Желілік трафикті талдау үшін желілік пакетті NTOP/NPROBE немесе Out-of-band Network Security and Monitoring Tools қызметіне жіберу қажет. Бұл мәселенің екі шешімі бар:
Портты айнаға айналдыру(SPAN деп те аталады)
Желілік шүмек(сонымен қатар репликациялық шүмек, агрегациялық шүмек, белсенді шүмек, мыс шүмек, Ethernet шүмегі және т.б. деп аталады)
Екі шешімнің (Port Mirror және Network Tap) арасындағы айырмашылықтарды түсіндірмес бұрын, Ethernet қалай жұмыс істейтінін түсіну маңызды. 100 Мбит және одан жоғары жылдамдықта хосттар әдетте толық дуплексте сөйлеседі, яғни бір хост бір уақытта жібере (Tx) және қабылдай (Rx) алады. Бұл бір хостқа қосылған 100 Мбит кабельде бір хост жібере/қабылдай алатын желілік трафиктің жалпы көлемі (Tx/Rx) 2 × 100 Мбит = 200 Мбит екенін білдіреді.
Портты көшіру - бұл пакетті көшірудің белсенді әдісі, яғни желілік құрылғы пакетті көшіруге физикалық түрде жауапты.
Бұл құрылғы бұл тапсырманы қандай да бір ресурсты (мысалы, CPU) пайдалану арқылы орындауы керек дегенді білдіреді және екі трафик бағыты да бір портқа көшіріледі. Бұрын айтылғандай, Толық дуплексті байланыста бұл ... дегенді білдіреді.
A - > B және B -> A
Пакет жоғалуы орын алғанға дейін А қосындысы желі жылдамдығынан аспайды. Себебі, пакеттерді көшіруге физикалық орын жоқ. Портты айналау керемет әдіс болып табылады, себебі оны көптеген коммутаторлар (бірақ барлығы емес) орындай алады, себебі коммутаторлардың көпшілігінде пакет жоғалу кемшілігі бар, егер сіз 50%-дан астам жүктемесі бар байланысты бақыласаңыз немесе порттарды жылдамырақ портқа айналасаңыз (мысалы, 100 Мбит порттарын 1 Гбит портына айналасаңыз). Пакетті айналау коммутатор ресурстарын ауыстыруды қажет етуі мүмкін екенін айтпағанда, бұл құрылғыны жүктеп, алмасу өнімділігінің төмендеуіне әкелуі мүмкін. 1 портты бір портқа немесе 1 VLAN-ды бір портқа қосуға болатынын ескеріңіз, бірақ әдетте көптеген порттарды 1-ге көшіре алмайсыз. (Пакет айнасы болғандықтан) жоқ.
Желілік TAP (Терминалға кіру нүктесі)желідегі трафикті пассивті түрде түсіре алатын толығымен пассивті аппараттық құрылғы. Ол әдетте желідегі екі нүкте арасындағы трафикті бақылау үшін қолданылады. Егер осы екі нүкте арасындағы желі физикалық кабельден тұрса, желілік TAP трафикті түсірудің ең жақсы тәсілі болуы мүмкін.
TAP желісінің кемінде үш порты бар: А порты, В порты және монитор порты. А және В нүктелерінің арасына кран орнату үшін А және В нүктелері арасындағы желілік кабель жұп кабельмен ауыстырылады, біреуі TAP-тың А портына, екіншісі TAP-тың В портына барады. TAP екі желілік нүкте арасындағы барлық трафикті өткізеді, сондықтан олар әлі де бір-біріне қосылған. TAP сонымен қатар трафикті өзінің монитор портына көшіреді, осылайша талдау құрылғысының тыңдауына мүмкіндік береді.
Желілік TAP-тар APS сияқты бақылау және жинау құрылғыларымен жиі қолданылады. TAP-тар қауіпсіздік қолданбаларында да қолданылуы мүмкін, себебі олар байқалмайды, желіде анықталмайды, толық дуплексті және ортақ пайдаланылмайтын желілермен жұмыс істей алады және әдетте кран жұмысын тоқтатса немесе қуаты үзілсе де, трафикті өткізеді.
Network Taps порттары қабылдамайтын, тек жіберетіндіктен, коммутатор порттардың артында кім тұрғанын білмейді. Нәтижесінде ол пакеттерді барлық порттарға таратады. Сондықтан, егер сіз бақылау құрылғыңызды коммутаторға қоссаңыз, мұндай құрылғы барлық пакеттерді қабылдайды. Бұл механизм бақылау құрылғысы коммутаторға ешқандай пакет жібермесе жұмыс істейтінін ескеріңіз; әйтпесе, коммутатор түртілген пакеттер мұндай құрылғыға арналмаған деп есептейді. Мұны істеу үшін сіз TX сымдарын қоспаған желілік кабельді немесе пакеттерді мүлдем жібермейтін IP-сіз (және DHCP-сіз) желілік интерфейсті пайдалана аласыз. Соңында, егер сіз пакеттерді жоғалтпау үшін түртуді пайдаланғыңыз келсе, онда бағыттарды біріктірмеңіз немесе түртілген бағыттары біріктіру портына қарағанда баяуырақ (мысалы, 100 Мбит) коммутаторды пайдаланыңыз (мысалы, 1 Гбит).
Сонымен, желілік трафикті қалай алуға болады? Желілік тінтуірлер және коммутатор порттарының айнасы
1- Оңай конфигурациялау: Желілік түрту > Порт айнасы
2- Желі өнімділігіне әсері: Желілік түрту < Порт айнасы
3- Түсіру, репликациялау, агрегациялау, бағыттау мүмкіндігі: Желілік түрту > Порт айнасы
4- Трафикті бағыттаудың кідірісі: Желілік Tap < Port Mirror
5- Трафикті алдын ала өңдеу сыйымдылығы: Желілік түрту > Порт айнасы
Жарияланған уақыты: 2022 жылғы 30 наурыз
