Na analýzu sieťovej prevádzky je potrebné odoslať sieťový paket do NTOP/NPROBE alebo Out-of-band Network Security and Monitoring Tools. Existujú dve riešenia tohto problému:
Zrkadlenie portov(tiež známy ako SPAN)
Sieťový klepnite(tiež známy ako replikačný odbočovač, agregačný odbočovač, aktívny odbočovač, medený odbočovač, ethernetový odbočovač atď.)
Pred vysvetlením rozdielov medzi týmito dvoma riešeniami (Port Mirror a Network Tap) je dôležité pochopiť, ako funguje Ethernet. Pri rýchlosti 100 Mbit a vyššej hostitelia zvyčajne komunikujú v plnom duplexe, čo znamená, že jeden hostiteľ môže súčasne odosielať (Tx) a prijímať (Rx). To znamená, že na 100 Mbitovom kábli pripojenom k jednému hostiteľovi je celkové množstvo sieťovej prevádzky, ktorú môže jeden hostiteľ odosielať/prijímať (Tx/Rx), 2 × 100 Mbit = 200 Mbit.
Zrkadlenie portov je aktívna replikácia paketov, čo znamená, že sieťové zariadenie je fyzicky zodpovedné za kopírovanie paketu na zrkadlený port.
To znamená, že zariadenie musí túto úlohu vykonať s použitím nejakého zdroja (napríklad CPU) a oba smery prevádzky budú replikované na ten istý port. Ako už bolo spomenuté, v prípade plne duplexného spojenia to znamená, že
A - > B a B -> A
Súčet A neprekročí rýchlosť siete predtým, ako dôjde k strate paketov. Je to preto, že fyzicky nie je k dispozícii priestor na kopírovanie paketov. Ukazuje sa, že zrkadlenie portov je skvelá technika, pretože ju možno vykonávať mnohými prepínačmi (ale nie všetkými), pretože väčšina prepínačov má nevýhodu straty paketov, ak monitorujete spojenie s viac ako 50% zaťažením, alebo zrkadlíte porty na rýchlejší port (napr. zrkadlíte 100 Mbit porty na 1 Gbit port). Nehovoriac o tom, že zrkadlenie paketov môže vyžadovať výmenu zdrojov prepínačov, čo môže zaťažiť zariadenie a spôsobiť zníženie výkonu výmeny. Upozorňujeme, že môžete pripojiť 1 port k jednému portu alebo 1 VLAN k jednému portu, ale vo všeobecnosti nemôžete kopírovať veľa portov k 1. (Pretože chýba zrkadlenie paketov).
Sieťový TAP (terminálny prístupový bod)je plne pasívne hardvérové zariadenie, ktoré dokáže pasívne zachytávať prevádzku v sieti. Bežne sa používa na monitorovanie prevádzky medzi dvoma bodmi v sieti. Ak sieť medzi týmito dvoma bodmi pozostáva z fyzického kábla, sieťový TAP môže byť najlepším spôsobom na zachytenie prevádzky.
Sieťový TAP má najmenej tri porty: port A, port B a monitorovací port. Na umiestnenie odbočky medzi bodmi A a B sa sieťový kábel medzi bodom A a bodom B nahradí dvojicou káblov, pričom jeden vedie do portu A TAP a druhý do portu B TAP. TAP prepúšťa všetku prevádzku medzi týmito dvoma sieťovými bodmi, takže sú stále navzájom prepojené. TAP tiež kopíruje prevádzku do svojho monitorovacieho portu, čo umožňuje analytickému zariadeniu počúvať.
Sieťové TAPy bežne používajú monitorovacie a zberné zariadenia, ako sú APS. TAPy sa dajú použiť aj v bezpečnostných aplikáciách, pretože sú nenápadné, v sieti ich nie je možné zistiť, dokážu pracovať s plne duplexnými a nezdieľanými sieťami a zvyčajne prepúšťajú prevádzku, aj keď tap prestane fungovať alebo dôjde k výpadku napájania.
Keďže porty Network Taps neprijímajú, ale iba vysielajú, prepínač nemá ani potuchy, kto sa nachádza za portami. Dôsledkom je, že pakety vysiela na všetky porty. Ak teda pripojíte monitorovacie zariadenie k prepínaču, toto zariadenie bude prijímať všetky pakety. Upozorňujeme, že tento mechanizmus funguje, ak monitorovacie zariadenie neodošle do prepínača žiadny paket; v opačnom prípade bude prepínač predpokladať, že zachytené pakety nie sú určené pre toto zariadenie. Na dosiahnutie tohto cieľa môžete použiť buď sieťový kábel, na ktorom ste nepripojili TX vodiče, alebo použiť sieťové rozhranie bez IP (a DHCP), ktoré vôbec neprenáša pakety. Na záver si uvedomte, že ak chcete použiť prepínač Tap, aby ste predišli strate paketov, buď nezlučujte smery, alebo použite prepínač, kde sú zachytené smery pomalšie (napr. 100 Mbit) ako zlučovací port (napr. 1 Gbit).
Takže, ako zachytiť sieťovú prevádzku? Sieťové odbočky vs. zrkadlenie portov prepínača
1. Jednoduchá konfigurácia: Sieťový kľúč > Zrkadlenie portu
2 – Vplyv na výkon siete: Sieťový odbočovač < Zrkadlo portu
3 – Zachytávanie, replikácia, agregácia, preposielanie: Sieťový odber > Zrkadlenie portu
4. Latencia presmerovania prevádzky: Sieťový odber < Zrkadlo portu
5 – Kapacita predspracovania prevádzky: Sieťový odber > Zrkadlo portu
Čas uverejnenia: 30. marca 2022
