Hoe kan ik netwerkverkeer vastleggen? Netwerk Tap vs Port Mirror

Om het netwerkverkeer te analyseren, is het noodzakelijk om het netwerkpakket naar NTOP/NPROBE of Out-of-Band Network Security en Monitoring Tools te sturen. Er zijn twee oplossingen voor dit probleem:

Portspiegeling(Ook bekend als Span)

Netwerktap(Ook bekend als replicatietap, aggregatietap, actieve tik, koperen tap, Ethernet -tik, enz.)

Voordat u de verschillen tussen de twee oplossingen (poortspiegel en netwerktap) uitlegt, is het belangrijk om te begrijpen hoe de Ethernet werkt. Op 100 mbit en hoger spreken hosts meestal in volledige duplex, wat betekent dat één host tegelijkertijd (TX) kan verzenden en (RX) kan ontvangen. Dit betekent dat op een 100 Mbit -kabel die is aangesloten op één host, het totale bedrag van het netwerkverkeer dat één host kan verzenden/ontvangen (TX/RX)) 2 × 100 Mbit = 200 Mbit is.

De poortspiegeling is actieve pakketreplicatie, wat betekent dat het netwerkapparaat fysiek verantwoordelijk is voor het kopiëren van het pakket naar de gespiegelde poort.

Netwerkschakelaarpoortspiegel

Dit betekent dat het apparaat deze taak moet uitvoeren met behulp van een resource (zoals de CPU), en beide verkeersrichtingen worden gerepliceerd naar dezelfde poort. Zoals eerder vermeld, betekent dit in een volledige duplex -link dat

A -> b en b -> a

De som van A zal de netwerksnelheid niet overschrijden voordat pakketverlies optreedt. Dit komt omdat er fysiek geen ruimte is om pakketten te kopiëren. Het blijkt dat poortspiegeling een geweldige techniek is, omdat het kan worden uitgevoerd door veel schakelaars (maar niet alle), omdat de meeste schakelaars met het nadeel van pakketverlies, als u een link met meer dan 50% lading controleert of de poorten op een snellere poort spiegelt (bijv. 100 mbit poorten op een 1 Gbit -poort). Om nog maar te zwijgen van het feit dat pakketspiegeling mogelijk middelen moet uitwisselen, waardoor het apparaat kan worden geladen en ervoor kan zorgen dat de uitwisselingsprestaties degraderen zijn. Merk op dat u 1 poort kunt aansluiten op één poort, of 1 VLAN op één poort, maar u kunt over het algemeen niet veel poorten naar 1 kopiëren. (Dus als de pakketspiegel) ontbreekt.

Een netwerktap (terminal toegangspunt)is een volledig passief hardwareapparaat, dat het verkeer op een netwerk passief kan vastleggen. Het wordt vaak gebruikt om het verkeer tussen twee punten in het netwerk te controleren. Als het netwerk tussen deze twee punten uit een fysieke kabel bestaat, is een netwerktap misschien de beste manier om verkeer vast te leggen.

De netwerktap heeft ten minste drie poorten: een A -poort, een B -poort en een monitorpoort. Om een ​​kraan tussen punten A en B te plaatsen, wordt de netwerkkabel tussen punt A en Point B vervangen door een paar kabels, de ene gaat naar de A -poort van de Tap, de andere gaat naar de B -poort van de Tap. De TAP passeert al het verkeer tussen de twee netwerkpunten, zodat ze nog steeds met elkaar zijn verbonden. De tik kopieert ook het verkeer naar de monitorpoort, waardoor een analyse -apparaat kan luisteren.

Netwerktappen worden vaak gebruikt door monitoring- en verzamelapparaten zoals AP's. TAP's kunnen ook worden gebruikt in beveiligingstoepassingen omdat ze niet-opdringerig zijn, niet detecteerbaar zijn op het netwerk, kunnen omgaan met full-duplex en niet-gescheiden netwerken en meestal doorgaan door verkeer, zelfs als de tap stopt met werken of stroom verliest.

Netwerk Tap Aggregation

Aangezien netwerktappenpoorten niet ontvangen maar alleen worden verzonden, heeft de schakelaar geen idee die achter de poorten zit. Het gevolg is dat het de pakketten naar alle poorten uitzendt. Daarom, als u uw bewakingsapparaat op de schakelaar verbindt, ontvangt een dergelijk apparaat alle pakketten. Merk op dat dit mechanisme werkt als het bewakingsapparaat geen pakket naar de schakelaar verzendt; Anders neemt de schakelaar aan dat de aangetapte pakketten niet voor een dergelijk apparaat zijn. Om dat te bereiken, kunt u ofwel een netwerkkabel gebruiken waarop u de TX-draden niet hebt aangesloten of een IP -loze (en DHCP-minder) netwerkinterface gebruikt die helemaal geen pakketten verzenden. Merk ten slotte op dat als u een kraan wilt gebruiken voor het niet verliezen van pakketten, dan geen aanwijzingen samenvoeg of een schakelaar gebruikt waar getapte aanwijzingen langzamer zijn (bijv. 100 mbit) dat de samenvoegpoort (bijv. 1 Gbit).

Netwerktapreplicatie

Dus, hoe kan ik netwerkverkeer vastleggen? Netwerktappen versus schakelpoorten spiegel

1- Eenvoudige configuratie: netwerktap> Poortspiegel

2- Netwerkprestaties Invloed: netwerktap <Poortspiegel

3- CAPTURE, REPLICATIE, AGGREGATIE, doorstuurvermogen: Netwerktap> Poortspiegel

4- Latentie voor verkeersuitvoer: Netwerk Tap <Port Mirror

5- Verkeersvoorbewerkingscapaciteit: Network Tap> Port Mirror

Netwerktaps versus poorten spiegel


Posttijd: Mar-30-2022