Để phân tích lưu lượng mạng, cần phải gửi gói tin mạng đến NTOP/NPROBE hoặc Out-of-band Network Security and Monitoring Tools. Có hai giải pháp cho vấn đề này:
Phản chiếu cổng(còn được gọi là SPAN)
Mạng lưới vòi(còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách Ethernet hoạt động. Ở 100Mbit trở lên, các máy chủ thường nói ở chế độ full duplex, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) cùng lúc. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng lượng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là quá trình sao chép gói tin chủ động, nghĩa là thiết bị mạng có trách nhiệm vật lý trong việc sao chép gói tin vào cổng được phản chiếu.
Điều này có nghĩa là thiết bị phải thực hiện nhiệm vụ này bằng cách sử dụng một số tài nguyên (chẳng hạn như CPU) và cả hai hướng lưu lượng sẽ được sao chép vào cùng một cổng. Như đã đề cập trước đó, trong Liên kết song công toàn phần, điều này có nghĩa là
A -> B và B -> A
Tổng A sẽ không vượt quá tốc độ mạng trước khi xảy ra mất gói tin. Điều này là do không có không gian vật lý để sao chép các gói tin. Hóa ra phản chiếu cổng là một kỹ thuật tuyệt vời vì nó có thể được thực hiện bởi nhiều bộ chuyển mạch (nhưng không phải tất cả), vì hầu hết các bộ chuyển mạch có nhược điểm là mất gói tin, nếu bạn giám sát một liên kết có tải trên 50% hoặc phản chiếu các cổng vào một cổng nhanh hơn (ví dụ: phản chiếu các cổng 100 Mbit vào một cổng 1 Gbit). Chưa kể đến việc phản chiếu gói tin có thể yêu cầu trao đổi tài nguyên bộ chuyển mạch, điều này có thể tải thiết bị và khiến hiệu suất trao đổi giảm xuống. Lưu ý rằng bạn có thể kết nối 1 cổng với một cổng hoặc 1 VLAN với một cổng, nhưng nhìn chung bạn không thể sao chép nhiều cổng vào 1. (Vì vậy, phản chiếu gói tin) bị thiếu.
Một TAP mạng (Điểm truy cập thiết bị đầu cuối)là một thiết bị phần cứng hoàn toàn thụ động, có thể thụ động nắm bắt lưu lượng trên mạng. Nó thường được sử dụng để giám sát lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm cáp vật lý, TAP mạng có thể là cách tốt nhất để nắm bắt lưu lượng.
TAP mạng có ít nhất ba cổng: một cổng A, một cổng B và một cổng giám sát. Để đặt một tap giữa các điểm A và B, cáp mạng giữa điểm A và điểm B được thay thế bằng một cặp cáp, một cáp đi đến cổng A của TAP, cáp còn lại đi đến cổng B của TAP. TAP truyền tất cả lưu lượng giữa hai điểm mạng, do đó chúng vẫn được kết nối với nhau. TAP cũng sao chép lưu lượng vào cổng giám sát của nó, do đó cho phép thiết bị phân tích lắng nghe.
TAP mạng thường được sử dụng bởi các thiết bị giám sát và thu thập như APS. TAP cũng có thể được sử dụng trong các ứng dụng bảo mật vì chúng không gây cản trở, không thể phát hiện trên mạng, có thể xử lý các mạng song công và không chia sẻ, và thường sẽ truyền lưu lượng ngay cả khi tap ngừng hoạt động hoặc mất điện.
Vì các cổng Network Taps không nhận mà chỉ truyền, nên switch không biết ai đang ngồi sau các cổng. Hậu quả là nó phát các gói tin đến tất cả các cổng. Do đó, nếu bạn kết nối thiết bị giám sát của mình với switch, thiết bị đó sẽ nhận được tất cả các gói tin. Lưu ý rằng cơ chế này hoạt động nếu thiết bị giám sát không gửi bất kỳ gói tin nào đến switch; nếu không, switch sẽ cho rằng các gói tin được khai thác không dành cho thiết bị đó. Để đạt được điều đó, bạn có thể sử dụng cáp mạng mà bạn chưa kết nối dây TX hoặc sử dụng giao diện mạng không có IP (và không có DHCP) không truyền các gói tin. Cuối cùng, lưu ý rằng nếu bạn muốn sử dụng tap để không mất các gói tin, thì không được hợp nhất các hướng hoặc sử dụng switch mà các hướng được khai thác chậm hơn (ví dụ: 100 Mbit) so với cổng hợp nhất (ví dụ: 1 Gbit).
Vậy, Làm thế nào để nắm bắt lưu lượng mạng? Network Taps so với Switch Ports Mirror
1- Cấu hình dễ dàng: Network Tap > Port Mirror
2- Ảnh hưởng đến hiệu suất mạng: Network Tap < Port Mirror
3- Khả năng chụp, sao chép, tổng hợp, chuyển tiếp: Network Tap > Port Mirror
4- Độ trễ chuyển tiếp lưu lượng: Network Tap < Port Mirror
5- Khả năng xử lý trước lưu lượng: Network Tap > Port Mirror
Thời gian đăng: 30-03-2022
