6.2. Мережі Ethernet, хаби і комутатори

 

У мережах Ethernet хаби (концентратор, hub) і комутатори (switch) є центральними точками підключення до мережі комп’ютерів або інших мережевих пристроїв. У сукупності ці комп’ютери складають сегмент мережі. У рамках цього сегмента всі комп’ютери можуть «спілкуватися» безпосередньо один з одним. Хаби – менш «інтелектуальні» пристрої, ніж комутатори: вони просто приймають вхідні пакети через один порт і передають їх на інші порти. Ця властивість відмінно підходить для моніторингу в режимі promiscuous (від англ. нерозбірливий).

На відміну від хабів, комутатори аналізують всі пакети по мірі їх надходження і перевіряють MAC-адреси джерела і призначення. Після цього пакет передається в потрібний порт. У комутованих мережах мережевий аналізатор обмежений в своїх функціях прийомом broadcast- і multicast-пакетів, а також прийомом трафіку, що передається і отримується тим комп’ютером, на якому встановлений аналізатор. Нижче показана типова картина мережевої активності в комутованій мережі.

На малюнку 4 можна побачити велику кількість broadcast-пакетів, що посилаються хостами локальної мережі на IP-broadcast-адреси, при цьому ви не можете побачити нормальний unicast- трафік між цими хостами і Інтернетом. Не дивлячись на те, що більшість комутаторів не дозволяють здійснювати моніторинг в режимі promiscuous, багато комутаторів можуть бути конфігуровані так, щоб переправляти пакети на спеціальний порт для моніторингу. Нижче буде описане застосування хабів і комутаторів в моніторингу мереж.

 

Мал. 4. Типова картина мережевої активності
в комутованій мережі

 

Моніторинг за допомогою хабів

 

У невеликих мережах хаби достатньо поширені з-за їх невеликої вартості, але все-таки слід звернути увагу на можливі проблеми в їх застосуванні. По-перше, хаби відкриті для несанкціонованого моніторингу зсередини вашого сегмента мережі, оскільки кожен порт може бути використаний для promiscuous-моніторингу. По-друге, різні види «інтелектуальних» хабів («auto-sensing», «dual-speed», «switching», «intelligent») можуть не дозволити вам вести моніторинг всього сегмента мережі. Цю проблему розглянемо навівши декілька варіантів мереж з використанням хабів (мал. 5–7).

Це найбільш простий і очевидний варіант. Тут будь-який комп’ютер, підключений до хабу, може бути комп’ютером для моніторингу, оскільки хаб передає прийняті/передані дані від маршрутизатора (router) на всі порти. Також відзначимо, що можливий моніторинг обміну між локальними ПК.

 

Мал. 5. Моніторинг за допомогою хабів. Варіант 1

 

У цьому варіанті (мал. 6) хаб знаходиться між маршрутизатором і комутатором. Ви можете спостерігати дані, прийняті/передані з Інтернету, але дані, якими обмінюються локальні ПК, вам недоступні.

Мал. 6. Моніторинг за допомогою хабів. Варіант 2

 

Мал. 7. Моніторинг за допомогою хабів. Варіант 3

 

У даному варіанті показано, як можна здійснювати моніторинг невеликої локальної мережі, в якій немає комутатора. Це типова топологія домашньої або невеликої офісної мережі, де маршрутизатор суміщений з комутатором, до якого у свою чергу підключені інші комп’ютери. Для моніторингу даних, що передаються або приймаються з Інтернету, ви можете встановити хаб між Інтернетом і вашим маршрутизатором. Важливо відзначити, що програма мережевого моніторингу не зможе розрізняти трафік від різних робочих станцій, якщо у цих робочих станцій, що знаходяться за маршрутизатором, не буде зовнішніх (routable) IP-адрес. Якщо у них немає зовнішніх IP-адрес, то всі пакети матимуть одну IP-адресу, тобто публічна IP-адреса вашої мережі.

 

Хаби: можливі проблеми

 

Крім того, щоб хаби мали меншу продуктивність, ніж комутатори, ви можете зіткнутися ще з двома проблемами при promiscuous-моніторингу з використанням хабів.

Перша проблема пов’язана з двохшвидкісними («auto-sensing») хабами, які підтримують апаратуру, що працює як із швидкістю 10 Мбіт/с, так і 100 Мбіт/с. Такі хаби не передають даних з портів, що працюють із швидкістю 10 Мбіт/с, портам, що працюють із швидкістю 1000 Мбіт/с і навпаки. Цю проблему можна вирішити, налаштувавши все ваше устаткування на якусь одну швидкість. Більшість багатошвидкісних карт дають вам можливість задати бажану швидкість.

Друга проблема пов’язана з хабами, які тільки формально називаються хабами, але всередині є комутаторами (так роблять деякі виробники, наприклад, Linksys). Виробники часто називають їх «інтелектуальними» або «комутованими», але можуть і не робити це. Навіть якщо в документації цього явно не вказано, хаб цілком може виявитися комутатором. Єдиний спосіб з’ясувати це – спробувати попрацювати з такою апаратурою. Старі і недорогі хаби найчастіше виявляються «справжніми» хабами. Іншим хорошим індикатором того, що перед вами «справжній» хаб – це індикатор (LED) колізій. У комутованих мережах колізій не буває, тому у комутатора ви такого індикатора не побачите.

 

Моніторинг за допомогою комутаторів

 

Керований (managed) комутатор з підтримкою дзеркалювання (mirroring) портів (функція, що дає змогу перенаправляти трафік з одних портів на певний порт комутатора) – ідеальний пристрій для мережевого моніторингу. Настройки дзеркалювання портів залежать від моделі і виробника (існують десятки подібних моделей, з цінами від $100 до кількох тисяч).

Нижче показано два типові варіанти з використанням з дзеркалювання портів (мал. 8, 9).

Мал. 8. Моніторинг за допомогою комутаторів. Варіант 1

 

У цьому варіанті головний комутатор має функцію дзеркалювання портів. ПК моніторингу підключений до «дзеркального» порту, на який переправляється весь трафік з локальних робочих станцій і маршрутизатора. Комутатор можна налаштувати на перенаправлення даних з одного або з кількох портів.

 

Мал. 9. Моніторинг за допомогою комутаторів. Варіант 2

 

Якщо в сегменті локальної мережі використовуються некеровані (unmanaged) комутатори, що не підтримують дзеркалювання портів, то ви можете додати керований комутатор. Направляючи Інтернет-трафік через комутатор, що підтримує дзеркалювання портів, ви підключаєте ПК моніторингу до дзеркального порту і тим самим отримуєте можливість перехоплювати трафік між локальними робочими станціями і маршрутизатором. Майте на увазі, що при даному мережевому підключенні у вас не буде можливості спостерігати трафік між локальними робочими станціями, оскільки він проходить через некеровані комутатори, і, отже, не доходить до керованого комутатора.