Ցանցային երթևեկությունը վերլուծելու համար անհրաժեշտ է ցանցային փաթեթն ուղարկել NTOP/NPROBE կամ Out-of-band Network Security and Monitoring Tools: Այս խնդրի համար կան երկու լուծում.
Պորտի հայելային արտացոլում(հայտնի է նաև որպես SPAN)
Ցանցի հպում(հայտնի է նաև որպես Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap և այլն)
Մինչև երկու լուծումների (Port Mirror և Network Tap) միջև եղած տարբերությունները բացատրելը, կարևոր է հասկանալ, թե ինչպես է աշխատում Ethernet-ը: 100 Մբիթ և ավելի արագությամբ հոսթերը սովորաբար աշխատում են լիարժեք դուպլեքսով, ինչը նշանակում է, որ մեկ հոսթը կարող է միաժամանակ ուղարկել (Tx) և ստանալ (Rx): Սա նշանակում է, որ մեկ հոսթին միացված 100 Մբիթ մալուխի վրա մեկ հոսթի կողմից ուղարկվող/ստացող (Tx/Rx)) ցանցային երթևեկության ընդհանուր քանակը կազմում է 2 × 100 Մբիթ = 200 Մբիթ:
Պորտի հայելայինացումը ակտիվ փաթեթների կրկնօրինակում է, ինչը նշանակում է, որ ցանցային սարքը ֆիզիկապես պատասխանատու է փաթեթը հայելային միացք պատճենելու համար։
Սա նշանակում է, որ սարքը պետք է կատարի այս առաջադրանքը՝ օգտագործելով որոշակի ռեսուրս (օրինակ՝ CPU), և երկու երթևեկության ուղղությունները կկրկնապատկվեն նույն պորտին։ Ինչպես նշվեց ավելի վաղ, լրիվ դուպլեքս կապի դեպքում սա նշանակում է, որ
Ա - > Բ և Բ -> Ա
A-ի գումարը չի գերազանցի ցանցի արագությունը մինչև փաթեթների կորուստը։ Դա պայմանավորված է նրանով, որ ֆիզիկապես տեղ չկա փաթեթները պատճենելու համար։ Պարզվում է, որ միացքների հայելայինացումը հիանալի տեխնիկա է, քանի որ այն կարող է իրականացվել բազմաթիվ կոմուտատորների կողմից (բայց ոչ բոլորի), քանի որ կոմուտատորների մեծ մասն ունի փաթեթների կորստի թերություն, եթե դուք վերահսկում եք կապը 50%-ից ավելի ծանրաբեռնվածությամբ, կամ հայելայինացնում եք միացքները ավելի արագ միացքի վրա (օրինակ՝ հայելայինացնում եք 100 Մբիթ միացքները 1 Գբիթ միացքի վրա)։ Անգամ չեմ խոսում այն մասին, որ փաթեթների հայելայինացումը կարող է պահանջել կոմուտատորների ռեսուրսների փոխանակում, ինչը կարող է ծանրաբեռնել սարքը և հանգեցնել փոխանակման աշխատանքի վատթարացման։ Նկատի ունեցեք, որ դուք կարող եք միացնել 1 միացք մեկ միացքին կամ 1 VLAN մեկ միացքին, բայց սովորաբար չեք կարող պատճենել բազմաթիվ միացքներ մեկին։ (Այսպես, քանի որ փաթեթների հայելայինացումը) բացակայում է։
Ցանցային TAP (տերմինալի մուտքի կետ)լիովին պասիվ ապարատային սարք է, որը կարող է պասիվ կերպով գրանցել ցանցում երթևեկությունը: Այն սովորաբար օգտագործվում է ցանցի երկու կետերի միջև երթևեկությունը վերահսկելու համար: Եթե այս երկու կետերի միջև ցանցը բաղկացած է ֆիզիկական մալուխից, ցանցային TAP-ը կարող է լինել երթևեկությունը գրանցելու լավագույն միջոցը:
Ցանցային TAP-ն ունի առնվազն երեք միացք՝ A միացք, B միացք և մոնիթորինգի միացք։ A և B կետերի միջև միացք տեղադրելու համար A և B կետերի միջև ցանցային մալուխը փոխարինվում է մալուխների զույգով, որոնցից մեկը տանում է TAP-ի A միացք, իսկ մյուսը՝ TAP-ի B միացք։ TAP-ը ամբողջ երթևեկությունը փոխանցում է երկու ցանցային կետերի միջև, այնպես որ դրանք դեռևս միացված են միմյանց։ TAP-ը նաև պատճենում է երթևեկությունը իր մոնիթորինգի միացք, այդպիսով հնարավորություն տալով վերլուծական սարքին լսել ազդանշանները։
Ցանցային TAP-ները լայնորեն օգտագործվում են մոնիթորինգի և հավաքման սարքերի կողմից, ինչպիսիք են APS-ը: TAP-ները կարող են օգտագործվել նաև անվտանգության ծրագրերում, քանի որ դրանք չեն խանգարում, չեն հայտնաբերվում ցանցում, կարող են աշխատել լիարժեք դուպլեքս և ոչ համատեղ օգտագործվող ցանցերի հետ և սովորաբար կանցկացնեն երթևեկությունը, նույնիսկ եթե tap-ը դադարում է աշխատել կամ անջատվում է էլեկտրաէներգիան:
Քանի որ ցանցային միացումների միացքները չեն ընդունում, այլ միայն փոխանցում են, կոմուտատորը պատկերացում չունի, թե ով է գտնվում միացքների հետևում: Հետևանքն այն է, որ այն փաթեթները հեռարձակում է բոլոր միացքներին: Հետևաբար, եթե դուք միացնում եք ձեր մոնիտորինգի սարքը կոմուտատորին, այդ սարքը կստանա բոլոր փաթեթները: Նկատի ունեցեք, որ այս մեխանիզմը գործում է, եթե մոնիտորինգի սարքը որևէ փաթեթ չի ուղարկում կոմուտատորին. հակառակ դեպքում կոմուտատորը կենթադրի, որ միացված փաթեթները այդ սարքի համար չեն: Դա իրականացնելու համար կարող եք կամ օգտագործել ցանցային մալուխ, որի վրա չեք միացրել փոխանցման լարերը, կամ օգտագործել IP-ազատ (և DHCP-ազատ) ցանցային ինտերֆեյս, որը ընդհանրապես չի փոխանցում փաթեթներ: Վերջապես, նկատի ունեցեք, որ եթե ցանկանում եք օգտագործել միացում՝ փաթեթներ չկորցնելու համար, ապա կամ մի միացրեք ուղղությունները, կամ օգտագործեք միացում, որտեղ միացված ուղղությունները ավելի դանդաղ են (օրինակ՝ 100 Մբիթ), քան միացման միացքը (օրինակ՝ 1 Գբիթ):
Այսպիսով, ինչպե՞ս գրավել ցանցային երթևեկությունը։ Network Taps vs Switch Ports Mirror
1- Հեշտ կարգավորում. Ցանցի հպում > Միացքի հայելային պատկեր
2- Ցանցի արդյունավետության ազդեցությունը. Ցանցի հպում < Պորտի հայելային պատկեր
3- Տվյալների հավաքագրում, վերարտադրում, ագրեգացիա, վերահասցեավորում. Ցանցի հպում > Պորտի հայելային պատկեր
4- Երթևեկության վերահասցեավորման ուշացում. Ցանցի հպում < Պորտի հայելային պատկեր
5- Երթևեկության նախնական մշակման հզորություն. Ցանցի հպում > Պորտի հայելային պատկեր
Հրապարակման ժամանակը. Մարտի 30-2022
