ქსელური ტრაფიკის გასაანალიზებლად, აუცილებელია ქსელური პაკეტის გაგზავნა NTOP/NPROBE-ში ან Out-of-band Network Security and Monitoring Tools-ში. ამ პრობლემის ორი გადაწყვეტა არსებობს:
პორტის ასახვა(ასევე ცნობილია, როგორც SPAN)
ქსელის შეხება(ასევე ცნობილია, როგორც რეპლიკაციის შეხება, აგრეგაციის შეხება, აქტიური შეხება, სპილენძის შეხება, Ethernet შეხება და ა.შ.)
ორ გადაწყვეტას (Port Mirror და Network Tap) შორის განსხვავების ახსნამდე მნიშვნელოვანია გავიგოთ, თუ როგორ მუშაობს Ethernet. 100 მბიტი და მეტი სიჩქარით, ჰოსტები, როგორც წესი, სრულ დუპლექსში საუბრობენ, რაც იმას ნიშნავს, რომ ერთ ჰოსტს შეუძლია ერთდროულად გაგზავნა (Tx) და მიღება (Rx). ეს ნიშნავს, რომ ერთ ჰოსტთან დაკავშირებულ 100 მბიტიან კაბელზე, ქსელური ტრაფიკის საერთო რაოდენობა, რომლის გაგზავნა/მიღებაც (Tx/Rx)) ერთ ჰოსტს შეუძლია, არის 2 × 100 მბიტი = 200 მბიტი.
პორტის სარკისებური გამოსახულება არის აქტიური პაკეტის რეპლიკაცია, რაც ნიშნავს, რომ ქსელური მოწყობილობა ფიზიკურად არის პასუხისმგებელი პაკეტის სარკისებურ პორტში კოპირებაზე.
ეს ნიშნავს, რომ მოწყობილობამ ეს დავალება უნდა შეასრულოს გარკვეული რესურსის (მაგალითად, CPU) გამოყენებით და ორივე ტრაფიკის მიმართულება ერთსა და იმავე პორტში იქნება რეპლიკირებული. როგორც ადრე აღვნიშნეთ, სრული დუპლექსის კავშირში ეს ნიშნავს, რომ
A - > B და B -> A
A-ს ჯამი არ გადააჭარბებს ქსელის სიჩქარეს პაკეტების დაკარგვამდე. ეს იმიტომ ხდება, რომ ფიზიკურად არ არის ადგილი პაკეტების კოპირებისთვის. აღმოჩნდა, რომ პორტების ასლის შექმნა შესანიშნავი ტექნიკაა, რადგან მისი შესრულება შესაძლებელია მრავალი კომუტატორის მიერ (მაგრამ არა ყველა), რადგან კომუტატორების უმეტესობას აქვს პაკეტების დაკარგვის ნაკლი, თუ აკვირდებით კავშირს 50%-ზე მეტი დატვირთვით, ან ასახავთ პორტებს უფრო სწრაფ პორტზე (მაგ. 100 მბიტიანი პორტების ასლის შექმნა 1 გბიტიან პორტზე). რომ აღარაფერი ვთქვათ იმაზე, რომ პაკეტების ასლის შექმნამ შეიძლება მოითხოვოს კომუტატორის რესურსების გაცვლა, რამაც შეიძლება დატვირთოს მოწყობილობა და გამოიწვიოს კომუნიკაციის მუშაობის გაუარესება. გაითვალისწინეთ, რომ შეგიძლიათ დააკავშიროთ 1 პორტი ერთ პორტთან, ან 1 VLAN ერთ პორტთან, მაგრამ ზოგადად არ შეგიძლიათ მრავალი პორტის კოპირება ერთზე. (ასე რომ, როგორც პაკეტის ასლის შექმნა) აკლია.
ქსელის TAP (ტერმინალის წვდომის წერტილი)არის სრულად პასიური აპარატურული მოწყობილობა, რომელსაც შეუძლია პასიურად დააფიქსიროს ტრაფიკი ქსელში. ის ჩვეულებრივ გამოიყენება ქსელის ორ წერტილს შორის ტრაფიკის მონიტორინგისთვის. თუ ამ ორ წერტილს შორის ქსელი შედგება ფიზიკური კაბელისგან, ქსელის TAP შეიძლება იყოს ტრაფიკის დაფიქსირების საუკეთესო გზა.
ქსელის TAP-ს აქვს მინიმუმ სამი პორტი: A პორტი, B პორტი და მონიტორინგის პორტი. A და B წერტილებს შორის შეერთების განსათავსებლად, A და B წერტილებს შორის ქსელის კაბელი იცვლება კაბელების წყვილით, რომელთაგან ერთი მიდის TAP-ის A პორტში, ხოლო მეორე - TAP-ის B პორტში. TAP მთელ ტრაფიკს ორ ქსელურ წერტილს შორის გადასცემს, ამიტომ ისინი კვლავ ერთმანეთთან არიან დაკავშირებული. TAP ასევე კოპირებს ტრაფიკს თავის მონიტორინგის პორტში, რითაც ანალიტიკურ მოწყობილობას საშუალებას აძლევს მოისმინოს.
ქსელური TAP-ები ხშირად გამოიყენება მონიტორინგისა და შეგროვების მოწყობილობების მიერ, როგორიცაა APS. TAP-ების გამოყენება ასევე შესაძლებელია უსაფრთხოების აპლიკაციებში, რადგან ისინი არ არიან შემაწუხებელი, არ არიან აღმოჩენილები ქსელში, შეუძლიათ სრულ-დუპლექსურ და არასაერთო ქსელებთან მუშაობა და, როგორც წესი, ტრაფიკს გადიან მაშინაც კი, თუ ონკანი შეწყვეტს მუშაობას ან გაითიშება ელექტროენერგია.
რადგან Network Taps პორტები არ იღებენ, არამედ მხოლოდ გადასცემენ, კომუტატორს წარმოდგენა არ აქვს, ვინ დგას პორტების უკან. შედეგად, ის პაკეტებს ყველა პორტზე ავრცელებს. ამიტომ, თუ თქვენს მონიტორინგის მოწყობილობას კომუტატორს დააკავშირებთ, ასეთი მოწყობილობა ყველა პაკეტს მიიღებს. გაითვალისწინეთ, რომ ეს მექანიზმი მუშაობს, თუ მონიტორინგის მოწყობილობა არ აგზავნის არცერთ პაკეტს კომუტატორში; წინააღმდეგ შემთხვევაში, კომუტატორი ჩათვლის, რომ შეხებული პაკეტები არ არის ამ მოწყობილობისთვის. ამის მისაღწევად, შეგიძლიათ გამოიყენოთ ქსელური კაბელი, რომელზეც არ გაქვთ მიერთებული გადაცემის მავთულები, ან გამოიყენოთ IP-ის გარეშე (და DHCP-ის გარეშე) ქსელური ინტერფეისი, რომელიც საერთოდ არ გადასცემს პაკეტებს. და ბოლოს, გაითვალისწინეთ, რომ თუ გსურთ გამოიყენოთ შეხება პაკეტების დაკარგვის თავიდან ასაცილებლად, მაშინ ან არ შეუერთოთ მიმართულებები, ან გამოიყენეთ კომუტატორი, სადაც შეხებული მიმართულებები უფრო ნელია (მაგ. 100 მბიტი), ვიდრე შერწყმის პორტი (მაგ. 1 გბიტი).
მაშ ასე, როგორ დავაფიქსიროთ ქსელური ტრაფიკი? ქსელის შეხება vs კომუტატორის პორტების სარკე
1- მარტივი კონფიგურაცია: ქსელის შეხება > პორტის სარკე
2- ქსელის მუშაობაზე გავლენა: ქსელის შეხება < პორტის სარკე
3- მონაცემების აღება, რეპლიკაცია, აგრეგაცია, გადამისამართების შესაძლებლობა: ქსელის შეხება > პორტის სარკე
4- ტრაფიკის გადამისამართების შეყოვნება: ქსელის შეხება < პორტის სარკე
5- ტრაფიკის წინასწარი დამუშავების შესაძლებლობა: ქსელის შეხება > პორტის სარკე
გამოქვეყნების დრო: 2022 წლის 30 მარტი
