A hálózati forgalom elemzéséhez el kell küldeni a hálózati csomagot az NTOP/NPROBE vagy a sávon kívüli hálózati biztonsági és megfigyelő eszközökhöz. Két megoldás van erre a problémára:
Kikötői tükrözés(más néven Span)
Hálózati csap(más néven replikációs csap, aggregációs csap, aktív csap, rézcsap, Ethernet Tap stb.)
Mielőtt elmagyarázná a két megoldás (Port Mirror és Hálózat Tap) közötti különbségeket, fontos megérteni, hogyan működik az Ethernet. 100 mbit és annál magasabb sebességgel a házigazdák általában teljes duplexben beszélnek, ami azt jelenti, hogy egy gazdagép egyszerre küldhet (TX) és fogadhat (RX). Ez azt jelenti, hogy az egyik gazdagéphez csatlakoztatott 100 Mbit kábelnél a hálózati forgalom teljes összege, amelyet egy gazdagép küldhet/fogadhat (TX/RX)), 2 × 100 Mbit = 200 Mbit.
A port tükrözés aktív csomag replikációja, ami azt jelenti, hogy a hálózati eszköz fizikailag felelős a csomag másolásáért a tükrözött portra.
Ez azt jelenti, hogy az eszköznek ezt a feladatot valamilyen erőforrás (például a CPU) felhasználásával kell elvégeznie, és mindkét forgalmi irányt ugyanabba a portra replikálják. Mint korábban említettük, egy teljes duplex linkben ez azt jelenti
A -> b és b -> a
Az A összege nem haladja meg a hálózati sebességet, mielőtt a csomagveszteség bekövetkezik. Ennek oka az, hogy fizikailag nincs hely a csomagok másolására. Kiderül, hogy a port tükrözés nagyszerű technika, mivel sok kapcsolóval (de nem minden) végrehajtható, mivel a legtöbb kapcsoló a csomagvesztés hátrányával, ha a linket több mint 50% -os terheléssel figyeli, vagy a portokat egy gyorsabb portra tükrözi (pl. Tükrözz 100 MBit portot egy 1 GBIT portra). Nem is beszélve arról, hogy a csomag tükrözéshez kapcsolók cseréje szükséges, ami betöltheti az eszközt és a csere teljesítmény lebontását okozhatja. Vegye figyelembe, hogy 1 portot csatlakoztathat egy porthoz, vagy 1 VLAN -t egy porthoz, de általában nem másolhat sok portot 1 -re (tehát, amint a csomag tükör) hiányzik.
Hálózati érintés (Terminal Access Point)egy teljesen passzív hardver eszköz, amely passzív módon rögzítheti a forgalmat a hálózaton. Általában a hálózat két pontja közötti forgalom megfigyelésére használják. Ha a két pont közötti hálózat fizikai kábelből áll, akkor a hálózati érintés lehet a legjobb módja a forgalom rögzítésének.
A hálózati csapnak legalább három portja van: egy port, A B port és egy monitor port. Az A és B pontok közötti csap elhelyezéséhez az A és a B pont közötti hálózati kábelt kicserélik egy pár kábelre, az egyik a Tap egy portra, a másik a Tap B portjába megy. A TAP az összes forgalmat a két hálózati pont között haladja meg, így még mindig kapcsolódnak egymáshoz. A csap a forgalmat másolja a monitor portjára is, ezáltal lehetővé téve az elemző eszköz hallgatását.
A hálózati csapokat általában a megfigyelő és gyűjtőeszközök, például az APS használják. A TAP-k a biztonsági alkalmazásokban is használhatók, mivel ezek nem zavaróak, nem detektálhatók a hálózaton, teljes duplex és nem megosztott hálózatokkal képesek kezelni, és általában áthaladnak a forgalomban, még akkor is, ha a csap leáll, vagy elveszíti az energiát.
Mivel a hálózati csapok portjait nem kapják meg, de csak továbbítják, a kapcsolónak nincs értelme, aki a portok mögött ül. Ennek következménye az, hogy a csomagokat minden portra közvetíti. Ezért, ha a megfigyelő eszközt a kapcsolóhoz csatlakoztatja, az ilyen eszköz minden csomagot megkap. Vegye figyelembe, hogy ez a mechanizmus akkor működik, ha a megfigyelő eszköz nem küld egyetlen csomagot a kapcsolóra; Ellenkező esetben a kapcsoló azt feltételezi, hogy a becsapott csomagok nem ilyen eszközre vonatkoznak. Ennek elérése érdekében használhat olyan hálózati kábelt, amelyen nem csatlakoztatta a TX vezetékeket, vagy használhat egy IP-nélküli (és DHCP-nélküli) hálózati felületet, amely egyáltalán nem továbbítja a csomagokat. Végül vegye figyelembe, hogy ha egy csapot szeretne használni a csomagok elvesztéséhez, akkor ne egyesítse az utasításokat, vagy használjon olyan kapcsolót, ahol a csapott utasítások lassabbak (pl. 100 Mbit), hogy az egyesítő port (pl. 1 GBit).
Szóval, hogyan lehet rögzíteni a hálózati forgalmat? Hálózati csapok vs kapcsoló portok tükör
1- Könnyű konfiguráció: Hálózat érintse meg> Port Tükör
2- Network Performance Befolyás: Hálózat érintése <port tükör
3- Fejlesztés, replikáció, aggregáció, továbbítási képesség: Hálózati csap> Port Mirror
4- A forgalom továbbítási késése: Hálózati érintés <port tükör
5- Forgalmi előfeldolgozási kapacitás: Hálózati érintés> Port Tükör
A postai idő: március 30-2022
