Для таго, каб прааналізаваць сеткавы трафік, неабходна адправіць сеткавы пакет у NTOP/NPROBE або па-за дыяпазонам інструментаў бяспекі і маніторынгу сеткі. Ёсць два рашэнні гэтай праблемы:
Адлюстраванне порта(Таксама вядомы як праход)
Націсніце сеткі(Таксама вядомы як рэплікацыя, кран, кран агрэгацыі, актыўны кран, медны кран, кран Ethernet і г.д.)
Перш чым растлумачыць адрозненні паміж двума рашэннямі (Port Mirror і Network Tap), важна зразумець, як працуе Ethernet. На 100mbit і вышэй гаспадары звычайна кажуць у поўным дуплексе, гэта значыць, што адзін хост можа адправіць (TX) і атрымліваць (RX) адначасова. Гэта азначае, што на 100 мбіт -кабелі, падлучанага да аднаго хоста, агульная колькасць сеткавага трафіку, які адзін хост можа адправіць/атрымліваць (TX/RX)), складае 2 × 100 мбіт = 200 мбіт.
Адлюстраванне порта з'яўляецца актыўнай рэплікацыяй пакета, што азначае, што сеткавая прылада фізічна адказная за капіраванне пакета ў люстраны порт.
Гэта азначае, што прылада павінна выканаць гэтую задачу, выкарыстоўваючы нейкі рэсурс (напрыклад, працэсар), і абодва напрамкі дарожнага руху будуць паўтарацца на той жа порт. Як ужо згадвалася раней, у поўнай дуплекснай спасылцы гэта азначае, што гэта азначае
A -> b і b -> a
Сума A не перавышае хуткасць сеткі да таго, як наступіць страта пакета. Гэта таму, што фізічна няма месца для капіявання пакетаў. Аказваецца, адлюстраванне порта - гэта выдатная методыка, бо яна можа быць выканана многімі выключальнікамі (але не ўсім), таму што большасць выключальнікаў з недахопам страты пакета, калі вы адсочваеце спасылку з больш чым 50% нагрузкай, альбо адлюстроўвае парты на больш хуткі порт (напрыклад, люстраны парты MBIT на 1 GBIT -порт). Не кажучы ўжо пра тое, што адлюстраванне пакетаў можа запатрабаваць абмену пераключальнікамі рэсурсаў, якія могуць загрузіць прыладу і прывесці да пагаршэння абмену прадукцыйнасцю. Звярніце ўвагу, што вы можаце падключыць 1 порт да аднаго порта, альбо 1 VLAN да аднаго порта, але вы, як правіла, не можаце скапіяваць шмат партоў у 1 (так як люстэрка пакета) адсутнічае.
Сеткавы кран (тэрмінальны пункт доступу)гэта цалкам пасіўнае абсталяванне, якое можа пасіўна захопліваць трафік у сетцы. Звычайна ён выкарыстоўваецца для кантролю трафіку паміж двума кропкамі ў сетцы. Калі сетка паміж гэтымі двума кропкамі складаецца з фізічнага кабеля, сеткавы кран можа стаць лепшым спосабам захапіць трафік.
У сеткавым кране ёсць як мінімум тры парты: порт A, порт B і порт манітора. Каб размясціць кран паміж кропкамі A і B, сеткавы кабель паміж пунктам A і Point B замяняецца парай кабеляў, адзін ідзе на Tap's A Port, а другі ідзе ў порт B крана. Націск праходзіць увесь трафік паміж двума сеткавымі кропкамі, таму яны ўсё яшчэ падключаюцца адзін да аднаго. TAP таксама капіюе трафік у свой порт манітора, што дазваляе прыладу аналізу праслухаць.
Сеткавыя наборы звычайна выкарыстоўваюцца пры маніторынгу і збору прылад, такіх як APS. TAPS таксама можа быць выкарыстаны ў прыкладаннях бяспекі, паколькі яны не паддаюцца трапленню, не выяўляюцца ў сетцы, могуць мець справу з поўнымі дуплекснымі і некіраванымі сеткамі, і, як правіла, праходзіць праз трафік, нават калі кран спыняецца працаваць альбо страціць магутнасць.
Паколькі парты сеткавых кранаў не атрымліваюць, але толькі перадаюць, перамыкач не мае паняцця, які сядзіць за партамі. Следствам з'яўляецца тое, што ён трансляваў пакеты ўсім партам. Такім чынам, калі вы падключыце прыладу маніторынгу да перамыкача, такая прылада атрымае ўсе пакеты. Звярніце ўвагу, што гэты механізм працуе, калі прылада маніторынгу не адпраўляе ніякага пакета ў камутатар; У адваротным выпадку перамыкач будзе лічыць, што націснутыя пакеты не прызначаны для такой прылады. Для дасягнення гэтага вы можаце альбо выкарыстоўваць сеткавы кабель, на якім вы не падключылі правады TX, альбо выкарыстоўваць сеткавы інтэрфейс без IP (і без DHCP), які зусім не перадае пакеты. Нарэшце звярніце ўвагу, што калі вы хочаце выкарыстоўваць кран для не страты пакетаў, то альбо не злівайце ўказанні, альбо выкарыстоўвайце перамыкач, у якім націснутыя ўказанні павольныя (напрыклад, 100 мбіт), які зліццё порта (напрыклад, 1 GBIT).
Такім чынам, як захапіць сеткавы трафік? Сеткавыя націскі супраць партаў Switch Ports Mirror
1- Лёгкая канфігурацыя: сеткавая крана> Port Mirror
2- Уплыў на прадукцыйнасць сеткі: сеткавая крана <Mirror Port
3- Захоп, рэплікацыя, агрэгацыя, здольнасць пераадрасацыі: сеткавая крана> Port Mirror
4- Затрымка пераадрасацыі трафіку: сеткавая крана <Mirror Port
5- Ёмістасць папярэдняй апрацоўкі трафіку: сеткавая крана> Port Mirror
Час паведамлення: сакавік-30-2022
