Um den Netzwerkverkehr zu analysieren, müssen das Netzwerkpaket an NTOP/NPROBE- oder Out-of-Band-Netzwerksicherheits- und Überwachungstools gesendet werden. Es gibt zwei Lösungen für dieses Problem:
Hafenspiegelung(auch als Span bezeichnet)
Netzwerkhahn(Auch als Replikations -Tipp, Aggregation Tipp, aktives Tippen, Kupfer Tippen, Ethernet -Tippen usw.)
Bevor Sie die Unterschiede zwischen den beiden Lösungen (Port Mirror und Netzwerk Tap) erläutern, ist es wichtig zu verstehen, wie das Ethernet funktioniert. Bei 100mbit und höher sprechen Hosts normalerweise in vollem Duplex, was bedeutet, dass ein Host gleichzeitig (TX) und empfangen kann (RX). Dies bedeutet, dass bei einem mit einem Host angeschlossenen 100 -Mbit -Kabel der Gesamtbetrag des Netzwerkverkehrs, den ein Host senden/empfangen kann (TX/RX)), 2 × 100 mbit = 200 Mbit beträgt.
Die Portspiegelung ist eine aktive Paketreplikation, was bedeutet, dass das Netzwerkgerät physikalisch für das Kopieren des Pakets in den gespiegelten Port verantwortlich ist.
Dies bedeutet, dass das Gerät diese Aufgabe mithilfe einer Ressource (wie der CPU) ausführen muss, und beide Verkehrsrichtungen werden an denselben Port repliziert. Wie bereits erwähnt, bedeutet dies in einem vollständigen Duplex -Link
A -> b und b -> a
Die Summe von A überschreitet die Netzwerkgeschwindigkeit nicht, bevor der Paketverlust auftritt. Dies liegt daran, dass es physisch keinen Platz gibt, um Pakete zu kopieren. Es stellt sich heraus, dass die Portspiegelung eine großartige Technik ist, da sie von vielen Schalter (jedoch nicht allen) durchgeführt werden kann, da die meisten Schalter mit dem Nachteil des Paketverlusts eine Verbindung mit über 50% Last überwachen oder die Ports auf einen schnelleren Anschluss spiegeln (z. Z. Ganz zu schweigen davon, dass die Paketspiegelung möglicherweise die Ressourcen für Schalter austauschen muss, wodurch das Gerät geladen und die Austauschleistung beeinträchtigt wird. Beachten Sie, dass Sie 1 Port an einen Port oder 1 VLAN an einen Port anschließen können. Im Allgemeinen können Sie jedoch nicht viele Ports auf 1 kopieren (so wie der Paketspiegel) fehlt.
Ein Netzwerkhahn (Terminal Access Point)ist ein vollständig passives Hardware -Gerät, das den Datenverkehr in einem Netzwerk passiv erfassen kann. Es wird häufig verwendet, um den Verkehr zwischen zwei Punkten im Netzwerk zu überwachen. Wenn das Netzwerk zwischen diesen beiden Punkten aus einem physischen Kabel besteht, ist ein Netzwerkhahn möglicherweise der beste Weg, um den Verkehr zu erfassen.
Der Netzwerk -Tap verfügt über mindestens drei Ports: einen A -Port, einen B -Port und einen Monitor -Port. Um einen Hahn zwischen den Punkten A und B zu platzieren, wird das Netzwerkkabel zwischen Punkt A und Punkt B durch ein Kabelpaar ersetzt, wobei einer an den Taps A -Anschluss geht, der andere zum B -Anschluss des TAP. Der TAP führt den gesamten Datenverkehr zwischen den beiden Netzwerkpunkten über, sodass sie immer noch miteinander verbunden sind. Der TAP kopiert auch den Datenverkehr in seinen Monitor -Port, wodurch ein Analysegerät zu hören ist.
Netzwerk -Taps werden üblicherweise durch Überwachung und Sammlungsgeräte wie APs verwendet. TAPS können auch in Sicherheitsanwendungen verwendet werden, da sie nicht aufdringlich sind, im Netzwerk nicht erkennbar sind, sich mit Vollduplex- und nicht-stammenden Netzwerken befassen können und in der Regel den Datenverkehr durchführen, selbst wenn der TAP nicht mehr funktioniert oder an Strom verliert.
Da die Netzwerk -Ports nicht erhalten, sondern nur übertragen werden, hat der Schalter keine Ahnung, wer hinter den Ports sitzt. Die Folge ist, dass die Pakete an alle Ports übertragen werden. Wenn Sie Ihr Überwachungsgerät an den Switch anschließen, empfängt ein solches Gerät alle Pakete. Beachten Sie, dass dieser Mechanismus funktioniert, wenn das Überwachungsgerät kein Paket an den Schalter sendet. Andernfalls wird der Schalter davon ausgegangen, dass die Tapped -Pakete nicht für ein solches Gerät sind. Um dies zu erreichen, können Sie entweder ein Netzwerkkabel verwenden, mit dem Sie die TX-Drähte nicht angeschlossen haben, oder eine IP-freie (und DHCP-freie) Netzwerkschnittstelle, die überhaupt keine Pakete überträgt. Beachten Sie schließlich, dass, wenn Sie einen Hahn zum Verlust von Paketen verwenden möchten, entweder keine Anweisungen oder einen Schalter, bei dem die Anweisungen der Tapped langsamer sind (z. B. 100 mbit), der Merge -Port (z. B. 1 Gbit).
Wie erfassen Sie also den Netzwerkverkehr? Netzwerk -Taps gegen Switch -Ports Spiegel
1- Einfache Konfiguration: Netzwerk Tipp> Portspiegel
2- Einfluss der Netzwerkleistung: Netzwerk Tap <Portspiegel
3- Erfassung, Replikation, Aggregation, Weiterleitungsfähigkeit: Netzwerk Tap> Portspiegel
4- Verkehrs-Weiterleitungslatenz: Netzwerk-Tap <Portspiegel
5- Verkehrsvorverarbeitungskapazität: Netzwerk Tipp> Portspiegel
Postzeit: März 30-2022
