Hoe netwerkverkeer vastleggen? Netwerktap versus poortspiegel

Om het netwerkverkeer te analyseren, is het noodzakelijk om het netwerkpakket naar NTOP/NPROBE of Out-of-band Network Security and Monitoring Tools te sturen. Er zijn twee oplossingen voor dit probleem:

Poort spiegelen(ook bekend als SPAN)

Netwerk Tik(ook bekend als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, enz.)

Voordat we de verschillen tussen de twee oplossingen (Port Mirror en Network Tap) uitleggen, is het belangrijk om te begrijpen hoe Ethernet werkt. Bij 100 Mbit en hoger spreken hosts meestal in full-duplex, wat betekent dat één host tegelijkertijd kan verzenden (Tx) en ontvangen (Rx). Dit betekent dat op een 100 Mbit-kabel die op één host is aangesloten, de totale hoeveelheid netwerkverkeer die één host kan verzenden/ontvangen (Tx/Rx) 2 × 100 Mbit = 200 Mbit is.

Poortspiegeling is actieve pakketreplicatie, wat betekent dat het netwerkapparaat fysiek verantwoordelijk is voor het kopiëren van het pakket naar de gespiegelde poort.

netwerkswitchpoortspiegel

Dit betekent dat het apparaat deze taak moet uitvoeren met behulp van een bepaalde bron (zoals de CPU), en dat beide verkeersrichtingen naar dezelfde poort worden gerepliceerd. Zoals eerder vermeld betekent dit bij een full-duplex link dat

A -> B en B -> A

De som van A zal de netwerksnelheid niet overschrijden voordat pakketverlies optreedt. Dit komt omdat er fysiek geen ruimte is om pakketten te kopiëren. Het blijkt dat port mirroring een geweldige techniek is, omdat het door veel switches (maar niet allemaal) kan worden uitgevoerd, omdat de meeste switches het nadeel van pakketverlies hebben als je een link monitort met een belasting van meer dan 50%, of de link spiegelt poorten naar een snellere poort (bijvoorbeeld 100 Mbit-poorten spiegelen naar een 1 Gbit-poort). Om nog maar te zwijgen van het feit dat pakketspiegeling mogelijk het uitwisselen van schakelbronnen vereist, waardoor het apparaat kan worden belast en de uitwisselingsprestaties kunnen afnemen. Merk op dat u 1 poort op één poort kunt aansluiten, of 1 VLAN op één poort, maar dat u over het algemeen niet veel poorten naar 1 kunt kopiëren. (Dus de pakketspiegel) ontbreekt.

Een netwerk-TAP (Terminal Access Point)is een volledig passief hardwareapparaat dat passief verkeer op een netwerk kan vastleggen. Het wordt vaak gebruikt om het verkeer tussen twee punten in het netwerk te monitoren. Als het netwerk tussen deze twee punten uit een fysieke kabel bestaat, kan een netwerk-TAP de beste manier zijn om verkeer af te vangen.

De netwerk-TAP heeft minimaal drie poorten: een A-poort, een B-poort en een monitorpoort. Om een ​​kraan tussen de punten A en B te plaatsen, wordt de netwerkkabel tussen punt A en punt B vervangen door een paar kabels, waarvan de ene naar de A-poort van de TAP gaat en de andere naar de B-poort van de TAP. De TAP geeft al het verkeer tussen de twee netwerkpunten door, zodat ze nog steeds met elkaar verbonden zijn. De TAP kopieert het verkeer ook naar zijn monitorpoort, waardoor een analyseapparaat kan luisteren.

Netwerk-TAP's worden vaak gebruikt door monitoring- en verzamelapparaten zoals APS. TAP's kunnen ook worden gebruikt in beveiligingstoepassingen omdat ze niet opdringerig zijn, niet detecteerbaar zijn op het netwerk, overweg kunnen met full-duplex en niet-gedeelde netwerken, en meestal verkeer doorlaten, zelfs als de kraan niet meer werkt of de stroom uitvalt .

aggregatie van netwerktaps

Omdat Network Taps-poorten niet ontvangen maar alleen zenden, heeft de switch geen idee wie er achter de poorten zit. Het gevolg is dat het de pakketten naar alle poorten uitzendt. Als u uw bewakingsapparaat op de switch aansluit, zal dit apparaat dus alle pakketten ontvangen. Merk op dat dit mechanisme werkt als het bewakingsapparaat geen pakket naar de switch verzendt; anders gaat de switch ervan uit dat de afgetapte pakketten niet voor een dergelijk apparaat bedoeld zijn. Om dat te bereiken, kunt u een netwerkkabel gebruiken waarop u de TX-draden niet hebt aangesloten, of een IP-loze (en DHCP-loze) netwerkinterface gebruiken die helemaal geen pakketten verzendt. Merk ten slotte op dat als u een tik wilt gebruiken om geen pakketten te verliezen, u de richtingen niet moet samenvoegen of een schakelaar moet gebruiken waarbij de getikte richtingen langzamer zijn (bijvoorbeeld 100 Mbit) dan de samenvoegpoort (bijvoorbeeld 1 Gbit).

replicatie van netwerktaps

Dus, hoe kunt u netwerkverkeer vastleggen? Netwerkkranen versus switchpoortenspiegel

1- Eenvoudige configuratie: Netwerk Tik op > Port Mirror

2- Invloed op netwerkprestaties: Netwerk Tik op < Port Mirror

3- Vastleggen, replicatie, aggregatie, doorstuurmogelijkheid: Netwerk Tik op > Port Mirror

4- Latentie bij het doorsturen van verkeer: Netwerk tik op < Port Mirror

5- Capaciteit voorverwerking van verkeer: Netwerk Tik op > Port Mirror

netwerktaps versus poortspiegel


Posttijd: 30 maart 2022