Om die netwerkverkeer te analiseer, is dit nodig om die netwerkpakket na NTOP/NPROBE of Out-of-band Network Security and Monitoring Tools te stuur. Daar is twee oplossings vir hierdie probleem:
Poortspieëling(ook bekend as SPAN)
Netwerk Tik(ook bekend as Replikasietap, Aggregasietap, Aktiewe Tap, Kopertap, Ethernet-tap, ens.)
Voordat die verskille tussen die twee oplossings (Port Mirror en Network Tap) verduidelik word, is dit belangrik om te verstaan hoe Ethernet werk. Teen 100 Mbit en hoër praat gashere gewoonlik in volle dupleks, wat beteken dat een gasheer gelyktydig kan stuur (Tx) en ontvang (Rx). Dit beteken dat op 'n 100 Mbit-kabel wat aan een gasheer gekoppel is, die totale hoeveelheid netwerkverkeer wat een gasheer kan stuur/ontvang (Tx/Rx)) 2 × 100 Mbit = 200 Mbit is.
Die poortspieëling is aktiewe pakkiereplikasie, wat beteken dat die netwerktoestel fisies verantwoordelik is vir die kopiëring van die pakkie na die gespieëlde poort.
Dit beteken dat die toestel hierdie taak moet uitvoer deur 'n hulpbron (soos die SVE) te gebruik, en beide verkeersrigtings sal na dieselfde poort gerepliseer word. Soos vroeër genoem, in 'n volle dupleksskakel, beteken dit dat
A - > B en B -> A
Die som van A sal nie die netwerkspoed oorskry voordat pakkieverlies plaasvind nie. Dit is omdat daar fisies geen spasie is om pakkies te kopieer nie. Dit blyk dat poortspieëling 'n goeie tegniek is, aangesien dit deur baie skakelaars (maar nie almal nie) uitgevoer kan word, want die meeste skakelaars het die nadeel van pakkieverlies, as jy 'n skakel met meer as 50% lading monitor, of die poorte na 'n vinniger poort spieël (bv. spieël 100 Mbit-poorte na 'n 1 Gbit-poort). Om nie te praat van die feit dat pakkiespieëling die uitruil van skakelaarhulpbronne kan vereis, wat die toestel kan laai en veroorsaak dat die uitruilprestasie afneem nie. Let daarop dat jy 1 poort aan een poort kan koppel, of 1 VLAN aan een poort, maar jy kan oor die algemeen nie baie poorte na 1 kopieer nie. (Dus, aangesien die pakkiespieël) ontbreek.
'n Netwerk TAP (Terminale Toegangspunt)is 'n volledig passiewe hardewaretoestel wat passief verkeer op 'n netwerk kan vasvang. Dit word algemeen gebruik om die verkeer tussen twee punte in die netwerk te monitor. As die netwerk tussen hierdie twee punte uit 'n fisiese kabel bestaan, kan 'n netwerk-TAP die beste manier wees om verkeer vas te vang.
Die netwerk-TAP het ten minste drie poorte: 'n A-poort, 'n B-poort en 'n monitorpoort. Om 'n tap tussen punte A en B te plaas, word die netwerkkabel tussen punt A en punt B vervang met 'n paar kabels, een wat na die TAP se A-poort gaan, die ander een na die TAP se B-poort. Die TAP stuur alle verkeer tussen die twee netwerkpunte deur, sodat hulle steeds aan mekaar gekoppel is. Die TAP kopieer ook die verkeer na sy monitorpoort, wat 'n ontledingstoestel in staat stel om te luister.
Netwerk-TAP's word algemeen gebruik deur moniterings- en versameltoestelle soos APS'e. TAP's kan ook in sekuriteitstoepassings gebruik word omdat hulle nie-opvallend is, nie op die netwerk opspoorbaar is nie, voldupleks- en nie-gedeelde netwerke kan hanteer, en gewoonlik verkeer sal deurlaat selfs al hou die tap op werk of verloor krag.
Aangesien Network Taps-poorte nie ontvang nie, maar slegs uitstuur, het die skakelaar geen idee wie agter die poorte sit nie. Die gevolg is dat dit die pakkies na alle poorte uitsaai. Daarom, as jy jou moniteringstoestel aan die skakelaar koppel, sal so 'n toestel alle pakkies ontvang. Let daarop dat hierdie meganisme werk as die moniteringstoestel geen pakkie na die skakelaar stuur nie; andersins sal die skakelaar aanvaar dat die getapte pakkies nie vir so 'n toestel is nie. Om dit te bereik, kan jy óf 'n netwerkkabel gebruik waaraan jy nie die TX-drade gekoppel het nie, óf 'n IP-lose (en DHCP-lose) netwerkkoppelvlak gebruik wat glad nie pakkies uitstuur nie. Let laastens daarop dat as jy 'n tap wil gebruik om nie pakkies te verloor nie, moet jy óf nie saamsmeltingsrigtings gebruik nie óf 'n skakelaar gebruik waar getapte rigtings stadiger is (bv. 100 Mbit) as die saamsmeltingspoort (bv. 1 Gbit).
So, hoe om netwerkverkeer vas te lê? Netwerkkrane vs. skakelpoorte-spieël
1- Maklike konfigurasie: Netwerk Tik > Poortspieël
2- Invloed van netwerkprestasie: Netwerktap < Poortspieël
3- Vaslegging, Replikasie, Aggregasie, Aanstuurvermoë: Netwerk Tik > Poortspieël
4- Verkeersaanstuurlatensie: Netwerktik < Poortspieël
5- Verkeervoorverwerkingskapasiteit: Netwerktik > Poortspieël
Plasingstyd: 30 Maart 2022
