Aby bylo možné analyzovat síťový provoz, je nutné odeslat síťový paket do NTOP/NPROBE nebo Out-of-band síťové zabezpečení a monitorovací nástroje. Tento problém existují dvě řešení:
Port Zrcadlo(také známý jako rozpětí)
Síťové klepnutí(také známý jako replikace Klepnutím, agregační kohoutek, aktivní klepnutí, měděné kop, Ethernet Tap atd.)
Před vysvětlením rozdílů mezi dvěma řešeními (Port Mirror a Network Tap) je důležité pochopit, jak ethernet funguje. Při 100mbit a vyšších hostitelé obvykle hovoří v plném duplexu, což znamená, že jeden hostitel může odesílat (TX) a přijímat (RX) současně. To znamená, že na 100 Mbit kabelu připojeném k jednomu hostiteli je celková částka síťového provozu, který může jeden hostitel odeslat/přijmout (TX/RX))) 2 × 100 Mbit = 200 Mbit.
Zrcadlení portů je aktivní replikace paketů, což znamená, že síťové zařízení je fyzicky zodpovědné za kopírování paketu do zrcadlového portu.
To znamená, že zařízení musí tuto úlohu provádět pomocí některých zdrojů (například CPU) a obě směry provozu budou replikovány na stejný port. Jak již bylo zmíněno dříve, v plném duplexním odkazu to znamená
A -> B a B -> a
Součet A nepřekročí rychlost sítě před ztrátou paketu. Je to proto, že neexistuje fyzicky žádný prostor pro kopírování paketů. Ukazuje se, že zrcadlení portů je skvělá technika, protože může být prováděna mnoha přepínači (ale ne všechny), protože většina přepínačů s nevýhodou ztráty paketů, pokud sledujete odkaz s více než 50% zatížením nebo zrcadlí porty na rychlejší port (např. Zrcadlo 100 mbit do portu 1 GBIT). Nemluvě o tom, že zrcadlení paketů může vyžadovat výměnu přepínačů, které mohou načíst zařízení a způsobit degradaci výměny výměny. Všimněte si, že můžete připojit 1 port k jednomu portu nebo 1 VLAN k jednomu portu, ale obvykle nemůžete zkopírovat mnoho portů na 1. (tak, jak zrcadlo paketů) chybí.
Síťový klepnutí (přístupový bod terminálu)je plně pasivní hardwarové zařízení, které může pasivně zachytit provoz v síti. Obvykle se používá ke sledování provozu mezi dvěma body v síti. Pokud síť mezi těmito dvěma body sestává z fyzického kabelu, může být nejlepší způsob, jak zachytit provoz.
Síťový klepnutí má nejméně tři porty: port A, port B a monitorový port. Chcete -li umístit klepnutí mezi body A a B, síťový kabel mezi bodem A a bodem B je nahrazen párem kabelů, jeden jde na port a druhý, který jde na port B. Klepnutí předává veškerý provoz mezi dvěma síťovými body, takže jsou stále připojeni k sobě. Klepnutím také zkopíruje provoz do svého monitorového portu, což umožňuje poslechnout analytické zařízení.
Síťové kohoutky se běžně používají monitorovacími a sběrnými zařízeními, jako jsou APS. TAPS lze také použít v bezpečnostních aplikacích, protože nejsou neobsahující, nejsou v síti detekovatelné, mohou se zabývat plně duplexními a nesdílenými sítěmi a obvykle budou předávat provoz, i když klepnutí přestane fungovat nebo ztrácí energii.
Vzhledem k tomu, že síťové klepnutí portů nepřijímají, ale přenášejí pouze, přepínač nemá ponětí, kdo sedí za přístavy. Důsledkem je, že vysílá pakety do všech portů. Pokud tedy připojíte monitorovací zařízení k přepínači, takové zařízení obdrží všechny pakety. Všimněte si, že tento mechanismus funguje, pokud monitorovací zařízení neposílá žádný paket do přepínače; V opačném případě přepínač předpokládá, že pakety klepnutím nejsou pro takové zařízení. Abyste toho dosáhli, můžete použít buď síťový kabel, na kterém jste nepřipojili dráty TX, nebo použít síťové rozhraní bez IP (a DHCP-bez), které vůbec nepřenáší pakety. Nakonec si uvědomte, že pokud chcete použít klepnutí pro neztrácení paketů, buď se nesloučte pokyny, nebo nepoužívejte spínač, kde jsou pokyny klepnutím pomalejší (např. 100 MBIT), že port sloučení (např. 1 Gbit).
Jak tedy zachytit síťový provoz? Síťové kohoutky vs přepínací porty zrcadlo
1- Snadná konfigurace: Síťové klepnutí> Zrcadlo portu
2- Vliv výkonu sítě: Síťové klepnutí <Zrcadlo portů
3- Zachycení, replikace, agregace, schopnost předávání: síťové klepnutí> Port Mirror
4- Latence pro předávání provozu: Klepnutím na síť <Zrcadlo portů
5- PŘEDPOKLADOVÝ PŘEDPOKLÁDACÍ PŘEDPOKLÁDACE: Síťová klepnutí> Zrcadlo portů
Čas příspěvku: březen-20.-20.22
