我想这是大家经常使用的一种现场捕捉报文的方法。这种方式有一定的弊端,需要大家提前了解,这样才能更好的进行报文的分析。
01
交换机会对错误的报文进行过滤,网络中出现的错误报文是不会被捕捉到的,这意味在这种条件下,你可能无法判断错误报文所带来的原因,例如EMC干扰。
02
带宽的问题,图例中交换机的端口是百兆全双工,那么对于端口1和端口2的数据交互的带宽总量是200M(发送和接收的总和),因为端口1的数据全部被映像到端口3,而端口3的带宽Zui多是100M,这意味着当端口1的网络负荷超过50M的时候,捕捉的报文就会失真。
03
当捕捉PN IORT的报文时,需要对PC侧网卡进行设置,因为默认的状态下网卡会对报文中的VLAN标签是去除的,只有对网卡进行正确设置才能看到报文中的VLAN标签。
04
不能使用普通的交换机,例如SCALANCE X208进行捕捉PNIRT的报文,需要使用IRT的交换机,只能捕捉一侧的数据报文,要么是发送的,要么是接收的,不能接收到发送和接收的数据。
05
端口镜像不能一定保证被捕捉数据顺序的准确性,因为照镜子的过程需要复原,这个过程交换机可能会对报文顺序的处理产生错误。例如下图是正确的TCP的3次握手的报文顺序。
而端口镜像的方式可能扑捉到错误的TCP3次握手的结果。例如下图中对比正确的上图中的[SYN]和[SYN,ACK]两个报文的顺序发生了变化。这一点需要你事先要理解协议的工作原理,发生这种情况要有个心里准备,知道这是什么原因造成的,而不是认为TCP连接发生错误!
那么说了这么多弊端,大家可能就会说这种方式我不能用了,或者这种方式没有什么用啊等等。这里我需要和大家澄清的是这种方式是目前性价比zuijia的方式,没有之一。因为在你的网络中,管理型的交换机可能随处都有,需要设置端口镜像就能进行报文捕捉,没有,备用一台管理型交换机,需要监控哪一段网络,就放置到哪里,简单方便。我所说的弊端都是有条件的,例如VLAN标签的去除,你要想我是否需要捕捉到VLAN标签,它对我的用处是什么,还有带宽问题,你确信你要监控的网段带宽会超过50M?我想99%的现场不会出现,更何况你也不会让它出现。去除这些在某些条件下的弊端,这是目前对于大家zuihao的报文捕捉方式!
当然,西门子也有其它方式解决上述出现的弊端。在这里给大家推荐一个西门子专业的捕捉报文的硬件和软件,它们就是硬件为BUSANALYZER XM,软件为BanyScope。硬件实际上就是一个TAP,软件用于网络数据分析,如果需要查看报文,仍然需要使用Wireshark工具。具体的连接方式,这里给大家看一个简单的网络拓扑的实例。
对于使用BUS ANALYZER XM模块时,需要在PC侧安装BanyScope软件配合使用。因为硬件模块内部集成TAP,捕捉报文的结果即所见即所得,交换机捕捉报文时带来的上述缺点都不复存在了
