เพื่อวิเคราะห์การรับส่งข้อมูลเครือข่าย จำเป็นต้องส่งแพ็กเก็ตเครือข่ายไปยัง NTOP/NPROBE หรือเครื่องมือรักษาความปลอดภัยเครือข่ายและการตรวจสอบนอกแบนด์ มีสองวิธีแก้ไขปัญหานี้:
การมิเรอร์พอร์ต(หรือเรียกอีกอย่างว่า SPAN)
แตะเครือข่าย(หรือเรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap ฯลฯ)
ก่อนที่จะอธิบายความแตกต่างระหว่างโซลูชันทั้งสอง (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องทำความเข้าใจวิธีการทำงานของอีเธอร์เน็ต ที่ความเร็ว 100Mbit ขึ้นไป โฮสต์มักจะพูดแบบฟูลดูเพล็กซ์ ซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง(Tx) และรับ (Rx) พร้อมกันได้ ซึ่งหมายความว่าบนสายเคเบิลขนาด 100 Mbit ที่เชื่อมต่อกับโฮสต์หนึ่ง จำนวนการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถส่ง/รับได้ (Tx/Rx)) คือ 2 × 100 Mbit = 200 Mbit
การมิเรอร์พอร์ตเป็นการจำลองแพ็กเก็ตที่ใช้งานอยู่ ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีหน้าที่รับผิดชอบทางกายภาพในการคัดลอกแพ็กเก็ตไปยังพอร์ตที่ทำมิเรอร์
ซึ่งหมายความว่าอุปกรณ์จะต้องดำเนินการงานนี้โดยใช้ทรัพยากรบางอย่าง (เช่น CPU) และทิศทางการรับส่งข้อมูลทั้งสองจะถูกจำลองแบบไปยังพอร์ตเดียวกัน ดังที่ได้กล่าวไปแล้วใน A full duplex link หมายความว่าเช่นนั้น
เอ -> บี และ บี -> ก
ผลรวมของ A จะไม่เกินความเร็วเครือข่ายก่อนที่แพ็กเก็ตจะสูญหาย นี่เป็นเพราะว่าทางกายภาพไม่มีพื้นที่ให้คัดลอกแพ็กเก็ต ปรากฎว่าการมิเรอร์พอร์ตเป็นเทคนิคที่ยอดเยี่ยม เนื่องจากสามารถทำได้โดยสวิตช์จำนวนมาก (แต่ไม่ใช่ทั้งหมด) เนื่องจากสวิตช์ส่วนใหญ่มีข้อเสียเปรียบคือการสูญเสียแพ็กเก็ต หากคุณตรวจสอบลิงก์ที่มีโหลดมากกว่า 50% หรือมิเรอร์ พอร์ตไปยังพอร์ตที่เร็วกว่า (เช่นพอร์ตมิเรอร์ 100 Mbit ไปยังพอร์ต 1 Gbit) ไม่ต้องพูดถึงว่าการมิเรอร์แพ็กเก็ตอาจต้องมีการแลกเปลี่ยนทรัพยากรสวิตช์ ซึ่งอาจโหลดอุปกรณ์และทำให้ประสิทธิภาพการแลกเปลี่ยนลดลง โปรดทราบว่าคุณสามารถเชื่อมต่อ 1 พอร์ตเข้ากับพอร์ตเดียว หรือ 1 VLAN เข้ากับพอร์ตเดียวได้ แต่โดยทั่วไปแล้วคุณไม่สามารถคัดลอกหลายพอร์ตไปที่ 1 ได้ (เช่นเดียวกับแพ็กเก็ตมิเรอร์) หายไป
TAP เครือข่าย (จุดเชื่อมต่อเทอร์มินัล)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟเต็มรูปแบบ ซึ่งสามารถจับการรับส่งข้อมูลบนเครือข่ายแบบพาสซีฟได้ โดยทั่วไปจะใช้เพื่อตรวจสอบการรับส่งข้อมูลระหว่างจุดสองจุดในเครือข่าย หากเครือข่ายระหว่างจุดทั้งสองนี้ประกอบด้วยสายเคเบิล TAP เครือข่ายอาจเป็นวิธีที่ดีที่สุดในการรับส่งข้อมูล
TAP เครือข่ายมีพอร์ตอย่างน้อยสามพอร์ต: พอร์ต A, พอร์ต B และพอร์ตจอภาพ หากต้องการวางการแตะระหว่างจุด A และ B สายเคเบิลเครือข่ายระหว่างจุด A และจุด B จะถูกแทนที่ด้วยสายเคเบิลคู่หนึ่ง เส้นหนึ่งไปที่พอร์ต A ของ TAP และอีกเส้นหนึ่งไปที่พอร์ต B ของ TAP TAP จะส่งผ่านการรับส่งข้อมูลทั้งหมดระหว่างจุดเครือข่ายทั้งสองจุด ดังนั้นจึงยังคงเชื่อมต่อถึงกัน TAP ยังคัดลอกการรับส่งข้อมูลไปยังพอร์ตมอนิเตอร์ ซึ่งทำให้อุปกรณ์วิเคราะห์สามารถฟังได้
TAP เครือข่ายมักใช้โดยอุปกรณ์ตรวจสอบและรวบรวมข้อมูล เช่น APS TAP ยังสามารถนำมาใช้ในแอปพลิเคชันความปลอดภัยได้เนื่องจากไม่รบกวน ตรวจไม่พบบนเครือข่าย สามารถจัดการกับเครือข่ายฟูลดูเพล็กซ์และแบบไม่แชร์ และมักจะส่งผ่านการรับส่งข้อมูลแม้ว่าก๊อกจะหยุดทำงานหรือสูญเสียพลังงาน .
เนื่องจากพอร์ต Network Taps ไม่ได้รับ แต่จะส่งสัญญาณเท่านั้น สวิตช์จึงไม่รู้ว่าใครอยู่ด้านหลังพอร์ต ผลที่ตามมาก็คือมันกระจายแพ็กเก็ตไปยังพอร์ตทั้งหมด ดังนั้น หากคุณเชื่อมต่ออุปกรณ์ตรวจสอบของคุณเข้ากับสวิตช์ อุปกรณ์ดังกล่าวจะได้รับแพ็กเก็ตทั้งหมด โปรดทราบว่ากลไกนี้ใช้งานได้หากอุปกรณ์ตรวจสอบไม่ส่งแพ็กเก็ตใด ๆ ไปยังสวิตช์ มิฉะนั้นสวิตช์จะถือว่าแพ็กเก็ตที่แตะนั้นไม่ได้มีไว้สำหรับอุปกรณ์ดังกล่าว เพื่อให้บรรลุเป้าหมายดังกล่าว คุณสามารถใช้สายเคเบิลเครือข่ายที่คุณไม่ได้เชื่อมต่อสาย TX หรือใช้อินเทอร์เฟซเครือข่ายที่ไม่มี IP (และน้อยกว่า DHCP) ที่ไม่ส่งแพ็กเก็ตเลย สุดท้ายนี้ โปรดทราบว่าหากคุณต้องการใช้การแตะเพื่อไม่ให้แพ็กเก็ตสูญหาย อย่ารวมเส้นทางหรือใช้สวิตช์ที่เส้นทางที่แตะช้ากว่า (เช่น 100 Mbit) ที่พอร์ตผสาน (เช่น 1 Gbit)
ดังนั้นจะบันทึกการรับส่งข้อมูลเครือข่ายได้อย่างไร? Network Taps กับ Switch Ports Mirror
1- การกำหนดค่าอย่างง่าย: แตะเครือข่าย > กระจกพอร์ต
2- อิทธิพลต่อประสิทธิภาพเครือข่าย: Network Tap < Port Mirror
3- การจับภาพ การจำลอง การรวมกลุ่ม ความสามารถในการส่งต่อ: แตะเครือข่าย > มิเรอร์พอร์ต
4- เวลาแฝงในการส่งต่อการรับส่งข้อมูล: แตะเครือข่าย < กระจกพอร์ต
5- ความสามารถในการประมวลผลล่วงหน้าการรับส่งข้อมูล: แตะเครือข่าย > กระจกพอร์ต
เวลาโพสต์: 30 มี.ค.-2022
