Để phân tích lưu lượng mạng, cần phải gửi gói mạng đến NTOP/NPROBE hoặc các công cụ giám sát và bảo mật mạng ngoài băng tần. Có hai giải pháp cho vấn đề này:
Phản chiếu cổng(còn được gọi là SPAN)
Điểm truy cập mạng(Còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở tốc độ 100 Mbit trở lên, các máy chủ thường giao tiếp ở chế độ song công toàn phần, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) đồng thời. Điều này có nghĩa là trên một cáp 100 Mbit được kết nối với một máy chủ, tổng lượng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx) là 2 × 100 Mbit = 200 Mbit.
Tính năng phản chiếu cổng (Port mirroring) là sao chép gói dữ liệu chủ động, có nghĩa là thiết bị mạng chịu trách nhiệm vật lý sao chép gói dữ liệu đến cổng được phản chiếu.
Điều này có nghĩa là thiết bị phải thực hiện tác vụ này bằng cách sử dụng một số tài nguyên (chẳng hạn như CPU), và cả hai hướng lưu lượng truy cập sẽ được sao chép đến cùng một cổng. Như đã đề cập trước đó, trong liên kết song công toàn phần, điều này có nghĩa là
A -> B và B -> A
Tổng lưu lượng A sẽ không vượt quá tốc độ mạng trước khi xảy ra mất gói. Điều này là do về mặt vật lý không có đủ không gian để sao chép các gói tin. Hóa ra, việc nhân bản cổng là một kỹ thuật tuyệt vời vì nó có thể được thực hiện bởi nhiều switch (nhưng không phải tất cả), bởi vì hầu hết các switch đều có nhược điểm là mất gói tin nếu bạn giám sát một liên kết với tải trọng trên 50% hoặc nhân bản các cổng sang một cổng nhanh hơn (ví dụ: nhân bản cổng 100 Mbit sang cổng 1 Gbit). Chưa kể rằng việc nhân bản gói tin có thể yêu cầu trao đổi tài nguyên giữa các switch, điều này có thể gây tải cho thiết bị và làm giảm hiệu suất trao đổi. Lưu ý rằng bạn có thể kết nối 1 cổng với 1 cổng, hoặc 1 VLAN với 1 cổng, nhưng nói chung bạn không thể sao chép nhiều cổng vào 1 cổng. (Vì vậy, việc nhân bản gói tin bị thiếu).
Thiết bị đầu cuối truy cập mạng (Network TAP)Đây là một thiết bị phần cứng hoàn toàn thụ động, có khả năng thu thập lưu lượng truy cập trên mạng một cách thụ động. Nó thường được sử dụng để giám sát lưu lượng truy cập giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm một cáp vật lý, thì thiết bị TAP mạng có thể là cách tốt nhất để thu thập lưu lượng truy cập.
Thiết bị TAP mạng có ít nhất ba cổng: cổng A, cổng B và cổng giám sát. Để đặt thiết bị TAP giữa điểm A và điểm B, cáp mạng giữa điểm A và điểm B được thay thế bằng một cặp cáp, một cáp nối đến cổng A của TAP, cáp còn lại nối đến cổng B của TAP. TAP truyền toàn bộ lưu lượng truy cập giữa hai điểm mạng, do đó chúng vẫn được kết nối với nhau. TAP cũng sao chép lưu lượng truy cập đến cổng giám sát của nó, cho phép thiết bị phân tích lắng nghe.
Các thiết bị TAP mạng thường được sử dụng bởi các thiết bị giám sát và thu thập dữ liệu như APS. TAP cũng có thể được sử dụng trong các ứng dụng an ninh vì chúng không gây chú ý, không thể phát hiện trên mạng, có thể hoạt động trên mạng song công và không chia sẻ, và thường sẽ truyền tải lưu lượng ngay cả khi thiết bị ngừng hoạt động hoặc mất điện.
Vì các cổng Network Tap chỉ truyền dữ liệu chứ không nhận, nên switch không biết thiết bị nào đang kết nối với các cổng đó. Hậu quả là nó phát tán các gói tin đến tất cả các cổng. Do đó, nếu bạn kết nối thiết bị giám sát của mình với switch, thiết bị đó sẽ nhận được tất cả các gói tin. Lưu ý rằng cơ chế này hoạt động nếu thiết bị giám sát không gửi bất kỳ gói tin nào đến switch; nếu không, switch sẽ cho rằng các gói tin được lấy từ cổng này không dành cho thiết bị đó. Để khắc phục điều này, bạn có thể sử dụng cáp mạng mà bạn chưa kết nối dây TX, hoặc sử dụng giao diện mạng không có IP (và không có DHCP) không truyền gói tin nào cả. Cuối cùng, lưu ý rằng nếu bạn muốn sử dụng cổng lấy dữ liệu để không bị mất gói tin, thì hoặc không hợp nhất các hướng truyền hoặc sử dụng switch có tốc độ truyền của các hướng được lấy chậm hơn (ví dụ: 100 Mbit) so với tốc độ truyền của cổng hợp nhất (ví dụ: 1 Gbit).
Vậy làm thế nào để thu thập lưu lượng mạng? Thiết bị thu tín hiệu mạng so với tính năng sao chép lưu lượng qua cổng chuyển mạch.
1- Cấu hình dễ dàng: Network Tap > Port Mirror
2- Ảnh hưởng đến hiệu suất mạng: Network Tap < Port Mirror
3- Khả năng thu thập, sao chép, tổng hợp và chuyển tiếp: Network Tap > Port Mirror
4- Độ trễ chuyển tiếp lưu lượng: Network Tap < Port Mirror
5- Khả năng xử lý trước lưu lượng truy cập: Bộ chia mạng > Gương cổng
Thời gian đăng bài: 30/03/2022
