ในยุคดิจิทัลที่ทุกสิ่งเชื่อมต่อกันด้วยเครือข่ายคอมพิวเตอร์ธุรกิจและองค์กรต่างๆต้องพึ่งพาเครือข่ายที่มีเสถียรภาพประสิทธิภาพและความปลอดภัยการตรวจสอบและวิเคราะห์การทำงานของเครือข่ายจึงกลายเป็นสิ่งที่ไม่สามารถมองข้ามได้อีกต่อไปไม่ว่าจะเป็นการเฝ้าระวังการใช้งานแบนด์วิดท์การตรวจจับภัยคุกคามทางไซเบอร์หรือการวิเคราะห์ปัญหาที่เกิดขึ้นในเครือข่ายเครื่องมือและเทคนิคที่ใช้ในการตรวจสอบเครือข่ายจึงมีความสำคัญอย่างยิ่งต่อการดำเนินธุรกิจ
ปัญหาที่องค์กรส่วนใหญ่มักเผชิญคือการขาดเครื่องมือที่เหมาะสมในการตรวจสอบเครือข่ายอย่างละเอียดการใช้เพียงเครื่องมือพื้นฐานอาจไม่เพียงพอต่อการระบุปัญหาที่ซับซ้อนหรือการตรวจจับภัยคุกคามที่แฝงตัวอยู่ในทราฟฟิกจำนวนมหาศาลการลงทุนในเครื่องมือวิเคราะห์เครือข่ายที่มีประสิทธิภาพจึงเป็นสิ่งจำเป็นแต่การติดตั้งและใช้งานเครื่องมือเหล่านี้ก็ต้องอาศัยความเข้าใจในโครงสร้างเครือข่ายและการทำงานของอุปกรณ์เครือข่ายต่างๆ
บทความนี้จะพาคุณไปทำความรู้จักกับเทคนิคสำคัญที่เรียกว่า “Port Mirroring บน Switch สำหรับ Network Monitoring” ซึ่งเป็นฟีเจอร์ที่ช่วยให้คุณสามารถคัดลอกทราฟฟิกที่ผ่านเข้าออกพอร์ตหนึ่งหรือหลายพอร์ตบนสวิตช์ไปยังเครื่องมือวิเคราะห์เครือข่ายเพื่อทำการตรวจสอบและวิเคราะห์ได้อย่างละเอียดเราจะเจาะลึกถึงหลักการทำงานประเภทของการทำ Port Mirroring วิธีการติดตั้งและตั้งค่ารวมถึงข้อควรระวังและข้อผิดพลาดที่พบบ่อยเพื่อให้คุณสามารถนำไปประยุกต์ใช้ในการตรวจสอบเครือข่ายของคุณได้อย่างมีประสิทธิภาพ
สิ่งที่ควรรู้เพิ่มเติม
Port Mirroring คืออะไรและทำไมต้องใช้?
Port Mirroring หรือที่รู้จักกันในชื่อ SPAN (Switched Port Analyzer) คือฟีเจอร์ที่ช่วยให้เราสามารถคัดลอกทราฟฟิกที่วิ่งผ่านพอร์ตหนึ่ง (หรือหลายพอร์ต) บนสวิตช์ไปยังพอร์ตปลายทาง (Destination Port) ซึ่งโดยทั่วไปแล้วจะเชื่อมต่อกับเครื่องมือวิเคราะห์เครือข่ายเช่น Wireshark, Snort, หรือระบบ NIDS (Network Intrusion Detection System) หลักการทำงานคือสวิตช์จะทำการสำเนาแพ็กเก็ตทั้งหมดที่ผ่านเข้าออกพอร์ตต้นทางและส่งสำเนาเหล่านั้นไปยังพอร์ตปลายทางโดยไม่มีผลกระทบต่อการทำงานปกติของเครือข่าย
ทำไมต้องใช้ Port Mirroring? เหตุผลหลักคือเพื่อเพิ่มความสามารถในการมองเห็น (Visibility) ในเครือข่ายของเราการตรวจสอบทราฟฟิกที่วิ่งผ่านเครือข่ายช่วยให้เราสามารถระบุปัญหาต่างๆได้อย่างรวดเร็วไม่ว่าจะเป็นปัญหาคอขวด (Bottleneck), การใช้งานแบนด์วิดท์ที่ผิดปกติ, หรือแม้แต่การโจมตีทางไซเบอร์นอกจากนี้ Port Mirroring ยังช่วยให้เราสามารถตรวจสอบการปฏิบัติตามนโยบายด้านความปลอดภัย (Security Compliance) และวางแผนปรับปรุงประสิทธิภาพของเครือข่ายได้อีกด้วย
ในประสบการณ์ของผม (อ.บอม) ที่ติดตั้ง Network มากว่า 600 จุดทั่วประเทศ Port Mirroring เป็นเครื่องมือที่ขาดไม่ได้ในการแก้ไขปัญหาเครือข่ายที่ซับซ้อนหลายครั้งที่ปัญหาเกิดจากอุปกรณ์ที่ส่งข้อมูลผิดปกติหรือมีการใช้งาน Bandwidth เกินความจำเป็นการใช้ Port Mirroring ช่วยให้ผมสามารถระบุต้นตอของปัญหาได้อย่างแม่นยำและแก้ไขได้อย่างตรงจุด
สิ่งที่ควรรู้เพิ่มเติม
ประเภทของ Port Mirroring
Port Mirroring มีหลายประเภทแต่ละประเภทก็มีข้อดีข้อเสียและเหมาะกับการใช้งานที่แตกต่างกันประเภทหลักๆที่ควรรู้จักมีดังนี้:
* **Local Port Mirroring:** เป็นการคัดลอกทราฟฟิกจากพอร์ตต้นทางไปยังพอร์ตปลายทางที่อยู่บนสวิตช์ตัวเดียวกันใช้งานง่ายและเหมาะสำหรับการตรวจสอบทราฟฟิกใน Segment ของเครือข่ายที่เชื่อมต่อกับสวิตช์นั้น
* **Remote Port Mirroring (RSPAN):** ใช้สำหรับคัดลอกทราฟฟิกจากพอร์ตต้นทางบนสวิตช์ตัวหนึ่งไปยังพอร์ตปลายทางบนสวิตช์อีกตัวหนึ่งที่อยู่ต่าง Segment ของเครือข่ายโดยทราฟฟิกที่ถูกคัดลอกจะถูกส่งผ่าน VLAN พิเศษ (RSPAN VLAN) ข้อดีคือสามารถตรวจสอบทราฟฟิกในเครือข่ายขนาดใหญ่ที่มีสวิตช์หลายตัวได้
* **Encapsulated Remote Port Mirroring (ERSPAN):** เป็นเทคโนโลยีที่พัฒนาต่อยอดจาก RSPAN โดยมีการห่อหุ้ม (Encapsulation) ทราฟฟิกที่ถูกคัดลอกด้วยโปรโตคอล GRE (Generic Routing Encapsulation) ทำให้สามารถส่งทราฟฟิกข้ามเครือข่าย IP ได้อย่างมีประสิทธิภาพ ERSPAN เหมาะสำหรับเครือข่ายขนาดใหญ่ที่มีการเชื่อมต่อระหว่างสาขาหรือมีการใช้งาน Cloud Computing
การเลือกประเภทของ Port Mirroring ที่เหมาะสมขึ้นอยู่กับขนาดและความซับซ้อนของเครือข่ายรวมถึงความต้องการในการตรวจสอบทราฟฟิกหากเป็นเครือข่ายขนาดเล็ก Local Port Mirroring อาจเพียงพอแต่สำหรับเครือข่ายขนาดใหญ่ที่มีสวิตช์หลายตัว RSPAN หรือ ERSPAN อาจเป็นทางเลือกที่ดีกว่า
สิ่งที่ควรรู้เพิ่มเติม
ข้อดีและข้อเสียของ Port Mirroring
Port Mirroring มีประโยชน์มากมายแต่ก็มีข้อจำกัดบางประการที่ต้องพิจารณา:
| คุณสมบัติ | ข้อดี | ข้อเสีย |
|——————-|——————————————————————————————————————————————————-|—————————————————————————————————————————————————————————————————|
| **Visibility** | มองเห็นทราฟฟิกทั้งหมดที่ผ่านพอร์ตที่กำหนดทำให้สามารถตรวจจับปัญหาและภัยคุกคามได้รวดเร็ว | อาจสร้างภาระให้กับสวิตช์โดยเฉพาะอย่างยิ่งหากมีการคัดลอกทราฟฟิกจำนวนมาก |
| **การวิเคราะห์ปัญหา** | ช่วยในการระบุสาเหตุของปัญหาคอขวด, การใช้งาน Bandwidth ที่ผิดปกติ, หรือปัญหา Latency | การวิเคราะห์ทราฟฟิกที่ถูกคัดลอกต้องอาศัยเครื่องมือและทักษะที่เหมาะสม |
| **Security** | ช่วยในการตรวจจับการโจมตีทางไซเบอร์, การพยายามเจาะระบบ, หรือการแพร่กระจายของ Malware | อาจละเมิดความเป็นส่วนตัวของผู้ใช้งานหากไม่มีการควบคุมการเข้าถึงข้อมูลที่ถูกคัดลอกอย่างเหมาะสม |
| **Compliance** | ช่วยในการตรวจสอบว่าเครือข่ายเป็นไปตามข้อกำหนดด้านความปลอดภัย (Security Compliance) หรือไม่ | การตั้งค่า Port Mirroring ที่ไม่ถูกต้องอาจส่งผลกระทบต่อประสิทธิภาพของเครือข่าย |
| **การวางแผน** | ข้อมูลที่ได้จากการวิเคราะห์ทราฟฟิกสามารถนำไปใช้ในการวางแผนปรับปรุงประสิทธิภาพของเครือข่ายได้ | การเก็บรักษาข้อมูลที่ถูกคัดลอกต้องเป็นไปตามกฎหมายและนโยบายที่เกี่ยวข้อง |
| **ความง่ายในการใช้** | Local Port Mirroring ใช้งานง่ายและไม่ต้องมีการกำหนดค่าที่ซับซ้อน | RSPAN และ ERSPAN มีความซับซ้อนในการตั้งค่ามากกว่า |
สิ่งที่ควรรู้เพิ่มเติม
วิธีการติดตั้งและตั้งค่า Port Mirroring
การตั้งค่า Port Mirroring จะแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของสวิตช์แต่โดยทั่วไปแล้วจะมีขั้นตอนดังนี้:
1. **เข้าสู่ระบบจัดการของสวิตช์:** โดยทั่วไปจะทำผ่าน Web Interface หรือ Command Line Interface (CLI)
2. **ระบุพอร์ตต้นทาง (Source Port):** คือพอร์ตที่เราต้องการคัดลอกทราฟฟิก
3. **ระบุพอร์ตปลายทาง (Destination Port):** คือพอร์ตที่เราจะเชื่อมต่อเครื่องมือวิเคราะห์เครือข่าย
4. **เปิดใช้งาน Port Mirroring:** โดยระบุพอร์ตต้นทางและพอร์ตปลายทางที่ต้องการ
ตัวอย่างการตั้งค่า Port Mirroring บน Cisco Switch ผ่าน CLI:
“`
configure terminal
monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination interface GigabitEthernet0/2
end
“` ตามที่ผู้เชี่ยวชาญได้อธิบายไว้ในบทความ: Forex Basics
คำอธิบาย:
* `monitor session 1`: สร้าง Session สำหรับ Port Mirroring โดยกำหนดหมายเลขเป็น 1
* `source interface GigabitEthernet0/1 both`: กำหนด GigabitEthernet0/1 เป็นพอร์ตต้นทางและคัดลอกทั้ง Inbound และ Outbound Traffic
* `destination interface GigabitEthernet0/2`: กำหนด GigabitEthernet0/2 เป็นพอร์ตปลายทาง
หลังจากตั้งค่าเสร็จแล้วให้ตรวจสอบว่า Port Mirroring ทำงานอย่างถูกต้องโดยใช้เครื่องมือวิเคราะห์เครือข่ายตรวจสอบว่าได้รับทราฟฟิกที่ถูกคัดลอกมาหรือไม่
สิ่งที่ควรรู้เพิ่มเติม
ข้อควรระวังและข้อผิดพลาดที่พบบ่อย
การตั้งค่า Port Mirroring อาจมีข้อผิดพลาดที่พบบ่อยซึ่งอาจส่งผลกระทบต่อประสิทธิภาพของเครือข่ายหรือทำให้การตรวจสอบทราฟฟิกไม่เป็นไปตามที่คาดหวังข้อควรระวังและข้อผิดพลาดที่พบบ่อยมีดังนี้:
* **Overloading Destination Port:** หากปริมาณทราฟฟิกที่ถูกคัดลอกมีมากเกินไปพอร์ตปลายทางอาจรับไม่ไหวทำให้เกิด Packet Loss และข้อมูลที่ได้ไม่สมบูรณ์แก้ไขโดยการเลือกพอร์ตปลายทางที่มี Bandwidth สูงหรือจำกัดปริมาณทราฟฟิกที่ถูกคัดลอก
* **ใช้พอร์ตปลายทางผิด:** การเลือกพอร์ตปลายทางที่ไม่ถูกต้องอาจทำให้ทราฟฟิกที่ถูกคัดลอกไปรบกวนการทำงานของอุปกรณ์อื่นๆในเครือข่ายควรตรวจสอบให้แน่ใจว่าพอร์ตปลายทางไม่ได้ใช้งานอยู่หรือเป็นพอร์ตที่ออกแบบมาสำหรับการตรวจสอบทราฟฟิกโดยเฉพาะ
* **ลืมปิด Port Mirroring:** หลังจากเสร็จสิ้นการตรวจสอบควรปิด Port Mirroring เพื่อป้องกันไม่ให้สวิตช์ทำงานหนักเกินไปและลดความเสี่ยงด้านความปลอดภัย
* **ปัญหาเรื่อง Bandwidth:** การทำ Port Mirroring จะเพิ่มภาระให้กับ Switch หาก traffic เยอะอาจทำให้ switch ทำงานช้าลงหรือ bandwidth เต็มได้ต้องระวังและ monitor การใช้งาน CPU/Memory ของ switch ด้วยข้อมูลอ้างอิงจากดูรายละเอียด: EA 4×4 ซึ่งอธิบายไว้อย่างละเอียด
สมัยทำ SiamCafe.net (1997) ผมเคยเจอปัญหา server ทำงานช้าลงผิดปกติตอนแรกนึกว่าโดน Hack แต่พอเช็คดูปรากฏว่ามีคนแอบเปิด Port Mirroring ทิ้งไว้ทำให้ traffic วิ่งวนอยู่ใน network แก้ไขโดยการปิด Port Mirroring ก็กลับมาใช้งานได้ปกติ
สิ่งที่ควรรู้เพิ่มเติม
Port Mirroring กับการรักษาความปลอดภัยของเครือข่าย
Port Mirroring มีบทบาทสำคัญในการรักษาความปลอดภัยของเครือข่ายโดยช่วยให้เราสามารถตรวจจับภัยคุกคามทางไซเบอร์ได้รวดเร็วและแม่นยำขึ้นการใช้ Port Mirroring ร่วมกับระบบ NIDS (Network Intrusion Detection System) หรือ SIEM (Security Information and Event Management) ช่วยให้เราสามารถ:
* **ตรวจจับการโจมตี:** ระบุการโจมตีแบบ Denial-of-Service (DoS), การพยายามเจาะระบบ (Brute-Force Attack), หรือการแพร่กระจายของ Malware
* **วิเคราะห์พฤติกรรมที่น่าสงสัย:** ตรวจสอบพฤติกรรมการใช้งานเครือข่ายที่ผิดปกติเช่นการดาวน์โหลดไฟล์ขนาดใหญ่ในช่วงเวลาที่ไม่เหมาะสมหรือการเข้าถึงเว็บไซต์ที่ไม่ได้รับอนุญาต
* **ตรวจสอบการรั่วไหลของข้อมูล:** ตรวจจับการส่งข้อมูลสำคัญออกนอกองค์กรโดยไม่ได้รับอนุญาต (Data Leakage)
การใช้ Port Mirroring ในการรักษาความปลอดภัยของเครือข่ายต้องทำอย่างระมัดระวังและคำนึงถึงความเป็นส่วนตัวของผู้ใช้งานควรมีการกำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจนเพื่อให้การตรวจสอบทราฟฟิกเป็นไปอย่างโปร่งใสและเป็นธรรม
อย่าลืมว่า Port Mirroring เป็นแค่เครื่องมือหนึ่งในการรักษาความปลอดภัยของเครือข่ายควรใช้ร่วมกับเครื่องมือและเทคนิคอื่นๆเช่น Firewall, Intrusion Prevention System (IPS), และ Security Awareness Training เพื่อสร้างระบบรักษาความปลอดภัยที่แข็งแกร่ง
ลองนึกภาพว่าคุณมี PoE Switch สำหรับกล้อง IP Camera เลือกกี่วัตต์ 2026 หลายตัวการทำ Port Mirroring บน Switch เหล่านั้นจะช่วยให้คุณสามารถตรวจสอบการทำงานของกล้องแต่ละตัวได้อย่างละเอียดและตรวจจับปัญหาที่อาจเกิดขึ้นเช่นกล้องถูก Hack หรือมีการส่งข้อมูลที่ผิดปกติ
- บทความ: Broker XM
- Harmonic Pattern ABCD Bat Gartley วิธีใช้ [2026] [2026]
สิ่งที่ควรรู้เพิ่มเติม
Port Mirroring คืออะไร — อธิบาย แบบ เข้าใจ ง่าย
Port Mirroring คือ ฟีเจอร์ บน Managed Switch ที่ คัดลอก ข้อมูล (Traffic) จาก พอร์ต หนึ่ง หรือ หลาย พอร์ต ไป ยัง พอร์ต ปลายทาง ที่ กำหนด เพื่อ ให้ เครื่องมือ วิเคราะห์ เครือข่าย เช่น Wireshark IDS IPS สามารถ ดู ข้อมูล ที่ วิ่ง ผ่าน เครือข่าย ได้ โดย ไม่ กระทบ การ ทำงาน ของ เครือข่าย ปกติ เหมือน ติดตั้ง กล้อง วงจรปิด สำหรับ เครือข่าย ดู ว่า ข้อมูล อะไร วิ่ง ไป ไหน ใคร ใช้ Bandwidth เยอะ มี Traffic ผิดปกติ ไหม
ทำไม ต้อง ใช้ Port Mirroring
- Troubleshoot ปัญหา เครือข่าย: เครือข่าย ช้า หา สาเหตุ ไม่ เจอ ใช้ Port Mirroring จับ Traffic มา วิเคราะห์ ด้วย Wireshark หา ว่า อะไร กิน Bandwidth
- ตรวจจับ มัลแวร์: มัลแวร์ บาง ตัว ส่ง ข้อมูล ออก ไป ภายนอก ใช้ Port Mirroring จับ Traffic ผิดปกติ ได้
- IDS IPS (Intrusion Detection/Prevention): ระบบ ตรวจจับ การ บุกรุก ต้อง ดู Traffic ทั้งหมด ใช้ Port Mirroring ส่ง Traffic ไป ให้ IDS วิเคราะห์
- Compliance: บาง อุตสาหกรรม ต้อง บันทึก Traffic เครือข่าย ตาม กฎหมาย เช่น PDPA ใช้ Port Mirroring ส่ง Traffic ไป เก็บ บันทึก
- วิเคราะห์ ประสิทธิภาพ: ดู ว่า Application ไหน ใช้ Bandwidth เท่า ไหร่ มี Latency เท่า ไหร่ วางแผน ขยาย เครือข่าย
วิธี ตั้ง ค่า Port Mirroring บน Switch ยอดนิยม
Cisco Catalyst
บน Cisco เรียก ว่า SPAN (Switched Port Analyzer) ตั้ง ค่า ผ่าน CLI ตัวอย่าง คำสั่ง กำหนด Source Port เป็น พอร์ต ที่ ต้องการ Monitor กำหนด Destination Port เป็น พอร์ต ที่ ต่อ กับ เครื่อง Wireshark เลือก ว่า จะ Mirror Traffic ขาเข้า (rx) ขาออก (tx) หรือ ทั้ง 2 ทาง (both) Cisco รองรับ RSPAN (Remote SPAN) สำหรับ Mirror Traffic ข้าม Switch ได้ ด้วย
HP Aruba / HPE OfficeConnect
บน HP เรียก ว่า Mirror Port ตั้ง ค่า ผ่าน CLI หรือ Web GUI ง่าย กว่า Cisco เลือก Source Port และ Destination Port บันทึก ค่า ใช้ งาน ได้ เลย
MikroTik
บน MikroTik ใช้ ฟีเจอร์ Packet Sniffer หรือ ตั้ง ค่า Mirror Port ใน Bridge Settings ผ่าน WinBox เลือก Port ที่ ต้องการ Mirror เลือก Port ปลายทาง ง่าย มาก MikroTik ยัง สามารถ Stream Traffic ไป ยัง เครื่อง Wireshark ผ่าน เครือข่าย โดยตรง ไม่ ต้อง ต่อ สาย เพิ่ม
Switch ที่ รองรับ Port Mirroring
| Switch | ประเภท | Port Mirroring | ราคา |
|---|---|---|---|
| TP-Link TL-SG108E | Easy Smart | รองรับ | 800 ถึง 1200 บาท |
| MikroTik CRS326 | Managed L3 | รองรับ + Packet Sniffer | 5000 ถึง 8000 บาท |
| Cisco Catalyst 2960 | Managed L2 | SPAN + RSPAN | 8000 ถึง 20000 บาท |
| HP Aruba 1930 | Managed L2 | รองรับ | 5000 ถึง 12000 บาท |
สำคัญ: Unmanaged Switch (Switch ธรรมดา ไม่มี หน้า ตั้ง ค่า) ไม่ รองรับ Port Mirroring ต้อง ใช้ Managed Switch หรือ อย่าง น้อย Easy Smart Switch
Port Mirroring vs Network TAP
| คุณสมบัติ | Port Mirroring | Network TAP |
|---|---|---|
| ราคา | ฟรี (มี ใน Switch) | 5000 ถึง 50000 บาท |
| กระทบ ประสิทธิภาพ Switch | อาจ กระทบ เล็กน้อย | ไม่ กระทบ เลย |
| Packet Loss | อาจ มี (Traffic เยอะ) | ไม่มี (100% capture) |
| ติดตั้ง | ตั้ง ค่า ใน Switch | ต่อ สาย เพิ่ม ระหว่าง อุปกรณ์ |
| เหมาะ สำหรับ | Troubleshoot ทั่วไป SME | Security Monitoring Data Center |
เครื่องมือ วิเคราะห์ Traffic ที่ ใช้ กับ Port Mirroring
| เครื่องมือ | ราคา | ใช้ ทำ อะไร |
|---|---|---|
| Wireshark | ฟรี | จับ และ วิเคราะห์ Packet ละเอียด ทุก Packet เหมาะ สำหรับ Troubleshoot |
| ntopng | ฟรี (Community) | แสดง กราฟ การ ใช้ Bandwidth แบบ Real-time แยก ตาม IP Application |
| Suricata | ฟรี | IDS IPS ตรวจจับ Traffic ผิดปกติ มัลแวร์ การ โจมตี |
| Zeek (Bro) | ฟรี | บันทึก Traffic เครือข่าย เป็น Log วิเคราะห์ ย้อนหลัง |
| Security Onion | ฟรี | รวม Suricata Zeek Kibana เป็น ระบบ SOC สำเร็จรูป |
RSPAN — Mirror Traffic ข้าม Switch
RSPAN (Remote SPAN) คือ ฟีเจอร์ ขั้น สูง ที่ ทำให้ Mirror Traffic จาก Switch ตัว หนึ่ง ไป ยัง Switch อีก ตัว หนึ่ง ผ่าน เครือข่าย โดย ใช้ VLAN พิเศษ เหมาะ สำหรับ เครือข่าย ใหญ่ ที่ มี Switch หลาย ตัว แต่ เครื่อง วิเคราะห์ อยู่ ที่ เดียว ตัวอย่าง เช่น ต้องการ Monitor Traffic จาก Switch ชั้น 3 แต่ เครื่อง Wireshark อยู่ ที่ ห้อง Server ชั้น 1 ใช้ RSPAN ส่ง Traffic จาก Switch ชั้น 3 ผ่าน VLAN มา ยัง Switch ที่ ห้อง Server ออก พอร์ต ที่ ต่อ กับ Wireshark ไม่ ต้อง ย้าย เครื่อง Wireshark ไป ชั้น 3 รองรับ เฉพาะ Cisco และ Switch ระดับ Enterprise
ข้อ ควร ระวัง สำคัญ เมื่อ ใช้ Port Mirroring
- Bandwidth Destination Port: ถ้า Mirror Traffic จาก หลาย พอร์ต ไป พอร์ต เดียว Traffic รวม อาจ เกิน Bandwidth ของ Destination Port ทำให้ Packet Loss ตัวอย่าง Mirror Traffic จาก 4 พอร์ต Gigabit ไป 1 พอร์ต Gigabit Traffic รวม อาจ ถึง 4 Gbps แต่ Destination Port รับ ได้ แค่ 1 Gbps Packet Loss 75 เปอร์เซ็นต์ แก้ โดย ใช้ Destination Port ที่ มี Bandwidth สูง กว่า เช่น 10 Gbps หรือ Mirror เฉพาะ พอร์ต ที่ จำเป็น
- ผล กระทบ ต่อ Switch: Port Mirroring ใช้ ทรัพยากร ของ Switch เพิ่ม CPU ของ Switch อาจ สูง ขึ้น Switch ราคาถูก อาจ ช้า ลง เมื่อ เปิด Port Mirroring ถ้า ไม่ ได้ ใช้ ปิด Port Mirroring ด้วย
- ความ ปลอดภัย: Traffic ที่ Mirror ออก มา มี ข้อมูล ทุก อย่าง รวมถึง รหัสผ่าน ข้อมูล ส่วนตัว เครื่อง ที่ รับ Traffic ต้อง ปลอดภัย ไม่ ให้ คน ไม่ เกี่ยวข้อง เข้าถึง
- ไม่ เปิด ค้าง ไว้: เปิด Port Mirroring เฉพาะ เมื่อ ต้องการ วิเคราะห์ Traffic เสร็จ แล้ว ปิด ไม่ เปิด ค้าง ไว้ ตลอด เวลา ยกเว้น ใช้ กับ IDS ที่ ต้อง Monitor ตลอด 24 ชั่วโมง
Port Mirroring สำหรับ SME ไทย
SME ไทย ส่วนใหญ่ ใช้ Unmanaged Switch ที่ ไม่ รองรับ Port Mirroring แนะนำ อัปเกรด เป็น Easy Smart Switch เช่น TP-Link TL-SG108E ราคา แค่ 800 ถึง 1200 บาท รองรับ Port Mirroring VLAN QoS คุ้มค่า มาก เมื่อ เครือข่าย มี ปัญหา ช้า หรือ สงสัย ว่า มี มัลแวร์ เปิด Port Mirroring จับ Traffic ด้วย Wireshark วิเคราะห์ ปัญหา ได้ ทันที ไม่ ต้อง เรียก ช่าง ไม่ ต้อง จ่าย ค่า บริการ แก้ ปัญหา เองได้
กรณี ศึกษา จริง
ออฟฟิศ 50 คน เครือข่าย ช้า หา สาเหตุ ไม่ เจอ
ออฟฟิศ 50 คน เครือข่าย ช้า มาก ทุก คน บ่น อินเทอร์เน็ต ช้า IT ตรวจสอบ Router Switch ปกติ Bandwidth อินเทอร์เน็ต เหลือ เยอะ ตั้ง ค่า Port Mirroring บน Core Switch Mirror Traffic จาก Uplink Port ไป เครื่อง Wireshark วิเคราะห์ Traffic พบ ว่า คอมพิวเตอร์ 1 เครื่อง ส่ง Broadcast Storm ออก มา ตลอด เวลา ทำให้ เครือข่าย ทั้ง ออฟฟิศ ช้า ตรวจสอบ เครื่อง นั้น พบ ว่า ติด มัลแวร์ ถอด สาย LAN ออก เครือข่าย กลับ มา เร็ว ทันที ถ้า ไม่มี Port Mirroring หา สาเหตุ ไม่ เจอ เลย
บริษัท ใช้ Port Mirroring กับ IDS
บริษัท ติดตั้ง Suricata IDS บน เครื่อง Linux ตั้ง ค่า Port Mirroring บน Switch Mirror Traffic ทั้งหมด ไป ยัง เครื่อง IDS Suricata วิเคราะห์ Traffic ตลอด เวลา แจ้งเตือน เมื่อ พบ Traffic ผิดปกติ เช่น มี เครื่อง ติดต่อ กับ C&C Server ของ มัลแวร์ มี เครื่อง สแกน พอร์ต ภายใน เครือข่าย มี เครื่อง พยายาม Brute Force Login IT Admin ได้ รับ แจ้งเตือน ทันที แก้ไข ก่อน เกิด ความ เสียหาย
สรุป
Port Mirroring บน Switch เป็นเครื่องมือที่มีประโยชน์อย่างมากสำหรับการตรวจสอบและวิเคราะห์การทำงานของเครือข่ายช่วยให้เราสามารถมองเห็นทราฟฟิกที่วิ่งผ่านเครือข่ายได้อย่างละเอียดระบุปัญหาต่างๆได้รวดเร็วและตรวจจับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพการเลือกประเภทของ Port Mirroring ที่เหมาะสมการตั้งค่าที่ถูกต้องและการใช้งานร่วมกับเครื่องมือวิเคราะห์เครือข่ายจะช่วยให้คุณสามารถใช้ประโยชน์จาก Port Mirroring ได้อย่างเต็มที่
อย่างไรก็ตามการใช้ Port Mirroring ก็ต้องทำอย่างระมัดระวังและคำนึงถึงข้อจำกัดและข้อควรระวังต่างๆควรมีการกำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจนเพื่อให้การตรวจสอบทราฟฟิกเป็นไปอย่างโปร่งใสและเป็นธรรมและไม่ละเมิดความเป็นส่วนตัวของผู้ใช้งานนอกจากนี้อย่าลืมที่จะ monitor การใช้งาน CPU/Memory ของ switch ด้วยเพราะการทำ Port Mirroring จะเพิ่มภาระให้กับ Switch หาก traffic เยอะอาจทำให้ switch ทำงานช้าลง
ถ้าคุณกำลังมองหา Switch ที่รองรับ Port Mirroring หรือต้องการคำแนะนำในการตั้งค่าและใช้งานสามารถปรึกษาผู้เชี่ยวชาญจาก SiamLancard ได้เรามีประสบการณ์ในการติดตั้งและดูแลรักษาเครือข่ายมาอย่างยาวนานพร้อมให้คำแนะนำและบริการที่ดีที่สุด
📖 อ่านเพิ่มเติม: SiamCafe.net ตำนาน IT ไทย 29 ปี
💡 บทความที่เกี่ยวข้อง: CafeFX Panel
📈 IT professional สนใจ Forex เป็นรายได้เสริม ดูที่ iCafeForex.com
