Untuk menganalisis trafik rangkaian, perlu menghantar paket rangkaian ke alat keselamatan dan pemantauan rangkaian NTOP/NPROBE atau out-of-band. Terdapat dua penyelesaian untuk masalah ini:
Port Port(juga dikenali sebagai span)
Ketuk rangkaian(Juga dikenali sebagai Tap Replikasi, Tap Agregasi, Tap Aktif, Tap Tembaga, Ethernet Tap, dll.)
Sebelum menerangkan perbezaan antara kedua -dua penyelesaian (Port Mirror dan Rangkaian TAP), adalah penting untuk memahami bagaimana Ethernet berfungsi. Pada 100Mbit dan ke atas, tuan rumah biasanya bercakap dalam dupleks penuh, yang bermaksud bahawa satu tuan rumah boleh menghantar (TX) dan menerima (RX) serentak. Ini bermakna bahawa pada kabel 100 mbit yang disambungkan ke satu hos, jumlah trafik rangkaian yang satu hos boleh menghantar/menerima (TX/RX)) adalah 2 × 100 mbit = 200 Mbit.
Pencerminan pelabuhan adalah replikasi paket aktif, yang bermaksud bahawa peranti rangkaian bertanggungjawab secara fizikal untuk menyalin paket ke port cermin.
Ini bermakna peranti mesti melaksanakan tugas ini dengan menggunakan sumber (seperti CPU), dan kedua -dua arah lalu lintas akan direplikasi ke port yang sama. Seperti yang dinyatakan sebelum ini, dalam pautan dupleks penuh, ini bermakna bahawa
A -> b dan b -> a
Jumlah A tidak akan melebihi kelajuan rangkaian sebelum kehilangan paket berlaku. Ini kerana terdapat secara fizikal tidak ada ruang untuk menyalin paket. Ternyata pencerminan pelabuhan adalah teknik yang hebat kerana ia dapat dilakukan oleh banyak suis (tetapi tidak semua), kerana kebanyakan suis dengan kelemahan kehilangan paket, jika anda memantau pautan dengan beban lebih 50%, atau mencerminkan port ke port yang lebih cepat (contohnya cermin 100 mbit port ke port 1 gbit). Belum lagi bahawa pencerminan paket mungkin memerlukan pertukaran sumber suis, yang boleh memuatkan peranti dan menyebabkan prestasi pertukaran untuk merendahkan. Ambil perhatian bahawa anda boleh menyambung 1 port ke satu port, atau 1 VLAN ke satu port, tetapi biasanya anda tidak boleh menyalin banyak port ke 1. (Oleh kerana cermin paket) hilang.
Ketuk rangkaian (titik akses terminal)adalah peranti perkakasan pasif sepenuhnya, yang secara pasif dapat menangkap trafik pada rangkaian. Ia biasanya digunakan untuk memantau lalu lintas antara dua mata dalam rangkaian. Jika rangkaian antara kedua -dua titik ini terdiri daripada kabel fizikal, ketuk rangkaian mungkin cara terbaik untuk menangkap lalu lintas.
Ketuk rangkaian mempunyai sekurang -kurangnya tiga port: pelabuhan A, port B, dan port monitor. Untuk meletakkan ketuk di antara titik A dan B, kabel rangkaian antara titik A dan titik B digantikan dengan sepasang kabel, seseorang pergi ke port A paip, yang lain pergi ke port B ketuk. Ketuk melepasi semua lalu lintas antara kedua -dua titik rangkaian, jadi mereka masih bersambung antara satu sama lain. Ketuk juga menyalin lalu lintas ke port monitornya, dengan itu membolehkan peranti analisis untuk mendengar.
Rangkaian TAPS biasanya digunakan oleh pemantauan dan peranti pengumpulan seperti APS. TAPS juga boleh digunakan dalam aplikasi keselamatan kerana mereka tidak menggalakkan, tidak dapat dikesan di rangkaian, boleh menangani rangkaian penuh-dupleks dan tidak dikongsi, dan biasanya akan melewati lalu lintas walaupun paip berhenti bekerja atau kehilangan kuasa.
Oleh kerana pelabuhan paip rangkaian tidak diterima tetapi hanya menghantar, suis tidak mempunyai petunjuk siapa yang duduk di belakang pelabuhan. Akibatnya ialah ia menyiarkan paket ke semua pelabuhan. Oleh itu, jika anda menyambungkan peranti pemantauan anda ke suis, peranti sedemikian akan menerima semua paket. Perhatikan bahawa mekanisme ini berfungsi jika peranti pemantauan tidak menghantar sebarang paket ke suis; Jika tidak, suis akan mengandaikan bahawa paket yang ditoreh bukan untuk peranti sedemikian. Untuk mencapai itu, anda boleh menggunakan kabel rangkaian di mana anda tidak menyambungkan wayar TX, atau menggunakan antara muka rangkaian IP-Less (dan DHCP-Less) yang tidak menghantar paket sama sekali. Akhirnya ambil perhatian bahawa jika anda mahu menggunakan ketuk untuk tidak kehilangan paket, maka tidak menggabungkan arahan atau menggunakan suis di mana arahan yang ditoreh lebih perlahan (contohnya 100 mbit) bahawa port gabungan (misalnya 1 gbit).
Jadi, bagaimana untuk menangkap trafik rangkaian? Rangkaian Taps vs Switch Ports Mirror
1- Konfigurasi Mudah: Rangkaian Tap> Cermin Port
2- Pengaruh Prestasi Rangkaian: Rangkaian Tap <Mirror Port
3- Tangkap, Replikasi, Pengagregatan, Keupayaan Pemajuan: Rangkaian Tap> Cermin Port
4- Latihan Latihan Lalu Lintas: Rangkaian Ketuk <Mirror Port
5- Kapasiti Preprocessing Trafik: Rangkaian Tap> Cermin Port
Masa Post: Mar-30-2022
