Để phân tích lưu lượng mạng, cần gửi gói tin mạng đến NTOP/NPROBE hoặc Công cụ Giám sát và Bảo mật Mạng Ngoài băng tần. Có hai giải pháp cho vấn đề này:
Phản chiếu cổng(còn được gọi là SPAN)
Mạng Tap(còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở tốc độ 100 Mbit trở lên, các máy chủ thường giao tiếp ở chế độ song công hoàn toàn, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) cùng lúc. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là quá trình sao chép gói tin chủ động, nghĩa là thiết bị mạng có trách nhiệm vật lý trong việc sao chép gói tin vào cổng được phản chiếu.
Điều này có nghĩa là thiết bị phải thực hiện tác vụ này bằng cách sử dụng một số tài nguyên (chẳng hạn như CPU), và cả hai hướng lưu lượng sẽ được sao chép đến cùng một cổng. Như đã đề cập trước đó, trong Liên kết song công toàn phần, điều này có nghĩa là
A -> B và B -> A
Tổng A sẽ không vượt quá tốc độ mạng trước khi xảy ra mất gói tin. Điều này là do không có không gian vật lý để sao chép các gói tin. Hóa ra phản chiếu cổng là một kỹ thuật tuyệt vời vì nó có thể được thực hiện bởi nhiều bộ chuyển mạch (nhưng không phải tất cả), vì hầu hết các bộ chuyển mạch có nhược điểm là mất gói tin, nếu bạn giám sát một liên kết có tải trên 50% hoặc phản chiếu các cổng sang một cổng nhanh hơn (ví dụ: phản chiếu các cổng 100 Mbit sang cổng 1 Gbit). Chưa kể đến việc phản chiếu gói tin có thể yêu cầu trao đổi tài nguyên của bộ chuyển mạch, điều này có thể tải thiết bị và làm giảm hiệu suất trao đổi. Lưu ý rằng bạn có thể kết nối 1 cổng với một cổng hoặc 1 VLAN với một cổng, nhưng nhìn chung bạn không thể sao chép nhiều cổng vào 1. (Vì vậy, phản chiếu gói tin) bị thiếu.
Một TAP mạng (Điểm truy cập đầu cuối)là một thiết bị phần cứng hoàn toàn thụ động, có thể thu thập lưu lượng mạng một cách thụ động. Thiết bị này thường được sử dụng để giám sát lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này được kết nối bằng cáp vật lý, TAP mạng có thể là giải pháp tốt nhất để thu thập lưu lượng.
TAP mạng có ít nhất ba cổng: cổng A, cổng B và cổng giám sát. Để đặt một tap giữa điểm A và B, cáp mạng giữa điểm A và điểm B được thay thế bằng một cặp cáp, một cáp nối đến cổng A của TAP, cáp còn lại nối đến cổng B của TAP. TAP truyền toàn bộ lưu lượng giữa hai điểm mạng, do đó chúng vẫn được kết nối với nhau. TAP cũng sao chép lưu lượng sang cổng giám sát của nó, do đó cho phép thiết bị phân tích lắng nghe.
TAP mạng thường được sử dụng bởi các thiết bị giám sát và thu thập dữ liệu như APS. TAP cũng có thể được sử dụng trong các ứng dụng bảo mật vì chúng không gây cản trở, không bị phát hiện trên mạng, có thể xử lý mạng song công và không chia sẻ, và thường cho phép lưu lượng truy cập đi qua ngay cả khi thiết bị ngừng hoạt động hoặc mất điện.
Vì các cổng Network Taps không nhận mà chỉ truyền, nên bộ chuyển mạch không biết ai đang ngồi sau các cổng. Hậu quả là nó phát các gói tin đến tất cả các cổng. Do đó, nếu bạn kết nối thiết bị giám sát của mình với bộ chuyển mạch, thiết bị đó sẽ nhận được tất cả các gói tin. Lưu ý rằng cơ chế này hoạt động nếu thiết bị giám sát không gửi bất kỳ gói tin nào đến bộ chuyển mạch; nếu không, bộ chuyển mạch sẽ cho rằng các gói tin được khai thác không dành cho thiết bị đó. Để đạt được điều đó, bạn có thể sử dụng cáp mạng mà bạn chưa kết nối dây TX hoặc sử dụng giao diện mạng không có IP (và không có DHCP) không truyền gói tin nào cả. Cuối cùng, lưu ý rằng nếu bạn muốn sử dụng một bộ khai thác để không làm mất gói tin, thì không được hợp nhất các hướng hoặc sử dụng một bộ chuyển mạch có hướng được khai thác chậm hơn (ví dụ: 100 Mbit) so với cổng hợp nhất (ví dụ: 1 Gbit).
Vậy, làm thế nào để nắm bắt lưu lượng mạng? Network Taps so với Switch Ports Mirror
1- Cấu hình dễ dàng: Network Tap > Port Mirror
2- Ảnh hưởng đến hiệu suất mạng: Network Tap < Port Mirror
3- Khả năng thu thập, sao chép, tổng hợp, chuyển tiếp: Chạm vào mạng > Phản chiếu cổng
4- Độ trễ chuyển tiếp lưu lượng: Network Tap < Port Mirror
5- Khả năng xử lý lưu lượng: Network Tap > Port Mirror
Thời gian đăng: 30-03-2022
