Om die netwerkverkeer te ontleed, is dit nodig om die netwerkpakket na NTOP/NPROBE of buite-bandnetwerksekuriteits- en moniteringsinstrumente te stuur. Daar is twee oplossings vir hierdie probleem:
Port Mirroring(ook bekend as span)
Netwerk Tik(Ook bekend as replikasie -kraan, aggregasie -kraan, aktiewe kraan, koperkraan, Ethernet -kraan, ens.)
Voordat u die verskille tussen die twee oplossings (Port Mirror en Network Tap) verduidelik, is dit belangrik om te verstaan hoe die Ethernet werk. By 100 mbit en hoër praat gashere gewoonlik in volle dupleks, wat beteken dat een gasheer gelyktydig (TX) kan stuur en (RX) kan ontvang. Dit beteken dat die totale hoeveelheid van die netwerkverkeer wat een gasheer kan stuur/ontvang (TX/RX)) op 'n 100 Mbit -kabel wat aan een gasheer gekoppel is, 2 × 100 Mbit = 200 Mbit is.
Die poortspieëlwerk is aktiewe pakketreplikasie, wat beteken dat die netwerktoestel fisies verantwoordelik is vir die kopiëring van die pakkie na die spieëlpoort.
Dit beteken dat die toestel hierdie taak moet uitvoer deur 'n bron (soos die SVE) te gebruik, en dat albei verkeersaanwysings na dieselfde poort gerepliseer sal word. Soos vroeër genoem, beteken dit dat dit in 'n volledige dupleks skakel
A -> b en b -> a
Die som van A sal nie die netwerkspoed oorskry voordat pakkieverlies plaasvind nie. Dit is omdat daar fisies geen ruimte is om pakkies te kopieer nie. Dit blyk dat Port Mirroring 'n uitstekende tegniek is, aangesien dit deur baie skakelaars (maar nie almal nie) uitgevoer kan word, omdat die meeste skakelaars met die nadeel van pakkieverlies, as u 'n skakel met meer as 50% las monitor, of die poorte op 'n vinniger poort spieël (bv. Mirror 100 Mbit -poorte op 'n 1 GBIT -poort). Om nie te praat dat pakkie -spieëlwerk moontlik skakelaars se bronne kan uitruil nie, wat die toestel kan laai en die uitruilprestasie kan degradeer. Let daarop dat u 1 poort aan een poort of 1 VLAN aan een poort kan koppel, maar dat u oor die algemeen nie baie poorte na 1 kan kopieer nie (soos die pakkie spieël) ontbreek.
'N Netwerkkraan (terminale toegangspunt)is 'n volledig passiewe hardeware -toestel wat die verkeer op 'n netwerk passief kan vaslê. Dit word gereeld gebruik om die verkeer tussen twee punte in die netwerk te monitor. As die netwerk tussen hierdie twee punte uit 'n fisiese kabel bestaan, is 'n netwerkkraan die beste manier om verkeer vas te lê.
Die netwerkkraan het ten minste drie poorte: 'n A -poort, 'n B -poort en 'n monitorpoort. Om 'n kraan tussen punte A en B te plaas, word die netwerkkabel tussen punt A en punt B vervang met 'n paar kabels, een wat na die TAP's A -poort gaan, die ander een wat na die B -poort gaan. Die TAP slaag alle verkeer tussen die twee netwerkpunte, sodat hulle steeds aan mekaar gekoppel is. Die TAP kopieer ook die verkeer na sy monitorpoort, waardeur 'n ontledingsapparaat kan luister.
Netwerkkrane word gereeld gebruik deur monitering en versamelingstoestelle soos AP's. TAP's kan ook in sekuriteitstoepassings gebruik word omdat dit nie-omvattend is, nie op die netwerk waarneembaar is nie, met 'n volledige dupleks en nie-gedeelde netwerke kan handel, en gewoonlik deur die verkeer deurgaan, selfs as die kraan ophou werk of krag verloor.
Aangesien die netwerkpoorte nie ontvang nie, maar slegs oordra, het die skakelaar geen idee wat agter die poorte sit nie. Die gevolg is dat dit die pakkies na alle hawens uitgesaai het. As u dus u moniteringstoestel aan die skakelaar koppel, sal sodanige toestel alle pakkies ontvang. Let daarop dat hierdie meganisme werk as die moniteringstoestel geen pakkie na die skakelaar stuur nie; Andersins sal die skakelaar aanvaar dat die pakkies wat nie op so 'n toestel is nie. Om dit te bereik, kan u óf 'n netwerkkabel gebruik waarop u nie die TX-drade gekoppel het nie, óf 'n IP-minder (en DHCP-minder) netwerk-koppelvlak gebruik wat glad nie pakkies oordra nie. Let uiteindelik daarop dat as u 'n kraan wil gebruik om nie pakkies te verloor nie, dan nie aanwysings saamsmelt nie, of 'n skakelaar gebruik waar die aanwysings stadiger is (bv. 100 mbit) dat die samesmeltingspoort (bv. 1 GBIT) is.
Dus, hoe om netwerkverkeer vas te lê? Netwerk Taps vs Switch Ports Mirror
1- Maklike konfigurasie: netwerk tik> poortspieël
2- Netwerkprestasie Invloed: Netwerk Tap <poortspieël
3- vaslegging, replikasie, samevoeging, aanstuurvermoë: netwerk tap> poortspieël
4- Verkeersstuur latency: netwerk tik <poort spieël
5- Verkeer Voorverwerkingskapasiteit: Netwerk Tap> Poortspieël
Postyd: MAR-30-2022
