Тармак трафигин анализдөө үчүн тармак пакетин NTOP/NPROBE же Тармактан тышкары коопсуздук жана мониторинг куралдарына жөнөтүү керек.Бул маселенин эки чечими бар:
Port Mirroring(SPAN деп да белгилүү)
Network Tap(Ошондой эле Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ж.
Эки чечимдин ортосундагы айырмачылыктарды түшүндүрүүдөн мурун (Port Mirror жана Network Tap), Ethernet кантип иштээрин түшүнүү керек.100 Мбит жана андан жогору ылдамдыкта хосттор, адатта, толук дуплексте сүйлөшөт, башкача айтканда, бир хост бир эле учурда (Tx) жана (Rx) жөнөтө алат.Бул бир хостко туташкан 100 Мбит кабелде бир хост жөнөтө/кабыл ала турган тармак трафигинин жалпы көлөмү (Tx/Rx)) 2 × 100 Мбит = 200 Мбит экенин билдирет.
Порт күзгүсү – бул пакетти активдүү репликациялоо, башкача айтканда, тармак түзмөгү пакетти чагылдырылган портко көчүрүү үчүн физикалык жактан жооп берет.
Бул аппарат бул тапшырманы кандайдыр бир ресурсту (мисалы, CPU) колдонуу менен аткарышы керек дегенди билдирет жана трафиктин эки багыты бир портко репликацияланат.Жогоруда айтылгандай, толук дуплекстүү шилтемеде, бул дегенди билдирет
A -> B жана B -> A
А суммасы пакет жоготууга чейин тармак ылдамдыгынан ашпайт.Себеби, пакеттерди көчүрүү үчүн физикалык жактан орун жок.Көрсө, портту чагылдыруу - бул эң сонун техника, анткени аны көптөгөн коммутаторлор аткара алат (бирок баары эмес), анткени көпчүлүк коммутаторлор пакеттин жоголушу кемчилиги менен, эгер сиз шилтемени 50% ашык жүктөм менен көзөмөлдөсөңүз же портторду ылдамыраак портко (мисалы, 100 Мбит портторду 1 Гбит портко күзгүзөт).Пакетти чагылдыруу которгучтардын ресурстарын алмаштырууну талап кылышы мүмкүн экенин айтпаганда да, бул аппаратты жүктөп, алмашуу ишинин начарлашына алып келиши мүмкүн.Бир портко 1 портту же 1 VLANды бир портко туташтыра аларыңызды эске алыңыз, бирок сиз көбүнчө көп портторду 1ге көчүрө албайсыз. (Пакет күзгүсү катары) жок.
Network TAP (Терминалдык мүмкүндүк алуу түйүнү)бул тармактагы трафикти пассивдүү басып ала турган толук пассивдүү аппараттык түзүлүш.Ал көбүнчө тармактын эки чекитинин ортосундагы трафикти көзөмөлдөө үчүн колдонулат.Эгерде бул эки чекиттин ортосундагы тармак физикалык кабельден турса, тармактык TAP трафикти тартуунун эң жакшы жолу болушу мүмкүн.
Тармак TAP кеминде үч портуна ээ: A порту, В порту жана монитор порту.А жана В чекиттеринин ортосуна кран коюу үчүн А жана В чекитинин ортосундагы тармак кабели бир жуп кабель менен алмаштырылат, бири ТАПтын А портуна, экинчиси ТАПтын В портуна барат.TAP бардык трафикти эки тармак түйүнүнүн ортосунда өткөрөт, ошондуктан алар дагы эле бири-бирине туташып турат.TAP ошондой эле трафикти өзүнүн монитор портуна көчүрөт, ошентип анализ аппаратын угууга мүмкүнчүлүк берет.
Тармак ТАПтары, адатта, APS сыяктуу мониторинг жана чогултуу түзмөктөрү тарабынан колдонулат.TAPтарды коопсуздук колдонмолорунда да колдонсо болот, анткени алар тоскоолдук кылбайт, тармакта байкалбайт, толук дуплекстүү жана бөлүштүрүлбөгөн тармактар менен иштей алат жана кран иштебей калса же кубаты өчүп калса да, адатта трафик аркылуу өтөт. .
Network Taps порттору гана кабыл албай, өткөрүп жибергендиктен, коммутатор порттордун артында ким отурганын билбейт.Натыйжада, ал пакеттерди бардык портторго таркатат.Ошондуктан, эгерде сиз өзүңүздүн мониторинг аппаратыңызды коммутаторго туташтырсаңыз, мындай аппарат бардык пакеттерди алат.Бул механизм, эгерде мониторинг аппараты коммутаторго эч кандай пакет жөнөтпөсө иштей тургандыгын белгилеңиз;антпесе, которгуч тапталган пакеттер мындай түзүлүш үчүн эмес деп ойлойт.Ага жетүү үчүн, сиз TX зымдарын туташтырбаган тармак кабелин колдонсоңуз болот, же пакеттерди такыр өткөрбөй турган IP-кем (жана DHCP-кем) тармак интерфейсин колдонсоңуз болот.Акырында белгилеп коюңуз, эгерде сиз пакеттерди жоготпоо үчүн кранды колдонгуңуз келсе, анда же багыттарды бириктирбеңиз же басылган багыттар биригүү портуна (мисалы, 1 Гбит) караганда жайыраак (мисалы, 100 Мбит) болгон которгучту колдонбоңуз.
Ошентип, тармактык трафикти кантип тартуу керек?Network Taps vs Switch Ports Mirror
1- Оңой конфигурация: Network Tap > Port Mirror
2- Тармактын иштешинин таасири: Network Tap < Port Mirror
3- Тартып алуу, репликациялоо, бириктирүү, багыттоо мүмкүнчүлүгү: Network Tap > Port Mirror
4- Трафикти багыттоо кечигүү: Network Tap < Port Mirror
5- Трафикти алдын ала иштетүү мүмкүнчүлүгү: Network Tap > Port Mirror
Посттун убактысы: 30-март-2022
