Si të kapni trafikun e rrjetit? Prekja e rrjetit vs Port Mirror

Për të analizuar trafikun e rrjetit, është e nevojshme të dërgoni paketën e rrjetit në NTOP/NPROBE ose Mjetet e Sigurisë dhe Monitorimit të Rrjetit jashtë brezit. Ka dy zgjidhje për këtë problem:

Pasqyrimi i portit(i njohur edhe si SPAN)

Trokit në rrjet(i njohur edhe si Prekja e përsëritjes, Trokja e grumbullimit, trokitja aktive, trokitja e bakrit, trokitja e Ethernetit, etj.)

Përpara se të shpjegoni ndryshimet midis dy zgjidhjeve (Port Mirror dhe Network Tap), është e rëndësishme të kuptoni se si funksionon Ethernet. Në 100 Mbit e lart, hostet zakonisht flasin në dupleks të plotë, që do të thotë se një host mund të dërgojë (Tx) dhe të marrë (Rx) njëkohësisht. Kjo do të thotë që në një kabllo 100 Mbit të lidhur me një host, sasia totale e trafikut të rrjetit që një host mund të dërgojë/merr (Tx/Rx)) është 2 × 100 Mbit = 200 Mbit.

Pasqyrimi i Portit është replikim aktiv i paketave, që do të thotë se pajisja e rrjetit është fizikisht përgjegjëse për kopjimin e paketës në portin e pasqyruar.

pasqyra e portit të ndërprerësit të rrjetit

Kjo do të thotë që pajisja duhet ta kryejë këtë detyrë duke përdorur disa burime (siç është CPU), dhe të dy drejtimet e trafikut do të përsëriten në të njëjtën port. Siç u përmend më herët, në një lidhje të plotë dupleks, kjo do të thotë se

A -> B dhe B -> A

Shuma e A nuk do të kalojë shpejtësinë e rrjetit përpara se të ndodhë humbja e paketës. Kjo ndodh sepse fizikisht nuk ka hapësirë ​​për të kopjuar paketat. Rezulton se pasqyrimi i portit është një teknikë e shkëlqyer pasi mund të kryhet nga shumë switch (por jo të gjithë), sepse shumica e çelsave me pengesë të humbjes së paketave, nëse monitoroni një lidhje me ngarkesë mbi 50%, ose pasqyroni portet në një port më të shpejtë (p.sh. pasqyroni portet 100 Mbit në një portë 1 Gbit). Për të mos përmendur që pasqyrimi i paketave mund të kërkojë shkëmbimin e burimeve të ndërprerësve, gjë që mund të ngarkojë pajisjen dhe të shkaktojë degradim të performancës së shkëmbimit. Vini re se mund të lidhni 1 port me një portë ose 1 VLAN me një portë, por në përgjithësi nuk mund të kopjoni shumë porte në 1. (Pra, pasi pasqyra e paketës) mungon.

Një TAP në rrjet (pika e hyrjes në terminal)është një pajisje harduerike plotësisht pasive, e cila mund të kapë në mënyrë pasive trafikun në një rrjet. Zakonisht përdoret për të monitoruar trafikun midis dy pikave në rrjet. Nëse rrjeti ndërmjet këtyre dy pikave përbëhet nga një kabllo fizike, një rrjet TAP mund të jetë mënyra më e mirë për të kapur trafikun.

Rrjeti TAP ka të paktën tre porte: një port A, një portë B dhe një port monitori. Për të vendosur një rubinet midis pikave A dhe B, kablloja e rrjetit midis pikës A dhe pikës B zëvendësohet me një palë kabllosh, njëri shkon në portin A të TAP-it, tjetri në portin B të TAP. TAP kalon të gjithë trafikun midis dy pikave të rrjetit, kështu që ato janë ende të lidhura me njëra-tjetrën. TAP gjithashtu kopjon trafikun në portin e tij të monitorit, duke i mundësuar kështu një pajisje analize për të dëgjuar.

TAP-et e rrjetit përdoren zakonisht nga pajisjet monitoruese dhe grumbulluese si APS. TAP-et mund të përdoren gjithashtu në aplikacione sigurie, sepse ato nuk janë penguese, nuk janë të dallueshme në rrjet, mund të merren me rrjete të dyfishta dhe jo të përbashkëta dhe zakonisht do të kalojnë nëpër trafik edhe nëse rubineti ndalon së punuari ose humbet energjinë. .

grumbullimi i trokitjes së rrjetit

Meqenëse portat e Rrjetit Taps nuk marrin, por vetëm transmetojnë, çelësi nuk ka asnjë të dhënë se kush është ulur pas portave. Pasoja është se ai transmeton paketat në të gjitha portet. Prandaj, nëse lidhni pajisjen tuaj monitoruese me çelësin, një pajisje e tillë do të marrë të gjitha paketat. Vini re se ky mekanizëm funksionon nëse pajisja e monitorimit nuk dërgon asnjë paketë në ndërprerës; përndryshe, ndërprerësi do të supozojë se paketat e përgjuara nuk janë për një pajisje të tillë. Për ta arritur këtë, mund të përdorni ose një kabllo rrjeti në të cilën nuk keni lidhur telat TX, ose të përdorni një ndërfaqe rrjeti pa IP (dhe pa DHCP) që nuk transmeton fare paketa. Në fund vini re se nëse dëshironi të përdorni një trokitje për të mos humbur paketat, atëherë ose mos i bashkoni drejtimet ose përdorni një ndërprerës ku drejtimet e përgjuara janë më të ngadalta (p.sh. 100 Mbit) se porta e bashkimit (p.sh. 1 Gbit).

përsëritja e trokitjes së rrjetit

Pra, Si të Kapni Trafikun e Rrjetit? Trokitjet e rrjetit vs Pasqyra e porteve të ndërrimit

1- Konfigurim i lehtë: Prekja e Rrjetit > Pasqyra e Portit

2- Ndikimi i performancës së rrjetit: Prekja e rrjetit < Port Mirror

3- Kapja, përsëritja, grumbullimi, aftësia përcjellëse: Prekja e rrjetit > Pasqyra e portit

4- Vonesa e përcjelljes së trafikut: Prekja e rrjetit < Pasqyra e portit

5- Kapaciteti i parapërpunimit të trafikut: Prekja e rrjetit > Pasqyra e portit

trokitje e rrjetit vs pasqyrë e porteve


Koha e postimit: Mar-30-2022