Чтобы проанализировать сетевой трафик, необходимо отправить сетевой пакет на NTOP/NPROBE или инструменты безопасности сетевой сети и мониторинга. Есть два решения этой проблемы:
Порт зеркалирование(также известен как SPAN)
Сетевой кран(Также известный как Tap Replication, Tap Aggregation, Active Tap, Copper Tap, Tap Ethernet и т. Д.)
Прежде чем объяснить различия между двумя решениями (портовое зеркало и сетевой Tap), важно понять, как работает Ethernet. При 100 Мбит и выше хосты обычно говорят в полном дуплексе, что означает, что один хост может отправлять (TX) и получать (RX) одновременно. Это означает, что по кабелю 100 Мбит, подключенному к одному хосту, общая сумма сетевого трафика, который один хост может отправлять/получить (TX/RX)) составляет 2 × 100 MBIT = 200 MBIT.
Зеркалирование порта является активной репликацией пакета, что означает, что сетевое устройство физически отвечает за копирование пакета в зеркальный порт.
Это означает, что устройство должно выполнить эту задачу с помощью некоторого ресурса (например, процессора), и оба направления трафика будут воспроизведены в одном и том же порту. Как упоминалось ранее, в полной дуплексной ссылке это означает, что
A -> b и b -> a
Сумма A не будет превышать скорость сети до того, как произойдет потеря пакета. Это потому, что физически нет места для копирования пакетов. Оказывается, что зеркалирование порта является отличной техникой, так как оно может быть выполнено многими переключателями (но не всеми), потому что большинство коммутаторов с недостатком потери пакета, если вы следят за ссылкой с более чем 50% нагрузкой или отражают порты на более быстрый порт (эг зеркало 100 Мбит на порте 1 Гбит). Не говоря уже о том, что зеркалирование пакетов может потребовать обмена ресурсами переключателей, которые могут загрузить устройство и привести к деградации. Обратите внимание, что вы можете подключить 1 порт к одному порту, или 1 VLAN к одному порту, но, как правило, вы не можете скопировать много портов до 1 (так что в качестве зеркала пакета) отсутствует.
Сеть Tap (точка доступа к терминалу)это полностью пассивное аппаратное устройство, которое может пассивно захватывать трафик в сети. Он обычно используется для мониторинга трафика между двумя точками в сети. Если сеть между этими двумя точками состоит из физического кабеля, сеть может быть лучшим способом захвата трафика.
В сети TAP имеет не менее трех портов: порт A, порт B и порт монитора. Чтобы разместить нажатие между точками A и B, сетевой кабель между точкой A и точкой B заменяется парой кабелей, один идущий к Tap The Port, другой, который идет к порту B Tap. Кран передает весь трафик между двумя сетевыми точками, поэтому они все еще подключены друг к другу. TAP также копирует трафик в свой порт монитора, что позволяет аналитическому устройству прослушать.
Сетевые краны обычно используются с помощью устройств мониторинга и сбора, таких как APS. TAPS также может использоваться в приложениях безопасности, поскольку они не связаны, не обнаруживаются в сети, могут иметь дело с полнодуплексными и не обстоявными сетями и обычно пропускают трафик, даже если TAP прекращает работать или теряет питание.
Поскольку порты сетевых кранов не получают, а только передают, переключатель не имеет ни малейшего понятия, кто сидит за портами. Следствием этого является то, что он транслирует пакеты во все порты. Поэтому, если вы подключите устройство мониторинга к коммутатору, такое устройство будет получать все пакеты. Обратите внимание, что этот механизм работает, если устройство мониторинга не отправляет пакет на коммутатор; В противном случае, переключатель предполагает, что нажатые пакеты не для такого устройства. Чтобы достичь этого, вы можете либо использовать сетевой кабель, по которому вы не подключили провода TX, либо использовать сетевой интерфейс без IP-без IP (и DHCP), который вообще не передает пакеты. Наконец -то обратите внимание, что если вы хотите использовать нажатие для не теряния пакетов, то либо не объединяйте направления, либо используйте переключатель, где указания на стулания медленнее (например, 100 MBIT), что порт слияния (например, 1 Гбит).
Итак, как захватить сетевой трафик? Сетевые краны против переключателей зеркало зеркало
1- Легкая конфигурация: сеть нажимает> зеркало порта
2- Влияние на производительность сети: сетевая нажатие <портовое зеркало
3- захват, репликация, агрегация, способность пересылки: сеть нажимает> зеркало порта
4- Задержка пересылки трафика: сеть нажимает <портовое зеркало
5. Процедура предварительной обработки трафика: сеть нажимает> портовое зеркало
Время сообщения: марта-30-2022
