For å analysere nettverkstrafikken, er det nødvendig å sende nettverkspakken til NTOP/NPROBE eller out-of-Band nettverkssikkerhets- og overvåkningsverktøy. Det er to løsninger på dette problemet:
Port speiling(også kjent som Span)
Nettverkskran(Også kjent som replikasjonskran, aggregeringskran, aktivt trykk, kobberkran, Ethernet -trykk, etc.)
Før du forklarer forskjellene mellom de to løsningene (Port Mirror og Network Tap), er det viktig å forstå hvordan Ethernet fungerer. Ved 100mbit og over snakker verter vanligvis i full dupleks, noe som betyr at en vert kan sende (TX) og motta (RX) samtidig. Dette betyr at på en 100 mbit -kabel koblet til en vert er den totale mengden av nettverkstrafikken som en vert kan sende/motta (TX/RX)) 2 × 100 mbit = 200 mbit.
Portspeilingen er aktiv pakke replikasjon, noe som betyr at nettverksenheten er fysisk ansvarlig for å kopiere pakken til den speilede porten.
Dette betyr at enheten må utføre denne oppgaven ved å bruke en ressurs (for eksempel CPU), og begge trafikkanvisningene vil bli replikert til samme port. Som nevnt tidligere, i en full duplex -kobling, betyr det at det
A -> B og B -> A
Summen av en vil ikke overstige nettverkshastigheten før pakketap oppstår. Dette er fordi det fysisk ikke er plass til å kopiere pakker. Det viser seg at portspeiling er en flott teknikk, da den kan utføres av mange brytere (men ikke alle), fordi de fleste av bryterne med ulempen med pakketap, hvis du overvåker en kobling med over 50% belastning, eller speil portene på en raskere port (f.eks. Speil 100 mbit porter på en 1 gbit port). For ikke å nevne at pakkespeiling kan kreve utveksling av brytereressurser, noe som kan laste enheten og føre til at utvekslingsytelsen ødelegger. Merk at du kan koble 1 port til en port, eller 1 VLAN til en port, men du kan vanligvis ikke kopiere mange porter til 1. (slik at pakkespeilet) mangler.
Et nettverksprit (terminal tilgangspunkt)er en fullt passiv maskinvareenhet, som passivt kan fange trafikk i et nettverk. Det brukes ofte til å overvåke trafikken mellom to punkter i nettverket. Hvis nettverket mellom disse to punktene består av en fysisk kabel, kan et nettverkskran være den beste måten å fange trafikk på.
Network Tap har minst tre porter: en A -port, en B -port og en skjermport. For å plassere et trykk mellom punkt A og B, erstattes nettverkskabelen mellom punkt A og punkt B med et par kabler, den ene går til tappen er en port, den andre som går til TAPs B -port. Kranen passerer all trafikk mellom de to nettverkspunktene, slik at de fremdeles er koblet til hverandre. Trykket kopierer også trafikken til skjermporten, og gjør det mulig for en analyseenhet å lytte.
Nettverkskraner brukes ofte ved overvåknings- og innsamlingsenheter som APS. TAPS kan også brukes i sikkerhetsapplikasjoner fordi de ikke er påtrengende, ikke kan påvises i nettverket, kan håndtere full-dupleks og ikke-delte nettverk, og vil vanligvis gå gjennom trafikk selv om TAP slutter å fungere eller mister strøm.
Ettersom nettverkstangporter ikke mottar, men bare overfører, har bryteren ingen anelse om hvem som sitter bak portene. Konsekvensen er at den sendte pakkene til alle porter. Derfor, hvis du kobler overvåkingsenheten til bryteren, vil en slik enhet motta alle pakker. Merk at denne mekanismen fungerer hvis overvåkningsenheten ikke sender noen pakke til bryteren; Ellers vil bryteren anta at de tappede pakkene ikke er for en slik enhet. For å oppnå det, kan du enten bruke en nettverkskabel som du ikke har koblet til TX-ledningene, eller bruke et IP-mindre (og DHCP-mindre) nettverksgrensesnitt som ikke overfører pakker i det hele tatt. Til slutt legg merke til at hvis du vil bruke et trykk for ikke å miste pakker, så ikke enten ikke slå sammen veibeskrivelse eller bruke en bryter der tappede retninger er tregere (f.eks. 100 mbit) som fusjonsporten (f.eks. 1 Gbit).
Så hvordan fange nettverkstrafikk? Nettverkskrinker vs Switch Ports Mirror
1- Enkel konfigurasjon: Nettverksknapp> Portspeil
2- Nettverksytelsesinnflytelse: Nettverkskran <Port Mirror
3- Fangst, replikering, aggregering, videresending Evne: Nettverksknapp> Portspeil
4- Trafikkvideresending Latens: Nettverkskran <Port Mirror
5- Trafikkforbehandlingskapasitet: Nettverksknapp> Portspeil
Post Time: Mar-30-2022
