За да се анализира мрежниот сообраќај, потребно е да се испрати мрежниот пакет до NTOP/NPROBE или Out-of-band Network Security and Monitoring Tools. Постојат две решенија за овој проблем:
Пресликување на порти(исто така познат како SPAN)
Допир на мрежа(исто така познат како Репликациска тапкање, Агрегациска тапкање, Активна тапкање, Бакарна тапкање, Етернет тапкање, итн.)
Пред да ги објасниме разликите помеѓу двете решенија (Port Mirror и Network Tap), важно е да се разбере како функционира Ethernet. На 100Mbit и повеќе, хостовите обично зборуваат во целосен дуплекс, што значи дека еден хост може да испраќа (Tx) и прима (Rx) истовремено. Ова значи дека на кабел од 100 Mbit поврзан со еден хост, вкупната количина на мрежен сообраќај што еден хост може да испраќа/прима (Tx/Rx)) е 2 × 100 Mbit = 200 Mbit.
Пресликувањето на портот е активна репликација на пакети, што значи дека мрежниот уред е физички одговорен за копирање на пакетот на огледалниот порт.
Ова значи дека уредот мора да ја изврши оваа задача користејќи некој ресурс (како што е процесорот), и обете насоки на сообраќај ќе бидат реплицирани на истиот порт. Како што споменавме претходно, во A full duplex link, ова значи дека
А - > Б и Б -> А
Збирот на A нема да ја надмине брзината на мрежата пред да се случи губење на пакети. Ова е затоа што физички нема простор за копирање пакети. Се покажува дека пресликувањето на порти е одлична техника бидејќи може да се изврши од многу прекинувачи (но не сите), бидејќи повеќето прекинувачи имаат недостаток на губење на пакети, ако следите врска со оптоварување над 50%, или ги пресликувате портите на побрз порт (на пр. пресликувајте порти од 100 Mbit на порт од 1 Gbit). Да не спомнуваме дека пресликувањето на пакети може да бара размена на ресурси на прекинувачи, што може да го оптовари уредот и да предизвика влошување на перформансите на размената. Забележете дека можете да поврзете 1 порт на еден порт или 1 VLAN на еден порт, но генерално не можете да копирате многу порти на 1. (Значи, бидејќи пресликувањето на пакети) недостасува.
Мрежен TAP (Терминална пристапна точка)е целосно пасивен хардверски уред, кој може пасивно да го фаќа сообраќајот на мрежата. Најчесто се користи за следење на сообраќајот помеѓу две точки во мрежата. Ако мрежата помеѓу овие две точки се состои од физички кабел, мрежниот TAP може да биде најдобриот начин за фаќање на сообраќајот.
Мрежниот TAP има најмалку три порти: порт А, порт Б и порт за мониторинг. За да се постави порт помеѓу точките А и Б, мрежниот кабел помеѓу точката А и точката Б се заменува со пар кабли, едниот оди до портата А на TAP, а другиот оди до портата Б на TAP. TAP го пренесува целиот сообраќај помеѓу двете мрежни точки, така што тие сè уште се поврзани една со друга. TAP исто така го копира сообраќајот до својот порт за мониторинг, со што му овозможува на уредот за анализа да слуша.
Мрежните TAP-ови најчесто се користат од уреди за следење и собирање податоци како што се APS. TAP-овите можат да се користат и во безбедносни апликации бидејќи не се наметливи, не се детектираат на мрежата, можат да се справат со full-duplex и несподелени мрежи и обично ќе пропуштаат сообраќај дури и ако славината престане да работи или се изгуби струја.
Бидејќи портите на Network Taps не примаат, туку само пренесуваат, прекинувачот нема поим кој седи зад портите. Последицата е што ги емитува пакетите до сите порти. Затоа, ако го поврзете вашиот уред за следење со прекинувачот, таков уред ќе ги прими сите пакети. Забележете дека овој механизам работи ако уредот за следење не испрати никаков пакет до прекинувачот; во спротивно, прекинувачот ќе претпостави дека приклучените пакети не се за таков уред. За да го постигнете тоа, можете да користите мрежен кабел на кој не сте ги поврзале TX жиците, или да користите мрежен интерфејс без IP (и без DHCP) кој воопшто не пренесува пакети. Конечно, забележете дека ако сакате да користите приклучување за да не губите пакети, тогаш или не спојувајте насоки или користете прекинувач каде што приклучените насоки се побавни (на пр. 100 Mbit) од портата за спојување (на пр. 1 Gbit).
Значи, како да се опфати мрежниот сообраќај? Мрежни тапи наспроти огледало на порти на прекинувачот
1- Лесна конфигурација: Допрете на мрежа > Преглед на порти
2- Влијание на перформансите на мрежата: Допирање на мрежата < Огледало на портата
3- Снимање, репликација, агрегација, можност за пренасочување: Допрете до мрежа > Преслика на порти
4- Латентност на пренасочување на сообраќај: Допрете на мрежа < Огледало на порт
5- Капацитет за претходна обработка на сообраќај: Допирање на мрежа > Преглед на порти
Време на објавување: 30 март 2022 година
