För att analysera nätverkstrafiken är det nödvändigt att skicka nätverkspaketet till NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools. Det finns två lösningar på detta problem:
Portspegling(även känt som SPAN)
Nätverkstryck(även känd som replikeringstapp, aggregeringstapp, aktivt tapp, koppartapp, Ethernet-tapp, etc.)
Innan vi förklarar skillnaderna mellan de två lösningarna (Port Mirror och Network Tap) är det viktigt att förstå hur Ethernet fungerar. Vid 100 Mbit och högre talar värdar vanligtvis i full duplex, vilket innebär att en värd kan skicka (Tx) och ta emot (Rx) samtidigt. Det betyder att på en 100 Mbit-kabel ansluten till en värd är den totala mängden nätverkstrafik som en värd kan skicka/ta emot (Tx/Rx) 2 × 100 Mbit = 200 Mbit.
Portspegling är aktiv paketreplikering, vilket innebär att nätverksenheten är fysiskt ansvarig för att kopiera paketet till den speglade porten.
Det här betyder att enheten måste utföra denna uppgift med hjälp av en resurs (t.ex. processorn), och båda trafikriktningarna kommer att replikeras till samma port. Som tidigare nämnts, i en full duplexlänk, betyder detta att
A -> B och B -> A
Summan av A kommer inte att överstiga nätverkshastigheten innan paketförlust inträffar. Detta beror på att det fysiskt inte finns något utrymme att kopiera paket. Det visar sig att portspegling är en utmärkt teknik eftersom den kan utföras av många switchar (men inte alla), eftersom de flesta switchar har nackdelen med paketförlust, om du övervakar en länk med över 50 % belastning, eller speglar portarna till en snabbare port (t.ex. speglar 100 Mbit-portar till en 1 Gbit-port). För att inte tala om att paketspegling kan kräva utbyte av switchresurser, vilket kan belasta enheten och orsaka att växelns prestanda försämras. Observera att du kan ansluta 1 port till en port, eller 1 VLAN till en port, men du kan i allmänhet inte kopiera många portar till 1. (Så eftersom paketspeglingen) saknas.
En nätverks-TAP (terminalåtkomstpunkt)är en helt passiv hårdvaruenhet som passivt kan fånga trafik i ett nätverk. Den används ofta för att övervaka trafiken mellan två punkter i nätverket. Om nätverket mellan dessa två punkter består av en fysisk kabel kan en nätverks-TAP vara det bästa sättet att fånga trafik.
Nätverks-TAP:n har minst tre portar: en A-port, en B-port och en monitorport. För att placera en tap mellan punkterna A och B ersätts nätverkskabeln mellan punkt A och punkt B med ett par kablar, en går till TAP:ns A-port och den andra till TAP:ns B-port. TAP:n skickar all trafik mellan de två nätverkspunkterna, så de är fortfarande anslutna till varandra. TAP:n kopierar också trafiken till sin monitorport, vilket gör det möjligt för en analysenhet att lyssna.
Nätverks-TAP:er används ofta av övervaknings- och insamlingsenheter som APS. TAP:er kan också användas i säkerhetsapplikationer eftersom de är icke-påträngande, inte detekterbara i nätverket, kan hantera fullduplex- och icke-delade nätverk och vanligtvis skickar igenom trafik även om tap-enheten slutar fungera eller förlorar ström.
Eftersom Network Taps-portar inte tar emot utan bara sänder, har switchen ingen aning om vem som sitter bakom portarna. Konsekvensen blir att den sänder paketen till alla portar. Om du ansluter din övervakningsenhet till switchen kommer den enheten därför att ta emot alla paket. Observera att denna mekanism fungerar om övervakningsenheten inte skickar något paket till switchen; annars antar switchen att de avtappade paketen inte är för den enheten. För att uppnå detta kan du antingen använda en nätverkskabel där du inte har anslutit TX-kablarna, eller använda ett IP-löst (och DHCP-löst) nätverksgränssnitt som inte sänder paket alls. Observera slutligen att om du vill använda en avtappning för att inte förlora paket, ska du antingen inte sammanfoga riktningar eller använda en switch där avtappade riktningar är långsammare (t.ex. 100 Mbit) än sammanfogningsporten (t.ex. 1 Gbit).
Så, hur fångar man nätverkstrafik? Nätverksavbrott kontra switchportar - Mirror
1- Enkel konfiguration: Tryck på Nätverk > Portspegling
2- Påverkan på nätverksprestanda: Nätverkstryckning < Portspegel
3- Insamling, replikering, aggregering, vidarebefordringsförmåga: Nätverkstryckning > Portspegling
4- Latens för vidarebefordran av trafik: Nätverkstryckning < Portspegel
5- Förbehandlingskapacitet för trafik: Nätverk Tap > Portspegling
Publiceringstid: 30 mars 2022
