Na analýzu sieťového prenosu je potrebné odoslať sieťový paket na NTOP/NPROBE alebo mimo pásma nástrojov na zabezpečenie a monitorovanie siete mimo pásma. Tento problém existujú dve riešenia:
Zrkadlenie portov(tiež známe ako rozpätie)
Siete(Známy tiež ako replikačný kohútik, agregačný kohútik, Active Tap, Copper Tap, Ethernet Tap atď.)
Pred vysvetlením rozdielov medzi týmito dvoma riešeniami (Port Mirror a Network TAP) je dôležité pochopiť, ako funguje Ethernet. Pri 100Mbit a viac hostitelia zvyčajne hovoria v plnom duplexe, čo znamená, že jeden hostiteľ môže posielať (TX) a prijímať (RX) súčasne. To znamená, že na 100 MBIT kábele pripojeného k jednému hostiteľovi je celková suma sieťového prenosu, ktorú môže jeden hostiteľ odosielať/prijímať (TX/RX)) 2 × 100 mbit = 200 mbit.
Zrkadlenie portu je aktívna replikácia paketov, čo znamená, že sieťové zariadenie je fyzicky zodpovedné za kopírovanie paketu do zrkadlového portu.
To znamená, že zariadenie musí túto úlohu vykonávať pomocou nejakého zdroja (napríklad CPU) a oba smery prenosu sa replikujú do toho istého portu. Ako už bolo spomenuté, v úplnom duplexnom odkaze to znamená
A -> b a b -> a
Súčet A nepresiahne rýchlosť siete skôr, ako dôjde k strate paketov. Je to preto, že na kopírovanie paketov neexistuje fyzicky žiadny priestor. Ukazuje sa, že zrkadlenie portov je skvelá technika, pretože ju môže vykonávať mnohými prepínačmi (ale nie všetkými), pretože väčšina spínačov s nevýhodou straty paketov, ak monitorujete spojenie s viac ako 50% zaťažením alebo odzrkadľujú porty na rýchlejší port (napr. Zrkadlo 100 MBIT portov na 1 GBIT port). Nehovoriac o tom, že zrkadlenie paketov môže vyžadovať zdroje výmeny prepínačov, ktoré môžu zariadenie načítať a spôsobiť zhoršenie výkonu výmeny. Upozorňujeme, že môžete pripojiť 1 port k jednému portu alebo 1 VLAN k jednému portu, ale vo všeobecnosti nemôžete skopírovať veľa portov na 1. (Takže ako zrkadlo paketov) chýba.
Sieťový kohútik (prístupový bod terminálu)je plne pasívne hardvérové zariadenie, ktoré môže pasívne zachytiť prenos v sieti. Bežne sa používa na monitorovanie prenosu medzi dvoma bodmi v sieti. Ak sieť medzi týmito dvoma bodmi pozostáva z fyzického kábla, sieťový kohútik môže byť najlepším spôsobom zachytenia prenosu.
Sieťový kohútik má najmenej tri porty: port A, port B a port monitorov. Ak chcete umiestniť kohútik medzi bodmi A a B, sieťový kábel medzi bodom A a bodom B je nahradený párom káblov, z ktorých jeden ide do portu kohútika, druhý, ktorý ide do portu B B. TAP prechádza všetku prenos medzi týmito dvoma sieťovými bodmi, takže sú stále navzájom pripojené. TAP tiež skopíruje prenos do jeho monitorového portu, čím umožňuje analytické zariadenie na počúvanie.
Sieťové kohútiky sa bežne používajú monitorovacími a zbernými zariadeniami, ako sú APS. Kohútiky sa dajú použiť aj v bezpečnostných aplikáciách, pretože nie sú obťažujúce, nie sú detekovateľné v sieti, dokážu sa vysporiadať s plnými duplexnými a nezdieľanými sieťami a zvyčajne prechádzajú prenosom, aj keď TAP zastavuje prácu alebo stratí energiu.
Keďže porty siete TAPS neprijímajú, ale vysielajú iba, prepínač nemá potuchy, kto sedí za prístavmi. Dôsledkom je, že vysielala pakety na všetky porty. Preto, ak pripojíte monitorovacie zariadenie k prepínaču, takéto zariadenie dostane všetky pakety. Všimnite si, že tento mechanizmus funguje, ak monitorovacie zariadenie neodosiela do prepínača žiadny paket; V opačnom prípade sa prepínač predpokladá, že pakety poklepané nie sú pre takéto zariadenie. Aby ste to dosiahli, môžete buď použiť sieťový kábel, na ktorom ste nepripojili vodiče TX, alebo používali sieťové rozhranie bez IP (a DHCP), ktoré vôbec neprenáša pakety. Nakoniec si všimnite, že ak chcete použiť kohútik na nestratenie paketov, potom buď nezlúčte pokyny, alebo nepoužívajte spínač, v ktorých sú pokyny poklepané pomalšie (napr. 100 MBIT), ktoré zlúčite port (napr. 1 GBIT).
Ako teda zachytiť sieťový prenos? Sieťové kohútiky vs porty prepínača zrkadlo
1- Ľahká konfigurácia: Sieť TAP> Zrkadlo portu
2- Vplyv výkonu siete: Sieť TAP <Mirror Port Mirror
3- Zachytenie, replikácia, agregácia, schopnosť presmerovania: sieťové kohútik> Zrkadlo portu
4- Latencia preposielania prenosu: Sieť klepnutím <port zrkadlo
5- Predbežné spracovanie prevádzky: Sieť TAP> Zrkadlo portov
Čas príspevku: mar-30-2022
