Како да се фати мрежниот сообраќај? Мрежен допир наспроти огледало на пристаништето

За да се анализира мрежниот сообраќај, неопходно е да се испрати мрежниот пакет до NTOP/NPROBE или Алатки за мрежна безбедност и мониторинг надвор од опсегот. Постојат две решенија за овој проблем:

Порто пресликување(исто така познат како SPAN)

Допрете на мрежа(исто така познат како Допрете за репликација, чешма за собирање, активна чешма, бакарна чешма, етернет допре, итн.)

Пред да ги објасните разликите помеѓу двете решенија (Port Mirror и Network Tap), важно е да разберете како функционира етернетот. На 100Mbit и повеќе, домаќините обично зборуваат целосно дуплекс, што значи дека еден домаќин може истовремено да испраќа (Tx) и прима (Rx). Ова значи дека на кабел од 100 Mbit поврзан со еден хост, вкупната количина на мрежниот сообраќај што еден домаќин може да ја испрати/прими (Tx/Rx)) е 2 × 100 Mbit = 200 Mbit.

Пресликувањето на портот е активна репликација на пакети, што значи дека мрежниот уред е физички одговорен за копирање на пакетот во огледуваната порта.

огледало на портата на мрежен прекинувач

Ова значи дека уредот мора да ја изврши оваа задача со користење на некој ресурс (како што е процесорот), и двете сообраќајни насоки ќе се реплицираат на истата порта. Како што споменавме порано, во целосна дуплекс врска, тоа значи

А -> Б и Б -> А

Збирот на А нема да ја надмине брзината на мрежата пред да дојде до загуба на пакети. Тоа е затоа што физички нема простор за копирање пакети. Излегува дека пресликувањето на портите е одлична техника бидејќи може да се изведе од многу прекинувачи (но не сите), бидејќи повеќето од прекинувачите со недостаток на загуба на пакети, ако надгледувате врска со оптоварување над 50%, или го пресликуваат порти на побрза порта (на пр. огледало порти од 100 Mbit на порта од 1 Gbit). Да не зборуваме дека пресликувањето на пакети може да бара размена на ресурси на прекинувачите, што може да го вчита уредот и да предизвика влошување на перформансите на размената. Забележете дека можете да поврзете 1 порта на една порта или 1 VLAN на една порта, но генерално не можете да копирате многу порти на 1. (Така што огледалото на пакетите) недостасува.

Мрежна TAP (Терминална пристапна точка)е целосно пасивен хардверски уред, кој може пасивно да го фати сообраќајот на мрежата. Најчесто се користи за следење на сообраќајот помеѓу две точки во мрежата. Ако мрежата помеѓу овие две точки се состои од физички кабел, мрежниот TAP може да биде најдобриот начин за снимање на сообраќајот.

Мрежата TAP има најмалку три порти: порта A, порта B и порта за монитор. За да поставите чешма помеѓу точките А и Б, мрежниот кабел помеѓу точката А и точката Б се заменува со пар кабли, од кои едниот оди до пристаништето А на TAP, а другиот оди до портата Б на TAP. TAP го поминува целиот сообраќај помеѓу двете мрежни точки, така што тие сè уште се поврзани една со друга. TAP исто така го копира сообраќајот до својата порта за монитор, со што му овозможува на уредот за анализа да слуша.

Мрежните TAP најчесто се користат од уредите за следење и собирање, како што е APS. TAP може да се користат и во безбедносни апликации бидејќи не се наметливи, не се откриваат на мрежата, можат да се справат со целосно дуплекс и незаеднички мрежи и обично поминуваат низ сообраќајот дури и ако чешмата престане да работи или изгуби напојување .

агрегација на допир на мрежа

Бидејќи портите за мрежни допири не примаат, туку само пренесуваат, прекинувачот нема поим кој седи зад портите. Последица е тоа што ги емитува пакетите до сите порти. Затоа, ако го поврзете вашиот уред за следење со прекинувачот, таквиот уред ќе ги прими сите пакети. Забележете дека овој механизам работи ако уредот за следење не испраќа никаков пакет до прекинувачот; во спротивно, прекинувачот ќе претпостави дека прислушуваните пакети не се за таков уред. За да го постигнете тоа, можете или да користите мрежен кабел на кој не сте ги поврзале TX жиците или да користите мрежен интерфејс без IP (и без DHCP) кој воопшто не пренесува пакети. На крајот забележете дека ако сакате да користите допир за да не ги изгубите пакетите, тогаш или не спојувајте ги насоките или користете прекинувач каде што насоките за прислушување се побавни (на пр. 100 Mbit) од портата за спојување (на пр. 1 Gbit).

репликација на допрете на мрежата

Значи, како да се фати мрежниот сообраќај? Мрежни допири наспроти огледало за префрлување порти

1- Лесна конфигурација: Допрете на мрежата > Огледало на пристаништето

2- Влијание на перформансите на мрежата: Допрете на мрежа < Огледало на порти

3- Снимање, репликација, агрегација, способност за препраќање: Допрете на мрежата > Огледало на порта

4- Латентност на препраќање сообраќај: Допрете на мрежа < Огледало на порт

5- Капацитет за претпроцесирање на сообраќајот: Допрете на мрежата > Огледало на пристаништето

мрежни допири наспроти порти огледало


Време на објавување: Мар-30-2022 година