Lai analizētu tīkla trafiku, ir jānosūta tīkla pakete uz NTOP/NPROBE vai Out-of-band Network Security and Monitoring Tools. Šai problēmai ir divi risinājumi:
Porta spoguļošana(pazīstams arī kā SPAN)
Tīkls Pieskarieties(pazīstams arī kā replikācijas pieskāriens, apkopošanas pieskāriens, aktīvais pieskāriens, vara pieskāriens, Ethernet pieskāriens utt.)
Pirms izskaidrot atšķirības starp diviem risinājumiem (Port Mirror un Network Tap), ir svarīgi saprast, kā darbojas Ethernet. Ja ir 100 Mbit un vairāk, resursdatori parasti runā pilnā dupleksā, kas nozīmē, ka viens resursdators var vienlaikus nosūtīt (Tx) un saņemt (Rx). Tas nozīmē, ka ar 100 Mbit kabeli, kas savienots ar vienu resursdatoru, kopējais tīkla trafika apjoms, ko viens resursdators var nosūtīt/saņemt (Tx/Rx)), ir 2 × 100 Mbit = 200 Mbit.
Porta spoguļošana ir aktīva pakešu replikācija, kas nozīmē, ka tīkla ierīce ir fiziski atbildīga par paketes kopēšanu spoguļattēlā.
Tas nozīmē, ka ierīcei ir jāveic šis uzdevums, izmantojot kādu resursu (piemēram, centrālo procesoru), un abi satiksmes virzieni tiks replicēti vienā portā. Kā minēts iepriekš, sadaļā Pilna dupleksa saite tas nozīmē, ka
A -> B un B -> A
A summa nepārsniegs tīkla ātrumu pirms pakešu zuduma. Tas ir tāpēc, ka fiziski nav vietas pakešu kopēšanai. Izrādās, ka portu spoguļošana ir lielisks paņēmiens, jo to var veikt daudzi slēdži (bet ne visi), jo lielākajai daļai slēdžu ir pakešu zuduma trūkums, ja uzraugāt saiti ar vairāk nekā 50% slodzi vai spoguļat portus uz ātrāku portu (piemēram, spoguļat 100 Mbit portus uz 1 Gbit portu). Nemaz nerunājot par to, ka pakešu spoguļošanai var būt nepieciešama slēdžu resursu apmaiņa, kas var noslogot ierīci un izraisīt apmaiņas veiktspējas pasliktināšanos. Ņemiet vērā, ka vienam portam var pieslēgt 1 portu vai vienam portam 1 VLAN, taču parasti nevar kopēt daudzus portus uz 1. (Tā kā trūkst pakešu spoguļa).
Tīkla TAP (termināla piekļuves punkts)ir pilnībā pasīva aparatūras ierīce, kas var pasīvi uztvert trafiku tīklā. To parasti izmanto, lai uzraudzītu trafiku starp diviem tīkla punktiem. Ja tīkls starp šiem diviem punktiem sastāv no fiziska kabeļa, tīkla TAP var būt labākais veids, kā uztvert trafiku.
Tīkla TAP ir vismaz trīs porti: A ports, B ports un monitora ports. Lai novietotu krānu starp punktiem A un B, tīkla kabelis starp punktu A un punktu B tiek aizstāts ar kabeļu pāri, viens iet uz TAP A portu, otrs uz TAP B portu. TAP nodod visu trafiku starp diviem tīkla punktiem, tāpēc tie joprojām ir savienoti viens ar otru. TAP arī kopē trafiku uz sava monitora portu, tādējādi ļaujot analīzes ierīcei klausīties.
Tīkla TAP parasti izmanto uzraudzības un savākšanas ierīces, piemēram, APS. TAP var izmantot arī drošības lietojumprogrammās, jo tie ir neuzbāzīgi, nav nosakāmi tīklā, var tikt galā ar pilnu dupleksu un nekoplietotiem tīkliem un parasti pārraidīs trafiku pat tad, ja pieskāriens pārstāj darboties vai pazūd strāva.
Tā kā Network Taps porti nesaņem, bet tikai pārraida, slēdzim nav ne jausmas, kas sēž aiz portiem. Rezultātā tas pārraida paketes uz visiem portiem. Tāpēc, ja pievienojat savu uzraudzības ierīci slēdzim, šāda ierīce saņems visas paketes. Ņemiet vērā, ka šis mehānisms darbojas, ja uzraudzības ierīce nesūta nevienu paketi uz slēdzi; pretējā gadījumā slēdzis pieņems, ka izmantotās paketes nav paredzētas šādai ierīcei. Lai to panāktu, varat izmantot tīkla kabeli, kuram nav pievienoti TX vadi, vai arī izmantot tīkla interfeisu bez IP (un bez DHCP), kas vispār nepārraida paketes. Visbeidzot, ņemiet vērā: ja vēlaties izmantot pieskārienu, lai nezaudētu paketes, tad vai nu neapvienojiet norādes, vai arī izmantojiet slēdzi, kur pieskarties virzieni ir lēnāki (piemēram, 100 Mbit) nekā sapludināšanas portam (piemēram, 1 Gbit).
Tātad, kā tvert tīkla trafiku? Tīkla pieskārienu un pārslēgšanas portu spogulis
1- Vienkārša konfigurēšana: Tīkls pieskarieties > Port Mirror
2- Tīkla veiktspējas ietekme: tīkls pieskarieties < Port Mirror
3. Tveršana, pavairošana, apkopošana, pārsūtīšanas iespēja: Tīkls pieskarieties > Port Mirror
4- Trafika pārsūtīšanas latentums: tīkls pieskarieties < Port Mirror
5- Satiksmes priekšapstrādes jauda: Tīkls Pieskarieties > Port Mirror
Izlikšanas laiks: 30. marts 2022
