想:我的笔记本电脑 ARPed 为交换机的默认 IP。当然,24 端口交换机首先响应,但在我的 Web 浏览器连接到 IP 之前,其他交换机也响应稍晚一点,覆盖了 IP 的 ARP 表条目。所以我没有得到最快的设备,而是其他设备之一。我不得不将三个交换机重新配置为不同的 IP 地址,直到我最终可以访问我真正想访问的交换机,IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
3. 不稳定的交换机操作系统:我希望这已成为过去,但我经历过这种情况:大型的专业核心交换机在 SPAN 会话再次被禁用时,会重新启动2006年版的设备。核心交换机在高频交易的金融机构的维护窗口之外重新启动是件非常不幸的事。在配置 SPAN 会话(添加或删除它们)时会遇到麻烦,除非您积累了丰富的经验可以处理好交换机。
4. 重复:SPAN 端口可以给您重复,但它们会严重破坏分析结果。重复的主要原因是镜像过程多次创建副本:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 6:导致重复的 SPAN 会话
重复通常只发生在您跨越多个端口时,如图 6 所示。如果您跨越一个 VLAN(或多个 VLAN)也会发生这种情况,因为它会给您提供进入和离开交换机上 VLAN 的数据包,类似于多端口源 SPAN。对于 VLAN SPAN,解决此问题的一种方法是指定您只执行数据包进入VLAN或离开VLAN,而不是两者。在大多数情况下,属正常工作,因为只获取一次相同的数据包。当跨多个端口时,会出现重复捕获。
某些交换机也可能在您只跨一个端口时给您出现重复,因为它们会将多播和广播数据包转发到监控端口,以及来自镜像端口的相同数据包的副本。
有关如何处理重复以及为什么它会混淆 Wireshark TCP 专家(以及我见过的大多数其他 TCP 专家系统)的更多详细信息,IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
5. RSPAN : RSPAN是一种允许“远程” SPAN端口的技术,当笔记本电脑连接到交换机但数据包镜像配置在另一个交换机上时:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 7:通过 VLAN 的远程 SPAN
有时,RSPAN可以更方便操作。我见过网络管理员使用 RSPAN,因为他们不想坐在寒冷和嘈杂的数据中心,他们通过 VLAN 将数据包传输到他们所在的温暖舒适的办公室进行捕获。我自己对 RSPAN 有两个主要想法。
第一个想法是它给生产网络增加了额外的负载,因为复制的数据包需要通过 VLAN 传输到捕获笔记本电脑。这可能看起来不多,但如果网络已经非常繁忙,它可能就会出现混乱。当转发的数据包无法通过带宽瓶颈时,它还可能导致捕获中的数据包丢失(当存在带宽问题时,SPAN 数据包通常被认为是“首先丢弃”)
第二个想法是数据包计时严重失真,因为它们在捕获笔记本电脑上得到时间戳,这或多或少远离它们经过的点。最后,任何与时间或数据包丢失有关的网络分析都无法使用 RSPAN 可靠地执行——结果总是会受到挑战,因为额外的传输可能会搞砸事情。
6. ERSPAN: ERSPAN 类似于 RSPAN(包括问题),但不是通过 VLAN 传输数据包,而是通过第 3 层网络隧道传输数据包,这允许跨路由器边界捕获数据包(这通常会使事情变得更糟,因为路由器通常是额外的瓶颈):
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 8:通过第 3 层隧道的远程 SPAN
这是数据包在隧道中传输时的样子(一个捕获文件,其中包含为捕获文件携带数据包的数据包):IT澶栧寘 鏈嶅姟鍣ㄨ櫄鎷熷寲 鏁版嵁瀛樺偍 鏁版嵁澶囦唤 鏁版嵁鎭㈠IT澶栧寘 鏈嶅姟鍣ㄨ櫄鎷熷寲 鏁版嵁瀛樺偍 鏁版嵁澶囦唤 鏁版嵁鎭㈠
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
图 9:ERSPAN 数据包的示例解码
您可以看到 TCP 数据包是如何使用具有 ERSPAN 协议类型的 GRE 标头传输的。在 ERSPAN 路径末端捕获的膝上型计算机只会看到以第二个以太网 II 标头开头的数据包内容。我对 RSPAN 的所有问题也适用于 ERSPAN,另外一点是路由器通常比交换机更严重的瓶颈。
7. VLAN 标记:在许多情况下,SPAN 端口不会让您访问 VLAN 标记数据包的 VLAN 标记信息,而只会将未标记数据包的副本发送到监控端口(甚至完全不让您访问)。当您需要使用完整的 VLAN 标签捕获数据包时,这样非常烦人。如果您在源为多个 VLAN 的监控端口上进行捕获,尤其烦人,因为如果 VLAN 标记被剥离,您将无法判断数据包随后属于哪些 VLAN。可以强制某些交换机不剥离 VLAN 标记,例如通过在某些 Cisco 交换机上指定封装类型:
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除|数据恢复 www.xiaolin.cc
我曾经遇到过一个 Cisco 交换机(我认为是 Catalyst 6509)的问题,它没有用于监控会话的“封装”参数。如果我没记错的话,我们通过将监控端口定义为中继端口来解决该问题,从而导致交换机将带有 VLAN 标记的数据包发送到捕获设备。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
9. LACP:如果您尝试捕获协商链路聚合的LACP通信,则会出现类似的问题:SPAN 端口通常不会将这些复制到监控端口(我自己从 Cisco 和 HP 交换机中看到了这种行为,但它可能已经改变)——因此,如果您希望看到 LACP 帧但没有结果,使用 SPAN 端口可能会出现问题时,您必须改用 TAP。
10. 可信赖性:SPAN 是一种编程到交换机操作系统中的功能——因此,如果有人设法渗透到网络并操纵交换机操作系统,则镜像数据包可能会被修改或忽略。这意味着当您使用 SPAN 时,您需要记住它可能会对您隐藏不好的东西。这意味着如果您担心攻击者端的复杂程度,您需要使用 TAP。
最后的话:
SPAN 端口很有用,它是迄今为止最常见的访问数据包的方式,同时需要考虑一些事项。即使它不如一个好的 TAP 精确,但它是捕获数据包的首选方式。总结一下它最大的特点:易于设置、易于删除,并且不会损害网络连接。他们很方便。
SPAN 最佳实践
1. 当所需的捕获精度允许时,不要害怕使用SPAN端口(有关不允许的情况,请参阅下面的项目符号列表)。能够避免插入 TAP 时出现的链路中断中断是 SPAN 端口的巨大优势。
2. 你知道“测量两次,切割一次”这句话吗?– 它可以适用于 SPAN 端口配置,如下所示:“确定SPAN 会话的源端口和目标端口两次。记下来。然后配置一次。奖励:仔细检查您的配置语句是否与您的注释相符”——因为在所有 SPAN 会话问题中,有 75% 的结果是有人写错了源端口或目标端口。可能会破坏整个网络。多检查几次,避免意外发生。
3. 在将源端口添加到 SPAN 会话时检查 CPU 负载。尽量保持在 50% 以下,永远不要超过 75%。当然,这也取决于交换机的现有负载,如果您遇到麻烦,您的交换机会遇到非常奇怪的问题。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
4. 在监控端口上捕获几秒钟,要检查是否是你预期的内容(IP 范围、VLAN 等),避免当运行长达一周的捕获后才发现您镜像了错误的端口,这很糟糕。
5. 注意在 SPAN 捕获期间出现的故障单,并确保 SPAN 会话不会导致网络出现问题。这是非常罕见的,但并非完全不可能。
6. 如果考虑在DFIR情况下使用 SPAN ,请记住交换机也可能已被破坏,从而将重要的数据包隐藏在您的视线之外。
7. 如果可能,请避免使用 RSPAN 或 ERSPAN——如果运气不好,额外的传输会打乱时间和数据包顺序,从而导致潜在的无效分析结果。
8. 捕获完成后删除 SPAN端口,因为在大多数情况下它将禁用端口以进行正常操作。
最后,列出 SPAN 端口不够好的情况(当然,如果它是您情况下唯一合理的选择,您仍然可以尝试使用它):
§ 寻找负责丢失数据包的设备
§ 确定准确的时间,尤其是端到端的总延迟小于 50 毫秒
§ 证明设备连接到的链路上存在数据包
§ 整体网络负载太高而无法由监控端口处理
§ 无法承受任何类型的数据包丢失的取证调查(导致无法重建二进制有效负载)
因此,请谨慎选择您的捕获策略,因为您的分析/取证结果将取决于获得良好的捕获结果。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
莆田网络运维|服务器维修IT外包|数据存储|数据备份|数据恢复 www.xiaolin.cc