Pro analýzu síťového provozu je nutné odeslat síťový paket do NTOP/NPROBE nebo Out-of-band Network Security and Monitoring Tools. Existují dvě řešení tohoto problému:
Zrcadlení portů(také známý jako SPAN)
Síťový klepnutí(také známý jako replikační odbočka, agregační odbočka, aktivní odbočka, měděná odbočka, ethernetová odbočka atd.)
Než vysvětlíme rozdíly mezi těmito dvěma řešeními (Port Mirror a Network Tap), je důležité pochopit, jak Ethernet funguje. Při rychlosti 100 Mbit a vyšší obvykle hostitelé komunikují plně duplexně, což znamená, že jeden hostitel může současně odesílat (Tx) a přijímat (Rx). To znamená, že na 100 Mbit kabelu připojeném k jednomu hostiteli je celkové množství síťového provozu, které může jeden hostitel odesílat/přijímat (Tx/Rx), 2 × 100 Mbit = 200 Mbit.
Zrcadlení portů je aktivní replikace paketů, což znamená, že síťové zařízení je fyzicky zodpovědné za kopírování paketu na zrcadlený port.
To znamená, že zařízení musí tuto úlohu provést s využitím nějakého zdroje (například CPU) a oba směry provozu budou replikovány na stejný port. Jak již bylo zmíněno, v případě plně duplexního spojení to znamená, že
A - > B a B -> A
Součet A nepřekročí rychlost sítě, než dojde ke ztrátě paketů. Je to proto, že fyzicky není prostor pro kopírování paketů. Ukazuje se, že zrcadlení portů je skvělá technika, protože ji lze provádět mnoha přepínači (ale ne všemi), protože většina přepínačů má nevýhodu ztráty paketů, pokud monitorujete spojení s více než 50% zátěží, nebo zrcadlíte porty na rychlejší port (např. zrcadlete 100 Mbit porty na 1 Gbit port). Nemluvě o tom, že zrcadlení paketů může vyžadovat výměnu zdrojů přepínačů, což může zatížit zařízení a způsobit snížení výkonu výměny. Upozorňujeme, že můžete připojit 1 port k jednomu portu nebo 1 VLAN k jednomu portu, ale obecně nelze kopírovat mnoho portů na 1. (Protože chybí zrcadlení paketů).
Síťový TAP (terminální přístupový bod)je plně pasivní hardwarové zařízení, které dokáže pasivně zachytávat provoz v síti. Běžně se používá k monitorování provozu mezi dvěma body v síti. Pokud síť mezi těmito dvěma body sestává z fyzického kabelu, může být síťový TAP nejlepším způsobem, jak provoz zachytit.
Síťový TAP má alespoň tři porty: port A, port B a monitorovací port. Pro umístění odbočky mezi body A a B se síťový kabel mezi bodem A a bodem B nahradí dvojicí kabelů, z nichž jeden vede do portu A TAPu a druhý do portu B TAPu. TAP propouští veškerý provoz mezi oběma síťovými body, takže jsou stále vzájemně propojeny. TAP také kopíruje provoz do svého monitorovacího portu, což umožňuje analyzačnímu zařízení naslouchat.
Síťové TAPy se běžně používají v monitorovacích a sběrných zařízeních, jako jsou APS. TAPy lze také použít v bezpečnostních aplikacích, protože jsou nenápadné, v síti nejsou detekovatelné, dokáží pracovat s plně duplexními a nesdílenými sítěmi a obvykle propouštějí provoz, i když tap přestane fungovat nebo dojde k výpadku napájení.
Protože porty Network Taps nepřijímají, ale pouze vysílají, switch nemá tušení, kdo se za porty nachází. Důsledkem je, že pakety vysílá na všechny porty. Pokud tedy k switchi připojíte monitorovací zařízení, toto zařízení bude přijímat všechny pakety. Tento mechanismus funguje, pokud monitorovací zařízení do switche neodesílá žádné pakety; jinak switch předpokládá, že zachycené pakety nejsou pro toto zařízení. Abyste toho dosáhli, můžete buď použít síťový kabel, ke kterému jste nepřipojili TX vodiče, nebo použít síťové rozhraní bez IP (a DHCP), které pakety vůbec nepřenáší. Nakonec si všimněte, že pokud chcete použít tap, abyste zabránili ztrátě paketů, pak buď neslučujte směry, nebo použijte switch, kde jsou zachycené směry pomalejší (např. 100 Mbit) než slučovací port (např. 1 Gbit).
Jak tedy zachytit síťový provoz? Síťové odbočky vs. zrcadlení portů přepínačů
1. Snadná konfigurace: Síťový tap > Zrcadlení portu
2- Vliv na výkon sítě: Síťový odbočovač < Zrcadlení portu
3 – Zachycení, replikace, agregace, možnosti přeposílání: Síťový odběr > Zrcadlení portu
4- Latence přesměrování provozu: Síťový odběr < Zrcadlení portu
5- Kapacita předzpracování provozu: Síťový odbočovač > Zrcadlení portu
Čas zveřejnění: 30. března 2022
