Da bi se analizirao mrežni promet, potrebno je poslati mrežni paket na NTOP/NPROBE ili Out-of-band Network Security and Monitoring Tools. Postoje dva rješenja za ovaj problem:
Zrcaljenje portova(također poznat kao SPAN)
Mrežni dodir(također poznat kao replikacijski priključak, agregacijski priključak, aktivni priključak, bakreni priključak, Ethernet priključak itd.)
Prije nego što objasnimo razlike između dva rješenja (Port Mirror i Network Tap), važno je razumjeti kako Ethernet funkcionira. Pri brzinama od 100 Mbit i više, hostovi obično komuniciraju u punom dupleksu, što znači da jedan host može istovremeno slati (Tx) i primati (Rx). To znači da na kablu od 100 Mbit spojenom na jedan host, ukupna količina mrežnog prometa koju jedan host može slati/primati (Tx/Rx) iznosi 2 × 100 Mbit = 200 Mbit.
Zrcaljenje porta je aktivna replikacija paketa, što znači da je mrežni uređaj fizički odgovoran za kopiranje paketa na zrcaljeni port.
To znači da uređaj mora izvršiti ovaj zadatak koristeći neki resurs (kao što je CPU), a oba smjera prometa će se replicirati na isti port. Kao što je ranije spomenuto, u potpuno dupleksnoj vezi to znači da
A - > B i B -> A
Zbir A neće premašiti brzinu mreže prije nego što dođe do gubitka paketa. To je zato što fizički nema prostora za kopiranje paketa. Ispostavilo se da je zrcaljenje portova odlična tehnika jer je mogu izvoditi mnogi prekidači (ali ne svi), jer većina prekidača ima nedostatak gubitka paketa, ako pratite vezu s preko 50% opterećenja, ili zrcaljenje portova na brži port (npr. zrcaljenje 100 Mbit portova na 1 Gbit port). A da ne spominjemo da zrcaljenje paketa može zahtijevati razmjenu resursa prekidača, što može opteretiti uređaj i uzrokovati smanjenje performansi razmjene. Imajte na umu da možete povezati 1 port na jedan port ili 1 VLAN na jedan port, ali općenito ne možete kopirati više portova na 1. (Dakle, zrcaljenje paketa) nedostaje.
Mrežna TAP (Terminalna pristupna tačka)je potpuno pasivni hardverski uređaj koji može pasivno snimati promet na mreži. Obično se koristi za praćenje prometa između dvije tačke u mreži. Ako se mreža između ove dvije tačke sastoji od fizičkog kabla, mrežni TAP može biti najbolji način za snimanje prometa.
Mrežni TAP ima najmanje tri porta: A port, B port i port za monitor. Da bi se postavio odvojak između tačaka A i B, mrežni kabl između tačke A i tačke B zamjenjuje se s parom kablova, od kojih jedan ide na A port TAP-a, a drugi na B port TAP-a. TAP propušta sav promet između dvije mrežne tačke, tako da su i dalje međusobno povezane. TAP također kopira promet na svoj port za monitor, omogućavajući tako uređaju za analizu da sluša.
Mrežne TAP-ove obično koriste uređaji za nadzor i prikupljanje podataka poput APS-a. TAP-ovi se također mogu koristiti u sigurnosnim aplikacijama jer nisu nametljivi, ne mogu se otkriti na mreži, mogu raditi s full-duplex i nedijeljenim mrežama te obično propuštaju promet čak i ako tap prestane raditi ili ostane bez napajanja.
Budući da mrežni portovi za spajanje ne primaju već samo prenose, prekidač nema pojma ko sjedi iza portova. Posljedica je da emituje pakete na sve portove. Stoga, ako povežete svoj uređaj za nadzor na prekidač, takav uređaj će primati sve pakete. Imajte na umu da ovaj mehanizam funkcioniše ako uređaj za nadzor ne šalje nijedan paket na prekidač; u suprotnom, prekidač će pretpostaviti da primljeni paketi nisu za taj uređaj. Da biste to postigli, možete koristiti mrežni kabl na koji niste spojili TX žice ili koristiti mrežni interfejs bez IP-a (i DHCP-a) koji uopće ne prenosi pakete. Konačno, imajte na umu da ako želite koristiti spajanje kako ne biste gubili pakete, onda ili nemojte spajati smjerove ili koristite prekidač gdje su primljeni smjerovi sporiji (npr. 100 Mbit) od porta za spajanje (npr. 1 Gbit).
Dakle, kako uhvatiti mrežni promet? Mrežni priključci u odnosu na ogledalo portova preklopnika
1- Jednostavna konfiguracija: Mrežni priključak > Zrcalo porta
2- Utjecaj na performanse mreže: Mrežni priključak < Ogledalo porta
3- Mogućnost snimanja, replikacije, agregacije, prosljeđivanja: Mrežni priključak > Zrcalo porta
4- Latencija prosljeđivanja prometa: Mrežni priključak < Ogledalo porta
5- Kapacitet predobrade prometa: Mrežni priključak > Zrcalo porta
Vrijeme objave: 30. mart 2022.
