Lai analizētu tīkla trafiku, tīkla pakete ir jānosūta uz NTOP/NPROBE vai Out-of-band Network Security and Monitoring Tools. Šai problēmai ir divi risinājumi:
Portu spoguļošana(pazīstams arī kā SPAN)
Tīkla pieskāriens(pazīstams arī kā replikācijas pieslēgvieta, agregācijas pieslēgvieta, aktīvā pieslēgvieta, vara pieslēgvieta, Ethernet pieslēgvieta utt.)
Pirms abu risinājumu (Port Mirror un Network Tap) atšķirību izskaidrošanas ir svarīgi saprast, kā darbojas Ethernet tīkls. Ar ātrumu 100 Mbit un vairāk resursdatori parasti sazinās pilnā dupleksā, kas nozīmē, ka viens resursdators var vienlaikus sūtīt (Tx) un saņemt (Rx). Tas nozīmē, ka pa 100 Mbit kabeli, kas savienots ar vienu resursdatoru, kopējais tīkla datplūsmas apjoms, ko viens resursdators var nosūtīt/saņemt (Tx/Rx), ir 2 × 100 Mbit = 200 Mbit.
Portu spoguļošana ir aktīva pakešu replikācija, kas nozīmē, ka tīkla ierīce ir fiziski atbildīga par paketes kopēšanu uz spoguļoto portu.
Tas nozīmē, ka ierīcei šis uzdevums jāveic, izmantojot kādu resursu (piemēram, centrālo procesoru), un abi datplūsmas virzieni tiks replicēti uz vienu un to pašu portu. Kā minēts iepriekš, pilna dupleksa saitē tas nozīmē, ka
A -> B un B -> A
A summa nepārsniegs tīkla ātrumu, pirms notiks pakešu zudums. Tas ir tāpēc, ka fiziski nav vietas pakešu kopēšanai. Izrādās, ka portu spoguļošana ir lieliska metode, jo to var veikt daudzi komutatori (bet ne visi), jo lielākajai daļai komutatoru ir tāds trūkums kā pakešu zudums, ja uzraugat saiti ar vairāk nekā 50% noslodzi vai spoguļojat portus uz ātrāku portu (piemēram, spoguļojat 100 Mbit portus uz 1 Gbit portu). Nemaz nerunājot par to, ka pakešu spoguļošanai var būt nepieciešama komutatoru resursu apmaiņa, kas var noslogot ierīci un izraisīt apmaiņas veiktspējas pasliktināšanos. Ņemiet vērā, ka varat pievienot 1 portu vienam portam vai 1 VLAN vienam portam, bet parasti nevarat kopēt daudz portu uz 1. (Tātad, trūkst pakešu spoguļa.)
Tīkla TAP (termināļa piekļuves punkts)ir pilnībā pasīva aparatūras ierīce, kas var pasīvi uztvert datplūsmu tīklā. To parasti izmanto, lai uzraudzītu datplūsmu starp diviem tīkla punktiem. Ja tīkls starp šiem diviem punktiem sastāv no fiziska kabeļa, tīkla TAP var būt labākais veids, kā uztvert datplūsmu.
Tīkla TAP ir vismaz trīs porti: A ports, B ports un monitora ports. Lai novietotu atzaru starp punktiem A un B, tīkla kabelis starp punktiem A un B tiek aizstāts ar kabeļu pāri, viens no kuriem iet uz TAP A portu, bet otrs uz TAP B portu. TAP nodod visu datplūsmu starp abiem tīkla punktiem, tāpēc tie joprojām ir savienoti viens ar otru. TAP arī kopē datplūsmu uz savu monitora portu, tādējādi ļaujot analīzes ierīcei klausīties.
Tīkla TAP parasti izmanto uzraudzības un apkopošanas ierīces, piemēram, APS. TAP var izmantot arī drošības lietojumprogrammās, jo tie nav uzkrītoši, nav nosakāmi tīklā, var darboties ar pilna dupleksa un nekoplietotiem tīkliem un parasti pārraida datplūsmu pat tad, ja pieslēgvieta pārstāj darboties vai pazūd strāva.
Tā kā Network Taps porti nesaņem, bet tikai pārraida, komutatoram nav ne jausmas, kas atrodas aiz portiem. Rezultātā tas pārraida paketes uz visām portiem. Tādēļ, ja pievienojat uzraudzības ierīci komutatoram, šī ierīce saņems visas paketes. Ņemiet vērā, ka šis mehānisms darbojas, ja uzraudzības ierīce nesūta nevienu paketi uz komutatoru; pretējā gadījumā komutators pieņems, ka uztvertās paketes nav paredzētas šai ierīcei. Lai to panāktu, varat izmantot tīkla kabeli, kuram nav pievienoti TX vadi, vai arī izmantot tīkla saskarni bez IP (un DHCP), kas vispār nepārraida paketes. Visbeidzot, ņemiet vērā, ka, ja vēlaties izmantot pieslēgvietu, lai nezaudētu paketes, tad vai nu neapvienojiet virzienus, vai arī izmantojiet komutatoru, kurā uztvertie virzieni ir lēnāki (piemēram, 100 Mbit) nekā apvienošanas ports (piemēram, 1 Gbit).
Tātad, kā uztvert tīkla trafiku? Tīkla pieskārieni pretstatā komutācijas portu spoguļošanai
1. Vienkārša konfigurācija: Pieskarieties tīklam > Porta spoguļošana
2. Tīkla veiktspējas ietekme: Tīkla pieskāriens < Porta spoguļošana
3. — uztveršanas, replikācijas, apkopošanas un pārsūtīšanas iespējas: tīkla pieskāriens > Porta spoguļošana
4. Trafika pārsūtīšanas latentums: tīkla pieskāriens < Porta spoguļošana
5. — Satiksmes pirmapstrādes jauda: pieskarieties tīklam > porta spoguļošana
Publicēšanas laiks: 2022. gada 30. marts
