ქსელის ტრაფიკის გასაანალიზებლად, აუცილებელია ქსელის პაკეტის გაგზავნა NTOP/NPROBE ან ქსელის გარედან უსაფრთხოების და მონიტორინგის ინსტრუმენტებში. ამ პრობლემის ორი გამოსავალი არსებობს:
პორტის სარკე(ასევე ცნობილია როგორც Span)
ქსელის ონკანი(ასევე ცნობილია როგორც რეპლიკაციის ონკანი, აგრეგაციის ონკანი, აქტიური ონკანი, სპილენძის ონკანი, Ethernet Tap და ა.შ.)
სანამ ორ გადაწყვეტილებას შორის (პორტის სარკე და ქსელის ონკანი) განმარტებით, მნიშვნელოვანია გვესმოდეს, თუ როგორ მუშაობს Ethernet. 100 მბიტზე და ზემოთ, მასპინძლები ჩვეულებრივ საუბრობენ სრულ დუპლექსში, რაც იმას ნიშნავს, რომ ერთ მასპინძელს შეუძლია ერთდროულად გაგზავნა (TX) და მიიღოს (RX). ეს ნიშნავს, რომ ერთ მასპინძელთან დაკავშირებული 100 მბიტის კაბელზე, ქსელის ტრაფიკის მთლიანი ოდენობა, რომელსაც ერთ მასპინძელს შეუძლია გაგზავნა/მიღება (TX/RX)) არის 2 × 100 მბტი = 200 მბიტ.
პორტის სარკეა არის პაკეტის აქტიური რეპლიკაცია, რაც იმას ნიშნავს, რომ ქსელის მოწყობილობა ფიზიკურად არის პასუხისმგებელი პაკეტის სარკისებურ პორტში კოპირებაზე.
ეს ნიშნავს, რომ მოწყობილობამ უნდა შეასრულოს ეს ამოცანა გარკვეული რესურსის გამოყენებით (მაგალითად, CPU), და მოძრაობის ორივე მიმართულება იმეორებს იმავე პორტს. როგორც უკვე აღვნიშნეთ, სრული დუპლექსის ბმულზე, ეს ნიშნავს, რომ
A -> b და b -> ა
A- ს ჯამი არ გადააჭარბებს ქსელის სიჩქარეს, სანამ პაკეტის დაკარგვა მოხდება. ეს იმიტომ ხდება, რომ ფიზიკურად არ არის პაკეტების კოპირების ადგილი. გამოდის, რომ პორტის სარკეები შესანიშნავი ტექნიკაა, რადგან მისი შესრულება შესაძლებელია მრავალი კონცენტრატორით (მაგრამ არა ყველა), რადგან კონცენტრატორების უმეტესობა პაკეტის დაკარგვის ნაკლოვანებით, თუ აკონტროლებთ ბმულს 50% -ზე მეტ დატვირთვასთან, ან აწარმოებთ პორტებს უფრო სწრაფად პორტში (მაგ. 100 მბიტის პორტს 1 გბიტის პორტზე). რომ აღარაფერი ვთქვათ, რომ პაკეტის სარკისებამ შეიძლება მოითხოვოს კონცენტრატორების რესურსების გაცვლა, რამაც შეიძლება დატვირთოს მოწყობილობა და გამოიწვიოს გაცვლის შესრულების დეგრადაცია. გაითვალისწინეთ, რომ შეგიძლიათ 1 პორტის დაკავშირება ერთ პორტთან, ან 1 VLAN ერთ პორტთან, მაგრამ ზოგადად არ შეგიძლიათ მრავალი პორტის კოპირება 1 -ზე. (ასე რომ, როგორც პაკეტის სარკე) აკლია.
ქსელის ონკანი (ტერმინალის წვდომის წერტილი)არის სრულად პასიური აპარატურა, რომელსაც შეუძლია პასიურად გადაიღოს ტრეფიკი ქსელში. იგი ჩვეულებრივ გამოიყენება ქსელში ორ წერტილს შორის ტრეფიკის მონიტორინგისთვის. თუ ამ ორ წერტილს შორის ქსელი შედგება ფიზიკური კაბელისგან, ქსელის ონკანი შეიძლება იყოს საუკეთესო გზა ტრეფიკის მოსაპოვებლად.
ქსელის ონკანს აქვს მინიმუმ სამი პორტი: A პორტი, B პორტი და მონიტორის პორტი. A და B წერტილებს შორის ონკანის დასაყენებლად, A წერტილსა და წერტილს შორის ქსელის კაბელი შეიცვალა წყვილი კაბელებით, ერთი მიდის ონკანის პორტში, მეორე კი Tap's B პორტში მიდის. ონკანი გადის ყველა ტრაფიკს ქსელის ორ წერტილს შორის, ამიტომ ისინი კვლავ ერთმანეთთან არიან დაკავშირებული. ონკანი ასევე ასრულებს ტრეფიკს მისი მონიტორის პორტში, რითაც საშუალებას აძლევს ანალიზის მოწყობილობას მოუსმინოს.
ქსელის ონკანები ჩვეულებრივ გამოიყენება მონიტორინგისა და შეგროვების მოწყობილობებით, როგორიცაა APS. ონკანები ასევე შეიძლება გამოყენებულ იქნას უსაფრთხოების პროგრამებში, რადგან ისინი არ არიან დამახასიათებელი, ქსელში არ არის გამოვლენილი, შეუძლია გაუმკლავდეს სრულ დუპლექსს და არა გაზიარებულ ქსელებს და, როგორც წესი, გაივლის ტრეფიკს მაშინაც კი, თუ ონკანი შეაჩერებს მუშაობას ან კარგავს ძალას.
როგორც ქსელის ონკანების პორტები არ იღებენ, არამედ მხოლოდ გადასცემს, შეცვლას არ აქვს ნახმარი, რომელიც პორტების უკან იჯდა. შედეგი არის ის, რომ მან პაკეტების გადაცემა ყველა პორტში. ამიტომ, თუ თქვენს მონიტორინგის მოწყობილობას შეცვლით, ასეთი მოწყობილობა მიიღებს ყველა პაკეტს. გაითვალისწინეთ, რომ ეს მექანიზმი მუშაობს, თუ მონიტორინგის მოწყობილობა არ უგზავნის პაკეტს შეცვლაზე; წინააღმდეგ შემთხვევაში, შეცვლა ითვალისწინებს, რომ ჩამოსხმული პაკეტები არ არის ასეთი მოწყობილობისთვის. ამის მისაღწევად, თქვენ შეგიძლიათ გამოიყენოთ ქსელის კაბელი, რომელზეც თქვენ არ დააკავშირეთ TX მავთულები, ან გამოიყენოთ IP- ნაკლებად (და DHCP-LESS) ქსელის ინტერფეისი, რომელიც საერთოდ არ გადასცემს პაკეტებს. დაბოლოს, გაითვალისწინეთ, რომ თუ გსურთ გამოიყენოთ ონკანი პაკეტების დასაკარგად, მაშინ ან არ გამოიყენოთ მიმართულებები, ან გამოიყენოთ შეცვლა, სადაც ჩამოსასხმელი მიმართულებები უფრო ნელია (მაგ. 100 მბიტის), რომ შერწყმის პორტი (მაგ. 1 გბიტ).
ასე რომ, როგორ მოვიქცეთ ქსელის ტრაფიკი? ქსელის ონკანები გადართვის პორტების სარკე
1- მარტივი კონფიგურაცია: ქსელის ონკანი> პორტის სარკე
2- ქსელის შესრულების გავლენა: ქსელის ონკანი <Port Mirror
3- დაჭერა, რეპლიკაცია, აგრეგაცია, გადამისამართების უნარი: ქსელის ონკანი> პორტის სარკე
4- ტრეფიკის გადამისამართება: ქსელის ონკანი <პორტის სარკე
5- ტრეფიკის წინასწარი დამუშავების სიმძლავრე: ქსელის ონკანი> პორტის სარკე
პოსტის დრო: მარტი -30-2022
