Norint išanalizuoti tinklo srautą, reikia nusiųsti tinklo paketą į NTOP/NPROBE arba „Out-of-band Network Security and Monitoring Tools“. Yra du šios problemos sprendimai:
Uosto veidrodinis atvaizdavimas(taip pat žinomas kaip SPAN)
Tinklo bakstelėjimas(taip pat žinomas kaip replikacijos atšaka, agregacijos atšaka, aktyvioji atšaka, vario atšaka, eterneto atšaka ir kt.)
Prieš paaiškinant dviejų sprendimų (prievado veidrodžio ir tinklo prijungimo) skirtumus, svarbu suprasti, kaip veikia Ethernet. Esant 100 Mbit ir didesnei spartai, pagrindiniai kompiuteriai paprastai bendrauja dvipusiu režimu, o tai reiškia, kad vienas pagrindinis kompiuteris gali siųsti (Tx) ir priimti (Rx) vienu metu. Tai reiškia, kad 100 Mbit kabeliu, prijungtu prie vieno pagrindinio kompiuterio, bendras tinklo srauto kiekis, kurį vienas pagrindinis kompiuteris gali siųsti/gauti (Tx/Rx), yra 2 × 100 Mbit = 200 Mbit.
Prievado veidrodinis atspindėjimas yra aktyvus paketų replikavimas, o tai reiškia, kad tinklo įrenginys yra fiziškai atsakingas už paketo kopijavimą į veidrodinį prievadą.
Tai reiškia, kad įrenginys turi atlikti šią užduotį naudodamas tam tikrus išteklius (pvz., CPU), ir abi srauto kryptys bus replikuotos į tą patį prievadą. Kaip minėta anksčiau, visiškai dvipusio ryšio atveju tai reiškia, kad
A -> B ir B -> A
A suma neviršys tinklo greičio prieš paketų praradimą. Taip yra todėl, kad fiziškai nėra vietos paketams kopijuoti. Pasirodo, prievadų veidrodinis atspindėjimas yra puiki technika, nes ją gali atlikti daugelis komutatorių (bet ne visi), nes dauguma komutatorių turi paketų praradimo trūkumą, jei stebite ryšį su didesne nei 50 % apkrova arba veidrodiniu atspindžiu perduodate prievadus į greitesnį prievadą (pvz., veidrodinis atspindys perduodamas 100 Mbit prievadams į 1 Gbit prievadą). Jau nekalbant apie tai, kad paketų veidrodiniam atspindžiui gali reikėti keistis komutatorių ištekliais, o tai gali apkrauti įrenginį ir pabloginti mainų našumą. Atminkite, kad galite prijungti 1 prievadą prie vieno prievado arba 1 VLAN prie vieno prievado, bet paprastai negalite kopijuoti daug prievadų į 1 (kadangi trūksta paketų veidrodžio).
Tinklo TAP (terminalo prieigos taškas)yra visiškai pasyvus aparatinės įrangos įrenginys, galintis pasyviai fiksuoti srautą tinkle. Jis dažniausiai naudojamas srautui tarp dviejų tinklo taškų stebėti. Jei tinklą tarp šių dviejų taškų sudaro fizinis kabelis, tinklo TAP gali būti geriausias būdas fiksuoti srautą.
Tinklo TAP turi bent tris prievadus: A prievadą, B prievadą ir monitoriaus prievadą. Norint įrengti atšaką tarp taškų A ir B, tinklo kabelis tarp taškų A ir B pakeičiamas kabelių pora, vienas jungiamas prie TAP A prievado, o kitas – prie TAP B prievado. TAP perduoda visą srautą tarp dviejų tinklo taškų, todėl jie vis dar yra sujungti vienas su kitu. TAP taip pat kopijuoja srautą į savo monitoriaus prievadą, taip suteikdamas galimybę analizės įrenginiui klausytis.
Tinklo TAP dažniausiai naudojami stebėjimo ir duomenų rinkimo įrenginiuose, tokiuose kaip APS. TAP taip pat gali būti naudojami saugumo programose, nes jie nėra trukdantys, neaptinkami tinkle, gali dirbti su pilno dvipusio ryšio ir nebendrais tinklais ir paprastai praleidžia srautą, net jei čiaupas nustoja veikti arba nutrūksta maitinimas.
Kadangi „Network Taps“ prievadai ne priima, o tik siunčia duomenis, komutatorius nežino, kas sėdi už prievadų. Dėl to jis transliuoja paketus į visus prievadus. Todėl, jei prie komutatoriaus prijungsite stebėjimo įrenginį, toks įrenginys gaus visus paketus. Atminkite, kad šis mechanizmas veikia, jei stebėjimo įrenginys nesiunčia jokių paketų į komutatorių; priešingu atveju komutatorius manys, kad paimti paketai nėra skirti tokiam įrenginiui. Norėdami tai pasiekti, galite naudoti tinklo kabelį, prie kurio neprijungėte TX laidų, arba naudoti tinklo sąsają be IP (ir DHCP), kuri visai neperduoda paketų. Galiausiai atkreipkite dėmesį, kad jei norite naudoti prievadą, kad neprarastumėte paketų, tuomet nejunkite krypčių arba naudokite komutatorių, kuriame paimtos kryptys yra lėtesnės (pvz., 100 Mbit) nei sujungimo prievadas (pvz., 1 Gbit).
Taigi, kaip užfiksuoti tinklo srautą? Tinklo perjungimai ir komutatoriaus prievadų veidrodinis perdavimas
1. Paprastas konfigūravimas: palieskite „Tinklas“ > „Prievado veidrodis“
2. Tinklo našumo įtaka: Tinklo prijungimas < Prievado veidrodinis atvaizdavimas
3. Duomenų fiksavimas, replikavimas, agregavimas, persiuntimas: palieskite „Network“ > „Port Mirror“
4. Eismo persiuntimo delsa: Tinklo bakstelėjimas < Prievado veidrodinis atspindys
5. Eismo išankstinio apdorojimo pajėgumas: palieskite „Tinklas“ > „Port Mirror“
Įrašo laikas: 2022 m. kovo 30 d.
