Προκειμένου να αναλυθεί η κυκλοφορία δικτύου, είναι απαραίτητο να στείλετε το πακέτο δικτύου σε NTOP/NPROBE ή εργαλεία ασφάλειας δικτύου εκτός ζώνης. Υπάρχουν δύο λύσεις σε αυτό το πρόβλημα:
Κατοπτρισμός(επίσης γνωστό ως span)
Βρύση δικτύου(Επίσης γνωστή ως αντιγραφή βρύσης, βρύση συσσωμάτωσης, ενεργή βρύση, βρύση χαλκού, βρύση Ethernet κ.λπ.)
Πριν εξηγήσουμε τις διαφορές μεταξύ των δύο λύσεων (Port Mirror and Network Tap), είναι σημαντικό να κατανοήσουμε πώς λειτουργεί το Ethernet. Σε 100mbit και άνω, οι οικοδεσπότες συνήθως μιλούν σε πλήρη αμφίδρομη, πράγμα που σημαίνει ότι ένας οικοδεσπότης μπορεί να στείλει (TX) και να λάβει (RX) ταυτόχρονα. Αυτό σημαίνει ότι σε ένα καλώδιο 100 Mbit που συνδέεται με έναν κεντρικό υπολογιστή, το συνολικό ποσό της κυκλοφορίας δικτύου που ένας κεντρικός υπολογιστής μπορεί να στείλει/λαμβάνει (TX/RX)) είναι 2 × 100 Mbit = 200 Mbit.
Ο καθρέφτης θύρας είναι ενεργή αναπαραγωγή πακέτων, πράγμα που σημαίνει ότι η συσκευή δικτύου είναι φυσικά υπεύθυνη για την αντιγραφή του πακέτου στη θύρα με καθρέφτη.
Αυτό σημαίνει ότι η συσκευή πρέπει να εκτελέσει αυτήν την εργασία χρησιμοποιώντας κάποιο πόρο (όπως η CPU) και οι δύο κατευθύνσεις κυκλοφορίας θα αναπαραχθούν στην ίδια θύρα. Όπως αναφέρθηκε προηγουμένως, σε ένα πλήρες σύνδεσμο διπλής όψης, αυτό σημαίνει ότι αυτό
A -> B και B -> A
Το άθροισμα του Α δεν θα υπερβαίνει την ταχύτητα του δικτύου πριν από την απώλεια πακέτων. Αυτό οφείλεται στο γεγονός ότι δεν υπάρχει φυσικά χώρος για την αντιγραφή πακέτων. Αποδεικνύεται ότι η Mirroring Port είναι μια μεγάλη τεχνική, καθώς μπορεί να εκτελεστεί από πολλούς διακόπτες (αλλά όχι όλα), επειδή οι περισσότεροι από τους διακόπτες με το μειονέκτημα της απώλειας πακέτων, εάν παρακολουθήσετε έναν σύνδεσμο με φορτίο πάνω από 50% ή αντικατοπτρίζετε τις θύρες σε μια ταχύτερη θύρα (π.χ. Για να μην αναφέρουμε ότι ο καθρέφτης πακέτων μπορεί να απαιτεί την ανταλλαγή πόρων διακόπτη, οι οποίοι μπορεί να φορτώσουν τη συσκευή και να προκαλέσουν αποικοδόμηση της απόδοσης ανταλλαγής. Σημειώστε ότι μπορείτε να συνδέσετε 1 θύρα σε μία θύρα ή 1 VLAN σε μία θύρα, αλλά γενικά δεν μπορείτε να αντιγράψετε πολλές θύρες σε 1.
Μια βρύση δικτύου (σημείο πρόσβασης τερματικού)είναι μια πλήρως παθητική συσκευή υλικού, η οποία μπορεί να συλλάβει παθητικά την κυκλοφορία σε ένα δίκτυο. Συνήθως χρησιμοποιείται για την παρακολούθηση της κυκλοφορίας μεταξύ δύο σημείων στο δίκτυο. Εάν το δίκτυο μεταξύ αυτών των δύο σημείων αποτελείται από ένα φυσικό καλώδιο, μια βρύση δικτύου μπορεί να είναι ο καλύτερος τρόπος για να συλλάβετε την κυκλοφορία.
Η βρύση δικτύου έχει τουλάχιστον τρεις θύρες: μια θύρα Α, μια θύρα Β και μια θύρα οθόνης. Για να τοποθετήσετε μια βρύση μεταξύ των σημείων Α και Β, το καλώδιο δικτύου μεταξύ του σημείου Α και του σημείου Β αντικαθίσταται με ένα ζευγάρι καλωδίων, το ένα που πηγαίνει στη θύρα A του βρύσης, το άλλο που πηγαίνει στη θύρα Β της βρύσης. Η βρύση περνάει όλη την κυκλοφορία μεταξύ των δύο σημείων δικτύου, έτσι ώστε να είναι ακόμα συνδεδεμένα μεταξύ τους. Η βρύση αντιγράφει επίσης την κυκλοφορία στη θύρα της οθόνης, επιτρέποντας έτσι μια συσκευή ανάλυσης να ακούσει.
Οι βρύσες δικτύων χρησιμοποιούνται συνήθως από τις συσκευές παρακολούθησης και συλλογής όπως το APS. Οι βρύσες μπορούν επίσης να χρησιμοποιηθούν σε εφαρμογές ασφαλείας, επειδή δεν είναι αντιληπτές, δεν είναι ανιχνεύσιμες στο δίκτυο, μπορούν να αντιμετωπίσουν τα δίκτυα πλήρους διπλής και μη κοινόχρηστου δικτύου και συνήθως θα περάσουν την κυκλοφορία ακόμη και αν η βρύση σταματήσει να λειτουργεί ή χάνει την εξουσία.
Καθώς οι θύρες δικτύου δεν λαμβάνουν μόνο αλλά μετά τη μετάδοση, ο διακόπτης δεν έχει ιδέα που κάθεται πίσω από τα λιμάνια. Η συνέπεια είναι ότι μεταδίδει τα πακέτα σε όλες τις θύρες. Επομένως, εάν συνδέσετε τη συσκευή παρακολούθησης με τον διακόπτη, αυτή η συσκευή θα λάβει όλα τα πακέτα. Σημειώστε ότι αυτός ο μηχανισμός λειτουργεί εάν η συσκευή παρακολούθησης δεν στείλει κανένα πακέτο στο διακόπτη. Διαφορετικά, ο διακόπτης θα υποθέσει ότι τα πακέτα που χρησιμοποιούνται δεν είναι για μια τέτοια συσκευή. Προκειμένου να το επιτύχετε αυτό, μπορείτε είτε να χρησιμοποιήσετε ένα καλώδιο δικτύου στο οποίο δεν έχετε συνδέσει τα καλώδια TX, είτε να χρησιμοποιήσετε μια διασύνδεση δικτύου χωρίς IP (και DHCP-less) που δεν μεταδίδει πακέτα καθόλου. Τέλος, σημειώστε ότι εάν θέλετε να χρησιμοποιήσετε μια βρύση για να μην χάσετε πακέτα, τότε είτε δεν συγχωνεύετε τις οδηγίες είτε χρησιμοποιήστε έναν διακόπτη όπου οι κατευθύνσεις είναι πιο αργές (π.χ. 100 Mbit) ότι η θύρα συγχώνευσης (π.χ. 1 gbit).
Λοιπόν, πώς να συλλάβετε την κυκλοφορία δικτύου; Δίκτυο βρύσες vs διακόπτες θύρες καθρέφτη
1- Εύκολη διαμόρφωση: Δίκτυο Πατώντας> καθρέφτη θύρας
2- Επίδραση απόδοσης δικτύου: Δίκτυο Πατήστε <Mirror Port Mirror
3- Καταγραφή, αναπαραγωγή, συσσώρευση, δυνατότητα προώθησης: Δίκτυο Πατήστε> Λεπτή θύρας
4- Latency Dreparing Traffic: Δίκτυο Πατήστε <Mirror Port Mirror
5- Χωρητικότητα προεπεξεργασίας κυκλοφορίας: Δίκτυο Πατήστε> Καθρέφτης θύρας
Χρόνος δημοσίευσης: Mar-30-2022
