ในการวิเคราะห์ทราฟฟิกเครือข่ายจำเป็นต้องส่งแพ็คเก็ตเครือข่ายไปยัง NTOP/NPROBE หรือเครื่องมือรักษาความปลอดภัยเครือข่ายนอกแบนด์และเครื่องมือตรวจสอบ มีสองวิธีแก้ปัญหานี้:
มิเรอร์พอร์ต(หรือที่รู้จักกันในชื่อ Span)
แตะเครือข่าย(หรือที่รู้จักกันในชื่อการทำซ้ำ, การรวมการรวม, การแตะที่ใช้งาน, การแตะทองแดง, อีเธอร์เน็ตแตะ ฯลฯ )
ก่อนที่จะอธิบายความแตกต่างระหว่างโซลูชันทั้งสอง (Mirror Port และ Network Tap) สิ่งสำคัญคือต้องเข้าใจว่าอีเธอร์เน็ตทำงานอย่างไร ที่ 100mbit ขึ้นไปโฮสต์มักจะพูดในเพล็กซ์เต็มรูปแบบซึ่งหมายความว่าโฮสต์หนึ่งสามารถส่ง (TX) และรับ (RX) พร้อมกัน ซึ่งหมายความว่าบนสายเคเบิล 100 Mbit ที่เชื่อมต่อกับโฮสต์หนึ่งตัวจำนวนเงินทั้งหมดของการรับส่งข้อมูลเครือข่ายที่โฮสต์หนึ่งสามารถส่ง/รับ (TX/RX)) คือ 2 × 100 Mbit = 200 Mbit
การมิเรอร์พอร์ตเป็นการจำลองแบบแพ็คเก็ตที่ใช้งานอยู่ซึ่งหมายความว่าอุปกรณ์เครือข่ายมีความรับผิดชอบทางร่างกายในการคัดลอกแพ็กเก็ตไปยังพอร์ตมิเรอร์
ซึ่งหมายความว่าอุปกรณ์จะต้องทำงานนี้โดยใช้ทรัพยากรบางอย่าง (เช่น CPU) และทิศทางการจราจรทั้งสองจะถูกจำลองไปยังพอร์ตเดียวกัน ดังที่ได้กล่าวไว้ก่อนหน้านี้ในลิงค์เพล็กซ์เต็มรูปแบบหมายความว่า
A -> B และ B -> A
ผลรวมของ A จะไม่เกินความเร็วเครือข่ายก่อนที่จะมีการสูญเสียแพ็คเก็ต นี่เป็นเพราะร่างกายไม่มีพื้นที่สำหรับคัดลอกแพ็คเก็ต ปรากฎว่าการมิเรอร์พอร์ตเป็นเทคนิคที่ยอดเยี่ยมเพราะสามารถทำได้โดยสวิตช์จำนวนมาก (แต่ไม่ใช่ทั้งหมด) เนื่องจากสวิตช์ส่วนใหญ่ที่มีข้อเสียของการสูญเสียแพ็กเก็ตหากคุณตรวจสอบลิงก์ที่มีโหลดมากกว่า 50% หรือสะท้อนพอร์ตลงบนพอร์ตที่เร็วขึ้น ไม่ต้องพูดถึงว่าการมิเรอร์แพ็คเก็ตอาจต้องแลกเปลี่ยนทรัพยากรสวิตช์ซึ่งอาจโหลดอุปกรณ์และทำให้ประสิทธิภาพการแลกเปลี่ยนลดลง โปรดทราบว่าคุณสามารถเชื่อมต่อ 1 พอร์ตกับพอร์ตหนึ่งพอร์ตหรือ 1 VLAN ไปยังพอร์ตเดียว แต่โดยทั่วไปคุณไม่สามารถคัดลอกพอร์ตจำนวนมากไปที่ 1 (เช่นมิเรอร์แพ็คเก็ต) หายไป
การแตะเครือข่าย (จุดเชื่อมต่อเทอร์มินัล)เป็นอุปกรณ์ฮาร์ดแวร์แบบพาสซีฟอย่างเต็มรูปแบบซึ่งสามารถจับปริมาณการใช้งานบนเครือข่ายได้อย่างอดทน มันมักจะใช้ในการตรวจสอบการรับส่งข้อมูลระหว่างสองจุดในเครือข่าย หากเครือข่ายระหว่างสองจุดนี้ประกอบด้วยสายเคเบิลทางกายภาพการแตะเครือข่ายอาจเป็นวิธีที่ดีที่สุดในการจับภาพการรับส่งข้อมูล
การแตะเครือข่ายมีอย่างน้อยสามพอร์ต: พอร์ต A, พอร์ต B และพอร์ตมอนิเตอร์ ในการวางแตะระหว่างจุด A และ B สายเคเบิลเครือข่ายระหว่างจุด A และจุด B จะถูกแทนที่ด้วยสายเคเบิลคู่หนึ่งจะไปที่พอร์ต A TAP เป็นอีกพอร์ตอีกอันหนึ่งจะไปที่พอร์ต B ของ TAP การแตะส่งผ่านการรับส่งข้อมูลทั้งหมดระหว่างสองจุดเครือข่ายดังนั้นพวกเขาจึงยังคงเชื่อมต่อซึ่งกันและกัน TAP ยังคัดลอกการรับส่งข้อมูลไปยังพอร์ตมอนิเตอร์ซึ่งช่วยให้อุปกรณ์การวิเคราะห์สามารถฟังได้
ก๊อกเครือข่ายมักใช้โดยการตรวจสอบและอุปกรณ์รวบรวมเช่น APS TAPs ยังสามารถใช้ในแอปพลิเคชันความปลอดภัยเนื่องจากไม่สามารถตรวจจับได้ไม่สามารถตรวจพบได้ในเครือข่ายสามารถจัดการกับเครือข่ายแบบเต็มเพล็กซ์และไม่แชร์ได้และมักจะส่งผ่านปริมาณการใช้งานแม้ว่าการแตะจะหยุดทำงานหรือสูญเสียพลังงาน
เนื่องจากพอร์ตก๊อกเครือข่ายไม่ได้รับ แต่ส่งเท่านั้นสวิตช์จึงไม่มีเงื่อนงำที่อยู่ด้านหลังพอร์ต ผลที่ตามมาคือมันออกอากาศแพ็กเก็ตไปยังพอร์ตทั้งหมด ดังนั้นหากคุณเชื่อมต่ออุปกรณ์ตรวจสอบกับสวิตช์อุปกรณ์ดังกล่าวจะได้รับแพ็คเก็ตทั้งหมด โปรดทราบว่ากลไกนี้ใช้งานได้หากอุปกรณ์ตรวจสอบไม่ส่งแพ็กเก็ตใด ๆ ไปยังสวิตช์ มิฉะนั้นสวิตช์จะสมมติว่าแพ็กเก็ตที่เคาะไม่ได้สำหรับอุปกรณ์ดังกล่าว เพื่อให้บรรลุเป้าหมายนั้นคุณสามารถใช้สายเคเบิลเครือข่ายที่คุณไม่ได้เชื่อมต่อสาย TX หรือใช้อินเทอร์เฟซเครือข่าย IP-Less (และ DHCP-Less) ที่ไม่ส่งแพ็กเก็ตเลย ในที่สุดโปรดทราบว่าหากคุณต้องการใช้การแตะเพื่อไม่ให้สูญเสียแพ็คเก็ตคุณจะไม่รวมทิศทางหรือใช้สวิตช์ที่ทิศทางเคาะช้าลง (เช่น 100 Mbit) ที่พอร์ตผสาน (เช่น 1 GBIT)
ดังนั้นจะจับปริมาณการใช้เครือข่ายได้อย่างไร? เครือข่าย TAPS vs Switch Ports Mirror
1- การกำหนดค่าง่าย: เครือข่าย tap> พอร์ตมิเรอร์
2- อิทธิพลของเครือข่ายอิทธิพล: เครือข่ายแตะ <พอร์ตมิเรอร์
3- การจับการจำลองแบบการรวมความสามารถในการส่งต่อ: เครือข่าย TAP> Mirror พอร์ต
4- แฝงการส่งต่อการจราจร: เครือข่ายแตะ <พอร์ตมิเรอร์
5- ความสามารถในการประมวลผลล่วงหน้าการจราจร: เครือข่าย TAP> Mirror พอร์ต
เวลาโพสต์: มี.ค. 30-2022
