Aby bolo možné analyzovať sieťovú prevádzku, je potrebné odoslať sieťový paket do NTOP/NPROBE alebo nástrojov na zabezpečenie a monitorovanie siete mimo pásma.Existujú dve riešenia tohto problému:
Port Mirroring(tiež známy ako SPAN)
Klepnite na sieť(známe aj ako Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, atď.)
Pred vysvetlením rozdielov medzi týmito dvoma riešeniami (Port Mirror a Network Tap) je dôležité pochopiť, ako funguje Ethernet.Pri 100 Mbit a viac hostitelia zvyčajne hovoria v plnom duplexe, čo znamená, že jeden hostiteľ môže odosielať (Tx) a prijímať (Rx) súčasne.To znamená, že na 100 Mbit kábli pripojenom k jednému hostiteľovi je celkové množstvo sieťovej prevádzky, ktorú môže jeden hostiteľ odosielať/prijímať (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Zrkadlenie portov je aktívna replikácia paketov, čo znamená, že sieťové zariadenie je fyzicky zodpovedné za kopírovanie paketu na zrkadlený port.
To znamená, že zariadenie musí vykonať túto úlohu pomocou nejakého zdroja (napríklad CPU) a oba smery prevádzky budú replikované na rovnaký port.Ako už bolo spomenuté, v Plne duplexnom prepojení to znamená, že
A -> B a B -> A
Súčet A neprekročí rýchlosť siete pred stratou paketov.Je to preto, že fyzicky nie je priestor na kopírovanie paketov.Ukazuje sa, že zrkadlenie portov je skvelá technika, pretože ho môže vykonávať veľa prepínačov (ale nie všetky), pretože väčšina prepínačov má nevýhodu straty paketov, ak monitorujete spojenie s viac ako 50% zaťažením alebo zrkadlíte porty na rýchlejší port (napr. zrkadlové 100 Mbit porty na 1 Gbit port).Nehovoriac o tom, že zrkadlenie paketov môže vyžadovať výmenu prostriedkov prepínačov, čo môže zaťažiť zariadenie a spôsobiť zhoršenie výkonu výmeny.Všimnite si, že môžete pripojiť 1 port k jednému portu alebo 1 VLAN k jednému portu, ale vo všeobecnosti nemôžete skopírovať veľa portov do 1. (Takže zrkadlo paketov) chýba.
Sieťový TAP (koncový prístupový bod)je plne pasívne hardvérové zariadenie, ktoré dokáže pasívne zachytávať prevádzku v sieti.Bežne sa používa na monitorovanie prevádzky medzi dvoma bodmi v sieti.Ak sieť medzi týmito dvoma bodmi pozostáva z fyzického kábla, sieťový TAP môže byť najlepším spôsobom na zachytenie prevádzky.
Sieťový TAP má aspoň tri porty: port A, port B a port monitora.Ak chcete umiestniť kohútik medzi body A a B, sieťový kábel medzi bodom A a bodom B sa nahradí párom káblov, z ktorých jeden smeruje do portu A TAP a druhý do portu B TAP.TAP prechádza všetku komunikáciu medzi dvoma sieťovými bodmi, takže sú stále navzájom prepojené.TAP tiež kopíruje prevádzku do svojho monitorovacieho portu, čím umožňuje analyzačnému zariadeniu počúvať.
Sieťové TAP bežne používajú monitorovacie a zberné zariadenia, ako je APS.TAP sa dajú použiť aj v bezpečnostných aplikáciách, pretože nie sú rušivé, nie sú detekovateľné v sieti, dokážu si poradiť s plne duplexnými a nezdieľanými sieťami a zvyčajne prechádzajú prenosom, aj keď kohútik prestane fungovať alebo stratí energiu. .
Keďže porty Network Taps neprijímajú, ale iba vysielajú, prepínač nemá potuchy, kto sedí za portami.Dôsledkom je, že vysiela pakety na všetky porty.Ak teda k prepínaču pripojíte svoje monitorovacie zariadenie, takéto zariadenie bude prijímať všetky pakety.Všimnite si, že tento mechanizmus funguje, ak monitorovacie zariadenie nepošle žiadny paket do prepínača;v opačnom prípade bude prepínač predpokladať, že odpočúvané pakety nie sú pre takéto zariadenie.Aby ste to dosiahli, môžete použiť buď sieťový kábel, na ktorý ste nepripojili TX vodiče, alebo použiť sieťové rozhranie bez IP (a bez DHCP), ktoré pakety vôbec neprenáša.Nakoniec si všimnite, že ak chcete použiť klepnutie na to, aby ste nestratili pakety, potom buď nezlučujte smery, alebo použite prepínač, kde sú klepnuté smery pomalšie (napr. 100 Mbit) ako zlučovací port (napr. 1 Gbit).
Ako teda zachytiť sieťovú prevádzku?Sieťové odbočky verzus zrkadlový prepínač portov
1- Jednoduchá konfigurácia: Ťuknite na sieť > Port Mirror
2- Vplyv na výkon siete: Ťuknutie na sieť < Port Mirror
3- Schopnosť zachytávania, replikácie, agregácie, preposielania: Klepnite na sieť > Zrkadlo portu
4- Latencia presmerovania prevádzky: Ťuknutie na sieť < Port Mirror
5- Kapacita predbežného spracovania premávky: Klepnite na Sieť > Zrkadlo portu
Čas odoslania: 30. marca 2022
