Võrguliikluse analüüsimiseks on vaja saata võrgupakett NTOP/NPROBE-i või Out-of-band Network Security and Monitoring Toolsi. Sellele probleemile on kaks lahendust:
Pordi peegeldamine(tuntud ka kui SPAN)
Võrgu puudutus(tuntud ka kui replikatsioonipistik, agregatsioonipistik, aktiivpistik, vaskpistik, Etherneti pistik jne)
Enne kahe lahenduse (Port Mirror ja Network Tap) erinevuste selgitamist on oluline mõista, kuidas Ethernet töötab. 100 Mbit/s ja suurema kiirusega suhtlevad hostid tavaliselt täisdupleksrežiimis, mis tähendab, et üks host saab samaaegselt saata (Tx) ja vastu võtta (Rx). See tähendab, et 100 Mbit/s kaablil, mis on ühendatud ühe hostiga, on ühe hosti poolt saadetava/vastuvõetava võrguliikluse kogumaht (Tx/Rx) 2 × 100 Mbit/s = 200 Mbit/s.
Pordi peegeldamine on aktiivne pakettide replikatsioon, mis tähendab, et võrguseade vastutab füüsiliselt paketi kopeerimise eest peegeldatud porti.
See tähendab, et seade peab selle ülesande täitmiseks kasutama mingit ressurssi (näiteks protsessorit) ja mõlemad liiklussuunad replikeeritakse samasse porti. Nagu varem mainitud, tähendab see täisdupleksühenduse puhul seda, et
A -> B ja B -> A
A summa ei ületa võrgu kiirust enne pakettide kadumist. Selle põhjuseks on asjaolu, et pakettide kopeerimiseks pole füüsiliselt ruumi. Selgub, et portide peegeldamine on suurepärane tehnika, kuna seda saavad teostada paljud kommutaatorid (kuid mitte kõik), kuna enamiku kommutaatorite puuduseks on pakettide kadu. Kui jälgite linki, mille koormus on üle 50%, peegeldavad nad pordid kiiremale pordile (nt peegeldavad 100 Mbit/s porte 1 Gbit/s pordile). Rääkimata sellest, et pakettide peegeldamine võib nõuda kommutaatorite ressursside vahetamist, mis võib seadet koormata ja vahetuse jõudlust halvendada. Pange tähele, et saate ühendada ühe pordi ühte porti või ühe VLAN-i ühte porti, kuid üldiselt ei saa te palju porte ühte porti kopeerida. (Seega, kuna pakettide peegel puudub.)
Võrgu TAP (terminali pääsupunkt)on täielikult passiivne riistvaraseade, mis suudab võrgus passiivselt liiklust jäädvustada. Seda kasutatakse tavaliselt võrgu kahe punkti vahelise liikluse jälgimiseks. Kui nende kahe punkti vaheline võrk koosneb füüsilisest kaablist, võib võrgu TAP olla parim viis liikluse jäädvustamiseks.
Võrgu-TAP-il on vähemalt kolm porti: A-port, B-port ja monitoriport. Punktide A ja B vahele hargnemiskoha paigutamiseks asendatakse punktide A ja B vaheline võrgukaabel kahe kaablipaariga, millest üks läheb TAP-i A-porti ja teine TAP-i B-porti. TAP edastab kogu liikluse kahe võrgupunkti vahel, nii et need on endiselt omavahel ühendatud. TAP kopeerib liikluse ka oma monitoriporti, võimaldades analüüsiseadmel kuulata.
Võrgu-TAP-e kasutavad tavaliselt jälgimis- ja andmekogumisseadmed, näiteks APS-id. TAP-e saab kasutada ka turvarakendustes, kuna need on mittepealetükkivad, võrgus tuvastamatud, saavad hakkama täisdupleks- ja mittejagatud võrkudega ning lasevad tavaliselt liikluse läbi isegi siis, kui kraan lakkab töötamast või toide katkeb.
Kuna Network Tapsi pordid ei vastu võta, vaid ainult edastavad, pole kommutaatoril aimugi, kes portide taga istub. Selle tagajärjel edastatakse paketid kõikidesse portidesse. Seega, kui ühendate oma jälgimisseadme kommutaatoriga, võtab see seade vastu kõik paketid. Pange tähele, et see mehhanism töötab ka siis, kui jälgimisseade ei saada kommutaatorile ühtegi paketti; vastasel juhul eeldab kommutaator, et koputatud paketid ei ole sellele seadmele. Selle saavutamiseks võite kasutada kas võrgukaablit, millega te pole saatjajuhtmeid ühendanud, või kasutada IP-vaba (ja DHCP-vaba) võrguliidest, mis ei edasta pakette üldse. Lõpuks pidage meeles, et kui soovite kasutada koputust pakettide kaotamise vältimiseks, siis ärge ühendage suundi või kasutage kommutaatorit, mille koputatud suunad on aeglasemad (nt 100 Mbit) kui ühendamisport (nt 1 Gbit).
Niisiis, kuidas võrguliiklust jäädvustada? Võrguühendused vs. Switch Ports Mirror
1. Lihtne seadistamine: puudutage valikut Network (Võrk) > Port Mirror (Pordi peegeldamine).
2. Võrgu jõudluse mõju: võrguühendus < pordipeegeldus
3. Jäädvustamise, replikatsiooni, koondamise ja edastamise võime: puudutage võrgunuppu > Pordi peegel
4. Liikluse edastamise latentsus: võrgu puudutamine < pordi peegel
5- Liikluse eeltöötlusvõimsus: puudutage võrgunuppu > Pordi peegel
Postituse aeg: 30. märts 2022
