Yönetilebilir Ağ anahtarlarında (switch) port kopyalama (port mirror)

Comment

Network

Merhaba
Yönetilebilir ağ anahtarları (switch) üzerinde bir porta giden/gelen trafiği başka bir porta kopyalamak mümkün.
Genellikle kullanım alanı ağ geçidi(firewall, router vs.) cihazlarının bulunduğu portu başka bir porta kopyalamak amacı ile kullanılır.
Peki neden port kopyalama(aynalama) yapılır?
Genellikle amaç trafiğin bir kopyasını alıp bunu kayıt altına alabilecek bir cihaza yönlendirmektir.
Log ürünleri genellikle bu yöntemi kullanmayı tercih ederler.

Bu bağlamda bilinen bazı switch’ler üzerinde nasıl port kopyalama yapılacağına bakalım.

1- Cisco
Log cihazının takılı olduğu port fa0/4
Firwall’un takılı olduğu port fa0/3

Kopyalanmasını istediğimiz port (Firewall’un takılı olduğu port): Source Port fa0/3
Hedef Port(Kayıt altına alacak Log cihazının takılı olduğu port): Destination Port fa0/4

– Switch üzerinde birden fazla portu ikinci bir hedef porta kopyalama yapabilmek için ise;
Source Port fa0/3
Destination Port fa0/5

– Kopyalama yapılan portları switch üzerinde görebilmek için;

2- HP
HP’nin bazı switch’lerinde A1-12, B13-24, C25-36, D37-48 olarak port numaraları vardır bazılarında ise direkt port numarası yazarbilmektedir. ( 1-2-3-4-5-6…)

Log cihazının yakılı olduğu port “ethernet 9”
Firewall’ın takılı olduğu port “ethernet 3”

Bu işlemden sonra hangi port(ethernet) kopyalanacak ise o port’un ayarlarına girilir. Genelde Firewall’ın takılı olduğu port kopyalanır. Böylece ağ trafiğinin ağdaki güvenlik duvarına giriş portu kopyalanır ve tüm ağ internet trafiği görülmüş olur.

Monitor komutu verilir.

Ethernet ayarlarından çıkılır.

Ayarlar kayıt edilir.

3- Junniper
Burada LOG yazan kısım tanım olarak girilmiştir.

Kopyalanacak port belirlendikten sonra hangi porta (LOG cihazını bağlı olduğu port) kopyalanacağı ayarlanır.
Aşağıdaki komut’u girdikten sonra ge-0/0/7.0 ethernete gelen ve giden trafiği ge-1/0/22.0 ethernete kopyalandı.

Bu işlemden sonra ayarların geçerli olması için “commit” yazılır.

Not:Junniper ürünlerinde log analizi yapacak port üzerine l2,l3 trafiği çalışmaz. Yani o port üzerinden Log cihazınıza ulaşamazsınız.

Leave a Reply