Để phân tích lưu lượng mạng, cần gửi gói mạng đến NTOP/NPROBE hoặc các công cụ giám sát và bảo mật mạng ngoài băng tần. Có hai giải pháp cho vấn đề này:
Phản chiếu cổng(còn được gọi là span)
Tap mạng.
Trước khi giải thích sự khác biệt giữa hai giải pháp (gương cổng và vòi mạng), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở mức 100mbit trở lên, các máy chủ thường nói bằng song công đầy đủ, có nghĩa là một máy chủ có thể gửi (TX) và nhận (RX) đồng thời. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng số lượng lưu lượng mạng mà một máy chủ có thể gửi/nhận (TX/RX)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là sao chép gói hoạt động, có nghĩa là thiết bị mạng chịu trách nhiệm về mặt vật lý để sao chép gói lên cổng được nhân đôi.
Điều này có nghĩa là thiết bị phải thực hiện tác vụ này bằng cách sử dụng một số tài nguyên (chẳng hạn như CPU) và cả hai hướng giao thông sẽ được sao chép thành cùng một cổng. Như đã đề cập trước đó, trong một liên kết song công đầy đủ, điều này có nghĩa là
A -> b và b -> a
Tổng của A sẽ không vượt quá tốc độ mạng trước khi mất gói. Điều này là do không có không gian để sao chép các gói. Nó chỉ ra rằng phản chiếu cổng là một kỹ thuật tuyệt vời vì nó có thể được thực hiện bởi nhiều công tắc (nhưng không phải tất cả), bởi vì hầu hết các công tắc với nhược điểm của việc mất gói, nếu bạn theo dõi liên kết với tải hơn 50% hoặc phản chiếu các cổng lên cổng nhanh hơn (ví dụ: phản chiếu cổng 100 mbit trên cổng 1 GBIT). Chưa kể rằng phản chiếu gói có thể yêu cầu trao đổi tài nguyên chuyển đổi, có thể tải thiết bị và khiến hiệu suất trao đổi xuống cấp. Lưu ý rằng bạn có thể kết nối 1 cổng với một cổng hoặc 1 Vlan với một cổng, nhưng bạn thường không thể sao chép nhiều cổng thành 1. (Vì vậy, khi gương gói) bị thiếu.
Một vòi mạng (điểm truy cập thiết bị đầu cuối)là một thiết bị phần cứng thụ động hoàn toàn, có thể thu thập lưu lượng truy cập một cách thụ động trên mạng. Nó thường được sử dụng để theo dõi lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm một cáp vật lý, thì một mạng có thể là cách tốt nhất để thu thập lưu lượng.
Tap mạng có ít nhất ba cổng: cổng A, cổng B và cổng màn hình. Để đặt một cú chạm giữa các điểm A và B, cáp mạng giữa điểm A và điểm B được thay thế bằng một cặp cáp, người ta sẽ đến cổng A của TAP, cái còn lại đến cổng B của Tap. Tap vượt qua tất cả lưu lượng giữa hai điểm mạng, vì vậy chúng vẫn được kết nối với nhau. TAP cũng sao chép lưu lượng lên cổng màn hình của nó, do đó cho phép một thiết bị phân tích nghe.
Vòi mạng thường được sử dụng bởi các thiết bị giám sát và thu thập như APS. TAPS cũng có thể được sử dụng trong các ứng dụng bảo mật vì chúng không gây khó chịu, không thể phát hiện được trên mạng, có thể xử lý các mạng toàn diện và không chia sẻ và thường sẽ truyền lưu lượng ngay cả khi TAP ngừng hoạt động hoặc mất điện.
Vì các cổng của mạng không nhận được mà chỉ truyền, công tắc không có manh mối nào đang ngồi sau các cổng. Hậu quả là nó phát các gói đến tất cả các cổng. Do đó, nếu bạn kết nối thiết bị giám sát của mình với công tắc, thiết bị đó sẽ nhận được tất cả các gói. Lưu ý rằng cơ chế này hoạt động nếu thiết bị giám sát không gửi bất kỳ gói nào đến công tắc; Mặt khác, công tắc sẽ cho rằng các gói khai thác không dành cho thiết bị như vậy. Để đạt được điều đó, bạn có thể sử dụng cáp mạng mà bạn chưa kết nối dây TX hoặc sử dụng giao diện mạng không có IP (và DHCP-fless) mà hoàn toàn không truyền các gói. Cuối cùng, lưu ý rằng nếu bạn muốn sử dụng một vòi để không thua các gói, thì không hợp nhất hướng dẫn hoặc sử dụng công tắc trong đó các hướng khai vị chậm hơn (ví dụ: 100 Mbit) rằng cổng hợp nhất (ví dụ 1 gbit).
Vì vậy, làm thế nào để nắm bắt lưu lượng mạng? Mạng Taps vs Gương Ports Gương
1- Cấu hình dễ dàng: Mạng Tap> Gương cổng
2- Ảnh hưởng hiệu suất mạng: Tap Network <Gương cổng
3- Chụp, sao chép, tập hợp, khả năng chuyển tiếp: Tap Network> Gương cổng
4- Độ trễ chuyển tiếp lưu lượng: Tap Network <Gương cổng
5- Khả năng tiền xử lý giao thông: Mạng Tap> Gương cổng
Thời gian đăng: Mar-30-2022
