Để phân tích lưu lượng mạng, cần gửi gói mạng tới NTOP/NPROBE hoặc Công cụ giám sát và bảo mật mạng ngoài băng tần. Có hai giải pháp cho vấn đề này:
Phản chiếu cổng(còn được gọi là SPAN)
Nhấn vào mạng(còn được gọi là Nhấn sao chép, Nhấn tổng hợp, Nhấn hoạt động, Nhấn đồng, Nhấn Ethernet, v.v.)
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở tốc độ 100Mbit trở lên, các máy chủ thường nói ở chế độ song công hoàn toàn, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) đồng thời. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là hoạt động sao chép gói tích cực, có nghĩa là thiết bị mạng chịu trách nhiệm vật lý trong việc sao chép gói vào cổng được phản chiếu.
Điều này có nghĩa là thiết bị phải thực hiện tác vụ này bằng cách sử dụng một số tài nguyên (chẳng hạn như CPU) và cả hai hướng lưu lượng sẽ được sao chép sang cùng một cổng. Như đã đề cập trước đó, trong liên kết song công hoàn toàn, điều này có nghĩa là
A -> B và B -> A
Tổng của A sẽ không vượt quá tốc độ mạng trước khi xảy ra hiện tượng mất gói. Điều này là do về mặt vật lý không có không gian để sao chép các gói. Hóa ra, phản chiếu cổng là một kỹ thuật tuyệt vời vì nó có thể được thực hiện bởi nhiều bộ chuyển mạch (nhưng không phải tất cả), bởi vì hầu hết các bộ chuyển mạch đều có nhược điểm là mất gói, nếu bạn giám sát một liên kết có tải trên 50% hoặc phản chiếu chuyển sang cổng nhanh hơn (ví dụ: phản chiếu các cổng 100 Mbit lên cổng 1 Gbit). Chưa kể rằng việc sao chép gói có thể yêu cầu trao đổi tài nguyên của bộ chuyển mạch, điều này có thể tải thiết bị và khiến hiệu suất trao đổi bị suy giảm. Lưu ý rằng bạn có thể kết nối 1 cổng với một cổng hoặc 1 Vlan với một cổng, nhưng nhìn chung bạn không thể sao chép nhiều cổng sang 1. (Vì vậy, bản sao gói) bị thiếu.
TAP mạng (Điểm truy cập đầu cuối)là một thiết bị phần cứng hoàn toàn thụ động, có thể nắm bắt lưu lượng truy cập trên mạng một cách thụ động. Nó thường được sử dụng để giám sát lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm cáp vật lý thì TAP mạng có thể là cách tốt nhất để nắm bắt lưu lượng.
TAP mạng có ít nhất ba cổng: cổng A, cổng B và cổng màn hình. Để đặt một tap giữa điểm A và B, cáp mạng giữa điểm A và điểm B được thay thế bằng một cặp cáp, một đi đến cổng A của TAP, một đi đến cổng B của TAP. TAP chuyển tất cả lưu lượng giữa hai điểm mạng để chúng vẫn được kết nối với nhau. TAP cũng sao chép lưu lượng truy cập vào cổng màn hình của nó, do đó cho phép thiết bị phân tích lắng nghe.
TAP mạng thường được sử dụng bởi các thiết bị giám sát và thu thập như APS. TAP cũng có thể được sử dụng trong các ứng dụng bảo mật vì chúng không gây khó chịu, không thể phát hiện được trên mạng, có thể xử lý các mạng song công hoàn toàn và không chia sẻ, đồng thời thường sẽ truyền lưu lượng truy cập ngay cả khi vòi ngừng hoạt động hoặc mất điện. .
Vì các cổng Network Taps không nhận mà chỉ truyền nên switch không biết ai đang ngồi đằng sau các cổng. Hậu quả là nó phát các gói tin tới tất cả các cổng. Do đó, nếu bạn kết nối thiết bị giám sát của mình với switch, thiết bị đó sẽ nhận được tất cả các gói tin. Lưu ý rằng cơ chế này hoạt động nếu thiết bị giám sát không gửi bất kỳ gói nào đến switch; nếu không, bộ chuyển mạch sẽ cho rằng các gói được khai thác không dành cho thiết bị đó. Để đạt được điều đó, bạn có thể sử dụng cáp mạng mà bạn chưa kết nối dây TX hoặc sử dụng giao diện mạng không có IP (và không có DHCP) hoàn toàn không truyền gói. Cuối cùng, hãy lưu ý rằng nếu bạn muốn sử dụng thao tác nhấn để không làm mất gói thì không hợp nhất chỉ đường hoặc sử dụng công tắc có chỉ dẫn được nhấn chậm hơn (ví dụ: 100 Mbit) so với cổng hợp nhất (ví dụ: 1 Gbit).
Vì vậy, làm thế nào để nắm bắt lưu lượng truy cập mạng? Vòi mạng và gương chuyển đổi cổng
1- Cấu hình dễ dàng: Network Tap > Port Mirror
2- Ảnh hưởng đến hiệu suất mạng: Network Tap < Port Mirror
3- Khả năng chụp, sao chép, tổng hợp, chuyển tiếp: Network Tap > Port Mirror
4- Độ trễ chuyển tiếp lưu lượng: Network Tap < Port Mirror
5- Khả năng xử lý trước lưu lượng truy cập: Network Tap > Port Mirror
Thời gian đăng: 30-03-2022