Për të analizuar trafikun e rrjetit, është e nevojshme të dërgoni paketën e rrjetit në mjetet e sigurisë dhe monitorimit të rrjetit NTOP/NPROBE ose jashtë bandës. Ekzistojnë dy zgjidhje për këtë problem:
Pasqyrim porti(E njohur edhe si Span)
Rrjeti i trokitur në rrjet(E njohur edhe si Tap Replication, Tap Agregation, Tap Active, Tap Bakri, Tap Ethernet, etj.)
Para se të shpjegoni ndryshimet midis dy zgjidhjeve (Mirror Port dhe TAP të Rrjetit), është e rëndësishme të kuptoni se si funksionon Ethernet. Në 100Mbit dhe më lart, nikoqirët zakonisht flasin me dupleks të plotë, që do të thotë që një host mund të dërgojë (TX) dhe të marrë (RX) njëkohësisht. Kjo do të thotë që në një kabllo 100 Mbit të lidhur me një host, shuma totale e trafikut të rrjetit që një host mund të dërgojë/marrë (TX/RX)) është 2 × 100 Mbit = 200 Mbit.
Pasqyrimi i portit është përsëritje aktive e paketave, që do të thotë se pajisja e rrjetit është fizikisht përgjegjëse për kopjimin e paketës në portin e pasqyruar.
Kjo do të thotë që pajisja duhet ta kryejë këtë detyrë duke përdorur disa burime (siç është CPU), dhe të dy drejtimet e trafikut do të përsëriten në të njëjtin port. Siç u përmend më herët, në një lidhje të plotë dupleks, kjo do të thotë se
A -> b dhe b -> a
Shuma e A nuk do të tejkalojë shpejtësinë e rrjetit para se të ndodhë humbja e paketave. Kjo për shkak se fizikisht nuk ka hapësirë për të kopjuar paketat. Rezulton se pasqyrimi i portit është një teknikë e shkëlqyeshme pasi mund të kryhet nga shumë çelsat (por jo të gjithë), sepse shumica e çelsave me pengesën e humbjes së paketave, nëse monitoroni një lidhje me mbi 50% ngarkesë, ose pasqyroni portet në një port më të shpejtë (EG Mirror 100 Mbit Ports në një port 1 gbit). Për të mos përmendur që pasqyrimi i paketave mund të kërkojë shkëmbimin e burimeve të çelsave, të cilat mund të ngarkojnë pajisjen dhe të shkaktojnë degradimin e performancës së shkëmbimit. Vini re se ju mund të lidhni 1 port në një port, ose 1 VLAN në një port, por në përgjithësi nuk mund të kopjoni shumë porte në 1. (Kështu që pasi pasqyra e paketës) mungon.
Një trokitje e lehtë e rrjetit (pika e hyrjes në terminal)është një pajisje harduerike plotësisht pasive, e cila mund të kapë pasivisht trafikun në një rrjet. Zakonisht përdoret për të monitoruar trafikun midis dy pikave në rrjet. Nëse rrjeti midis këtyre dy pikave përbëhet nga një kabllo fizike, një rubinet i rrjetit mund të jetë mënyra më e mirë për të kapur trafikun.
Tap i rrjetit ka të paktën tre porte: një port A, një port B dhe një port monitorimi. Për të vendosur një rubinet midis pikave A dhe B, kablloja e rrjetit midis pikës A dhe Pika B zëvendësohet me një palë kabllo, njëra që shkon në një port A, tjetri që shkon në portin B të rubinetit. Tap kalon të gjithë trafikun midis dy pikave të rrjetit, kështu që ata janë akoma të lidhur me njëri -tjetrin. TAP gjithashtu kopjon trafikun në portin e tij të monitorit, duke bërë të mundur që një pajisje analize të dëgjojë.
Tapat e rrjetit zakonisht përdoren nga pajisjet e monitorimit dhe mbledhjes siç janë APS. TAP-të mund të përdoren gjithashtu në aplikimet e sigurisë sepse ato janë jo-shqetësuese, nuk janë të zbulueshme në rrjet, mund të merren me rrjete të plota-dupleks dhe jo të ndërruar, dhe zakonisht do të kalojnë trafikun edhe nëse trokitimi ndalon së punuari ose humbet energjinë.
Ndërsa portet e rubinetave të rrjetit nuk marrin, por transmetojnë vetëm, ndërprerësi nuk ka asnjë të dhënë që është ulur pas porteve. Pasoja është se ajo transmeton paketat në të gjitha portet. Prandaj, nëse e lidhni pajisjen tuaj të monitorimit me ndërprerësin, pajisja e tillë do të marrë të gjitha paketat. Vini re se ky mekanizëm funksionon nëse pajisja e monitorimit nuk dërgon ndonjë paketë në ndërprerës; Përndryshe, çelësi do të supozojë se paketat e përgjuara nuk janë për një pajisje të tillë. Për ta arritur këtë, ju ose mund të përdorni një kabllo rrjeti në të cilën nuk i keni lidhur telat TX, ose të përdorni një ndërfaqe të rrjetit IP (dhe më pak DHCP) që nuk transmeton pako fare. Më në fund vini re se nëse doni të përdorni një rubinet për të mos humbur paketat, atëherë ose mos bashkoni udhëzimet ose përdorni një ndërprerës ku udhëzimet e përgjuara janë më të ngadalta (p.sh. 100 Mbit) që porti i bashkimit (p.sh. 1 gbit).
Pra, si të kapni trafikun e rrjetit? TAP -të e rrjetit VS Switch Port Mirror
1- Konfigurimi i lehtë: Trokitja e lehtë e rrjetit> Pasqyra e portit
2- Ndikimi i Performancës së Rrjetit: Takoni në Rrjetin <Mirror Port
3- Kapja, përsëritja, grumbullimi, aftësia e përcjelljes: Takoni në rrjet> Pasqyra e portit
4- Latenca e përcjelljes së trafikut: Takoni në rrjet <Pasqyra e portit
5- Kapaciteti i përpunimit të trafikut: Takoni në rrjet> Pasqyra e portit
Koha e postimit: Mar-30-2022
