Како да се фати мрежен сообраќај? Мрежа допрете наспроти портата огледало

За да се анализира мрежниот сообраќај, неопходно е да се испрати мрежниот пакет до NTOP/NPROBE или алатките за безбедност и мониторинг на мрежата надвор од опсегот. Постојат две решенија за овој проблем:

Огледало на пристаништето(исто така познат како распон)

Мрежа допрете(исто така познат како репликација Допрете, Агрегација Допрете, Активен допрете, Допрете од бакар, Допрете на Етернет, итн.)

Пред да ги објасните разликите помеѓу двете решенија (порт -огледало и мрежна чешма), важно е да се разбере како работи Етернет. На 100Mbit и погоре, домаќините обично зборуваат во целосен дуплекс, што значи дека еден домаќин може да испрати (TX) и да прима (RX) истовремено. Ова значи дека на 100 Mbit кабел поврзан со еден домаќин, вкупната количина на мрежниот сообраќај што еден домаќин може да го испрати/прима (TX/RX)) е 2 × 100 Mbit = 200 Mbit.

Огледалото на пристаништето е активна репликација на пакетите, што значи дека мрежниот уред е физички одговорен за копирање на пакетот во портата на огледало.

Огледало на портата за мрежен прекинувач

Ова значи дека уредот мора да ја изврши оваа задача со употреба на некој ресурс (како што е процесорот), и двете насоки за сообраќај ќе бидат реплицирани на истата порта. Како што споменавме порано, во целосна дуплекс врска, ова значи дека

А -> б и б -> а

Збирот на А нема да ја надмине брзината на мрежата пред да се појави загуба на пакетот. Ова е затоа што физички нема простор да копирате пакети. Излегува дека огледалото на пристаништето е одлична техника бидејќи може да се изврши од многу прекинувачи (но не и сите), затоа што повеќето од прекинувачите со недостаток на загуба на пакетите, ако следите врска со над 50% оптоварување, или огледало на портите на побрзо порта (ЕГ огледало 100 Mbit порта на порта 1 GBIT). Да не спомнувам дека пресликувањето на пакетите може да бара размена на ресурси на прекинувачи, што може да го вчита уредот и да предизвика да се деградираат перформансите на размената. Забележете дека можете да поврзете 1 порта со една порта, или 1 VLAN со една порта, но генерално не можете да копирате многу пристаништа на 1. (така што како огледало на пакетот) недостасува.

Мрежна чешма (точка за пристап до терминал)е целосно пасивен хардверски уред, кој може пасивно да фати сообраќај на мрежа. Најчесто се користи за следење на сообраќајот помеѓу две точки во мрежата. Ако мрежата помеѓу овие две точки се состои од физички кабел, мрежната чешма може да биде најдобриот начин за фаќање на сообраќај.

Мрежната чешма има најмалку три порти: порта, А Б порт и порта за монитори. За да поставите чешма помеѓу точките А и Б, мрежниот кабел помеѓу точката А и точката Б се заменува со пар кабли, едниот што оди во пристаништето на чешмата, а другиот оди во портата Б на чешма. Чеписот го поминува целиот сообраќај помеѓу двете мрежни точки, така што тие сè уште се поврзани едни со други. Допрете, исто така, го копира сообраќајот до својата порта за монитори, со што се овозможува да се слуша уредот за анализа.

Мрежните чешми најчесто се користат со уреди за набудување и собирање, како што се APS. Трапите исто така може да се користат во безбедносните апликации затоа што тие се не-оптоварувачки, не можат да се забележат на мрежата, можат да се справат со целосни мрежни и не-споделени мрежи, и обично ќе поминат низ сообраќајот, дури и ако ТАП престане да работи или ја изгуби моќта.

Агрегација на мрежна чешма

Бидејќи портите за мрежни чешми не добиваат, туку само пренесуваат, прекинувачот нема поим кој седи зад пристаништата. Последица е тоа што ги емитуваше пакетите на сите пристаништа. Затоа, ако го поврзете вашиот уред за набудување со прекинувачот, таквиот уред ќе ги добие сите пакети. Забележете дека овој механизам работи ако уредот за набудување не испраќа никаков пакет на прекинувачот; Во спротивно, прекинувачот ќе претпостави дека прислушуваните пакети не се за таков уред. За да го постигнете тоа, можете или да користите мрежен кабел на кој не сте ги поврзале жиците на TX, или да користите мрежен интерфејс помалку IP (и DHCP-помалку) што воопшто не пренесува пакети. Конечно, забележете дека ако сакате да користите чешма за да не изгубите пакети, тогаш или не спојувајте ги упатствата или користете прекинувач каде што прислушуваните насоки се побавни (на пр. 100 Mbit) дека портата за спојување (на пр. 1 GBIT).

Репликација на мрежна чешма

Па, како да се фати мрежен сообраќај? Мрежни славини против огледало на портите за прекинувачи

1- Лесна конфигурација: Мрежа допрете> Порт огледало

2- Влијание на перформансите на мрежата: Мрежа допрете <Порт огледало

3- Фаќање, репликација, агрегација, Способност за пренасочување: Мрежа допрете> Огледало на порта

4- Латентност за пренасочување на сообраќајот: Мрежа допрете <Порт огледало

5- Капацитет за преработка на сообраќај: Мрежа допрете> Огледало на порта

Мрежни славини против огледалото на портите


Време на објавување: март-30-2022