เพื่อวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่าย จำเป็นต้องส่งแพ็กเก็ตเครือข่ายไปยัง NTOP/NPROBE หรือเครื่องมือตรวจสอบและรักษาความปลอดภัยเครือข่ายนอกแบนด์ มีสองวิธีในการแก้ปัญหานี้:
การมิเรอร์พอร์ต(เรียกอีกอย่างว่า SPAN)
แตะเครือข่าย(เรียกอีกอย่างว่า Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap เป็นต้น)
ก่อนที่จะอธิบายความแตกต่างระหว่างโซลูชันทั้งสอง (Port Mirror และ Network Tap) สิ่งสำคัญคือต้องเข้าใจก่อนว่าอีเทอร์เน็ตทำงานอย่างไร ที่ความเร็ว 100 เมกะบิตขึ้นไป โฮสต์มักจะสื่อสารแบบฟูลดูเพล็กซ์ ซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง (Tx) และรับ (Rx) ได้พร้อมกัน ซึ่งหมายความว่าในสายเคเบิล 100 เมกะบิตที่เชื่อมต่อกับโฮสต์หนึ่ง ปริมาณการรับส่งข้อมูลเครือข่ายทั้งหมดที่โฮสต์หนึ่งสามารถส่ง/รับ (Tx/Rx)) ได้คือ 2 × 100 เมกะบิต = 200 เมกะบิต
การมิเรอร์พอร์ตเป็นการจำลองแพ็คเก็ตที่ใช้งานอยู่ ซึ่งหมายความว่าอุปกรณ์เครือข่ายจะรับผิดชอบทางกายภาพในการคัดลอกแพ็คเก็ตไปยังพอร์ตมิเรอร์
ซึ่งหมายความว่าอุปกรณ์จะต้องทำงานนี้โดยใช้ทรัพยากรบางอย่าง (เช่น CPU) และทิศทางการรับส่งข้อมูลทั้งสองทิศทางจะถูกจำลองไปยังพอร์ตเดียวกัน ดังที่กล่าวไว้ก่อนหน้านี้ ในลิงก์ฟูลดูเพล็กซ์ นั่นหมายความว่า
A -> B และ B -> A
ผลรวมของ A จะไม่เกินความเร็วเครือข่ายก่อนที่แพ็กเก็ตจะสูญหาย เนื่องจากไม่มีพื้นที่ทางกายภาพในการคัดลอกแพ็กเก็ต ปรากฏว่าการมิเรอร์พอร์ตเป็นเทคนิคที่ยอดเยี่ยมเนื่องจากสามารถทำได้โดยสวิตช์หลายตัว (แต่ไม่ใช่ทั้งหมด) เนื่องจากสวิตช์ส่วนใหญ่ที่มีข้อเสียของการสูญหายของแพ็กเก็ต หากคุณตรวจสอบลิงก์ที่มีโหลดเกิน 50% หรือมิเรอร์พอร์ตไปยังพอร์ตที่เร็วกว่า (เช่น มิเรอร์พอร์ต 100 Mbit ไปยังพอร์ต 1 Gbit) ไม่ต้องพูดถึงการมิเรอร์แพ็กเก็ตที่อาจต้องใช้ทรัพยากรสวิตช์ในการแลกเปลี่ยน ซึ่งอาจโหลดอุปกรณ์และทำให้ประสิทธิภาพการแลกเปลี่ยนลดลง โปรดทราบว่าคุณสามารถเชื่อมต่อพอร์ต 1 พอร์ตกับพอร์ต 1 พอร์ต หรือ 1 VLAN กับพอร์ต 1 พอร์ต แต่โดยทั่วไปแล้วคุณไม่สามารถคัดลอกพอร์ตจำนวนมากไปยังพอร์ต 1 พอร์ตได้ (เช่นเดียวกับมิเรอร์แพ็กเก็ต) ขาดหายไป
จุดเชื่อมต่อเครือข่าย (TAP)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟเต็มรูปแบบ ซึ่งสามารถดักจับข้อมูลบนเครือข่ายแบบพาสซีฟ โดยทั่วไปจะใช้เพื่อติดตามข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลจริง TAP ของเครือข่ายอาจเป็นวิธีที่ดีที่สุดในการดักจับข้อมูล
TAP เครือข่ายมีพอร์ตอย่างน้อย 3 พอร์ต ได้แก่ พอร์ต A พอร์ต B และพอร์ตมอนิเตอร์ ในการวางแท็ประหว่างจุด A และ B สายเคเบิลเครือข่ายระหว่างจุด A และจุด B จะถูกแทนที่ด้วยสายเคเบิลคู่หนึ่ง โดยสายหนึ่งไปที่พอร์ต A ของ TAP และอีกสายหนึ่งไปที่พอร์ต B ของ TAP TAP จะส่งข้อมูลทั้งหมดระหว่างจุดเครือข่ายทั้งสองจุด ดังนั้นจุดทั้งสองจึงยังคงเชื่อมต่อถึงกัน TAP ยังคัดลอกข้อมูลไปยังพอร์ตมอนิเตอร์ด้วย ทำให้เครื่องมือวิเคราะห์สามารถรับฟังข้อมูลได้
โดยทั่วไปแล้ว TAP ของเครือข่ายจะใช้โดยอุปกรณ์ตรวจสอบและรวบรวมข้อมูล เช่น APS นอกจากนี้ TAP ยังสามารถใช้ในงานด้านความปลอดภัยได้ เนื่องจากไม่รบกวน ไม่สามารถตรวจจับได้บนเครือข่าย สามารถจัดการกับเครือข่ายแบบฟูลดูเพล็กซ์และแบบไม่ใช้ร่วมกัน และโดยปกติจะส่งต่อข้อมูลแม้ว่า TAP จะหยุดทำงานหรือไฟดับก็ตาม
เนื่องจากพอร์ต Network Taps ไม่รับแต่ส่งเท่านั้น สวิตช์จึงไม่รู้ว่าใครอยู่หลังพอร์ต ผลก็คือสวิตช์จะกระจายแพ็กเก็ตไปยังพอร์ตทั้งหมด ดังนั้น หากคุณเชื่อมต่ออุปกรณ์ตรวจสอบกับสวิตช์ อุปกรณ์ดังกล่าวจะรับแพ็กเก็ตทั้งหมด โปรดทราบว่ากลไกนี้จะใช้งานได้หากอุปกรณ์ตรวจสอบไม่ส่งแพ็กเก็ตใดๆ ไปยังสวิตช์ มิฉะนั้น สวิตช์จะถือว่าแพ็กเก็ตที่ถูกแตะนั้นไม่ใช่สำหรับอุปกรณ์ดังกล่าว เพื่อให้บรรลุเป้าหมายดังกล่าว คุณสามารถใช้สายเคเบิลเครือข่ายที่คุณไม่ได้เชื่อมต่อสาย TX หรือใช้อินเทอร์เฟซเครือข่ายที่ไม่มี IP (และไม่มี DHCP) ซึ่งจะไม่ส่งแพ็กเก็ตเลย สุดท้าย โปรดทราบว่าหากคุณต้องการใช้การแตะเพื่อไม่ให้แพ็กเก็ตสูญหาย ก็อย่ารวมทิศทางหรือใช้สวิตช์ที่ทิศทางที่ถูกแตะนั้นช้ากว่า (เช่น 100 Mbit) ของพอร์ตรวม (เช่น 1 Gbit)
แล้วจะดักจับข้อมูลการรับส่งข้อมูลบนเครือข่ายได้อย่างไร? การแตะเครือข่ายเทียบกับการมิเรอร์พอร์ตสวิตช์
1- กำหนดค่าได้ง่าย: แตะเครือข่าย > พอร์ตมิเรอร์
2- อิทธิพลของประสิทธิภาพเครือข่าย: การแตะเครือข่าย < มิเรอร์พอร์ต
3- ความสามารถในการจับภาพ การจำลอง การรวม การส่งต่อ: แตะเครือข่าย > พอร์ตมิเรอร์
4- ความล่าช้าในการส่งต่อข้อมูล: แตะเครือข่าย < พอร์ตมิเรอร์
5- ความสามารถในการประมวลผลการรับส่งข้อมูลล่วงหน้า: แตะเครือข่าย > พอร์ตมิเรอร์
เวลาโพสต์ : 30 มี.ค. 2565
