За да се анализира мрежовият трафик, е необходимо да изпратите мрежовия пакет до NTOP/NPROBE или инструменти за сигурност на мрежовата сигурност и мониторинг. Има две решения на този проблем:
Огледало за пристанище(известен също като SPAN)
Мрежово докосване(Известен също като повторение на репликация, докосване до агрегиране, активно докосване, меден кран, ethernet tap и т.н.)
Преди да се обясни разликите между двете решения (огледало за порт и мрежов кран), важно е да се разбере как работи Ethernet. На 100mbit и по -горе хостовете обикновено говорят в пълен дуплекс, което означава, че един хост може да изпраща (TX) и да получава (RX) едновременно. Това означава, че на 100 mbit кабел, свързан с един хост, общото количество на мрежовия трафик, който един хост може да изпраща/получава (TX/RX))) е 2 × 100 mbit = 200 mbit.
Огледалото на порта е активна репликация на пакети, което означава, че мрежовото устройство е физически отговорно за копирането на пакета в огледалния порт.
Това означава, че устройството трябва да изпълнява тази задача, като използва някакъв ресурс (като процесора), и двете посоки на трафика ще бъдат репликирани на един и същ порт. Както бе споменато по -рано, в пълна дуплексна връзка, това означава, че
A -> b и b -> a
Сумата на A няма да надвишава скоростта на мрежата преди да се появи загуба на пакети. Това е така, защото физически няма място за копиране на пакети. Оказва се, че огледалото на порта е чудесна техника, тъй като може да се извърши от много превключватели (но не всички), тъй като повечето от превключвателите с недостатъка на загубата на пакети, ако наблюдавате връзка с над 50% натоварване или огледайте портовете върху по -бърз порт (например огледало 100 mbit порта върху 1 Gbit порт). Да не говорим, че огледалото на пакета може да изисква обмен на ресурси за превключване, което може да зарежда устройството и да причини производителността на обмен, за да се разгради. Обърнете внимание, че можете да свържете 1 порт към един порт или 1 VLAN към един порт, но обикновено не можете да копирате много портове на 1. (Така че като огледалото на пакета) липсва.
Мрежов кран (точка за достъп до терминал)е напълно пасивно хардуерно устройство, което може пасивно да улавя трафика в мрежа. Обикновено се използва за наблюдение на трафика между две точки в мрежата. Ако мрежата между тези две точки се състои от физически кабел, мрежовият кран може да бъде най -добрият начин за улавяне на трафика.
Мрежовият кран има най -малко три порта: A порт, B порт и порт за монитор. За да поставите докосване между точки A и B, мрежовият кабел между точка A и точка B се заменя с чифт кабели, единият отива в порта на TAP, а другият отива в порта на B TAP. Tap преминава целия трафик между двете мрежови точки, така че те все още са свързани помежду си. Tap също копира трафика към своя порт за монитор, като по този начин позволява на устройство за анализ да слуша.
Мрежовите кранове обикновено се използват чрез мониторинг и събиране на устройства като APS. TAPS може да се използва и в приложенията за сигурност, тъй като те не са натрапчиви, не се откриват в мрежата, могат да се справят с пълен дуплекс и не споделени мрежи и обикновено ще преминат трафик, дори ако TAP спре да работи или губи мощност.
Тъй като портовете за мрежови кранове не получават, а само предават, превключвателят няма представа кой седи зад портовете. Последицата е, че излъчва пакетите на всички портове. Следователно, ако свържете устройството си за наблюдение към превключвателя, такова устройство ще получи всички пакети. Обърнете внимание, че този механизъм работи, ако устройството за наблюдение не изпраща никакъв пакет към превключвателя; В противен случай превключвателят ще предположи, че пакетите, които пакетите не са за такова устройство. За да постигнете това, можете или да използвате мрежов кабел, върху който не сте свързвали TX проводниците или да използвате мрежов интерфейс без IP (и DHCP), който изобщо не предава пакети. Накрая обърнете внимание, че ако искате да използвате докосване за не загуба на пакети, тогава или не слейте указания или използвайте превключвател, при който посочените посоки са по -бавни (напр. 100 mbit), че сливащият порт (напр. 1 Gbit).
И така, как да заснемете мрежовия трафик? Мрежови докосвания срещу отвори за превключване огледало
1- Лесна конфигурация: Мрежово докосване> Огледало за порт
2- Влияние на производителността на мрежата: Мрежово докосване <Огледало за порт
3- заснемане, репликация, агрегиране, способност за пренасочване: Мрежов кран> Огледало на порта
4- Латентността на пренасочване на трафика: Мрежово докосване <Огледало за порт
5- капацитет за предварително обработка на трафика: Мрежов кран> Огледало за порт
Време за публикация: Март-30-2022
