Por analizi la retan trafikon, necesas sendi la retan pakaĵon al NTOP/NPROBE aŭ ekster-bando-reto-sekureco kaj monitoradaj iloj. Estas du solvoj al ĉi tiu problemo:
Haveno spegulanta(ankaŭ konata kiel Span)
Reto Frapeto(Ankaŭ konata kiel replikanta frapeto, agregada frapeto, aktiva frapeto, kupra frapeto, ethernet -frapeto, ktp.)
Antaŭ ol klarigi la diferencojn inter la du solvoj (Port Mirror kaj Network Tap), gravas kompreni kiel funkcias la Ethernet. Ĉe 100Mbit kaj pli supre, gastigantoj kutime parolas en plena duplekso, signifante ke unu gastiganto povas sendi (TX) kaj ricevi (Rx) samtempe. Ĉi tio signifas, ke sur 100 mbit -kablo konektita al unu gastiganto, la tuta kvanto de la reto -trafiko, kiun unu gastiganto povas sendi/ricevi (TX/RX)) estas 2 × 100 Mbit = 200 Mbit.
La havena spegulado estas aktiva paka replikado, kio signifas, ke la reto -aparato fizike respondecas pri kopiado de la paketo al la spegulita haveno.
Ĉi tio signifas, ke la aparato devas plenumi ĉi tiun taskon per iu rimedo (kiel la CPU), kaj ambaŭ trafikaj direktoj estos replikitaj al la sama haveno. Kiel menciite antaŭe, en plena dupleksa ligo, tio signifas tion
A -> b kaj b -> a
La sumo de A ne superos la retan rapidon antaŭ ol paka perdo okazas. Ĉi tio estas ĉar fizike ne ekzistas spaco por kopii pakaĵojn. Rezultas, ke la spegulado de haveno estas bonega tekniko, ĉar ĝi povas esti realigita per multaj ŝaltiloj (sed ne ĉiuj), ĉar plej multaj ŝaltiloj kun la malavantaĝo de paka perdo, se vi kontrolas ligon kun pli ol 50% ŝarĝo, aŭ spegulas la havenojn sur pli rapidan havenon (ekz. Speguloj 100 mbit -havenoj sur 1 gbit -haveno). Sen mencii, ke spegulado de paketoj povas postuli interŝanĝon de ŝaltiloj, kiuj povas ŝarĝi la aparaton kaj kaŭzi degradadon de interŝanĝo. Notu, ke vi povas konekti 1 havenon al unu haveno, aŭ 1 VLAN al unu haveno, sed vi ĝenerale ne povas kopii multajn havenojn al 1. (Do ĉar la paka spegulo) mankas.
Reto -Frapeto (fina alirpunkto)estas tute pasiva aparataro, kiu povas pasive kapti trafikon en reto. Ĝi estas ofte uzata por monitori la trafikon inter du punktoj en la reto. Se la reto inter ĉi tiuj du punktoj konsistas el fizika kablo, reta frapeto eble estas la plej bona maniero kapti trafikon.
La reta frapeto havas almenaŭ tri havenojn: haveno A -haveno, B -haveno kaj monitora haveno. Por meti frapeton inter punktoj A kaj B, la reto -kablo inter punkto A kaj punkto B estas anstataŭigita per paro de kabloj, unu irante al la haveno de la frapeto, la alia iranta al la B -haveno de la frapeto. La frapeto pasigas ĉiun trafikon inter la du retaj punktoj, do ili ankoraŭ estas konektitaj unu al la alia. La frapeto ankaŭ kopias la trafikon al sia monitora haveno, tiel ebligante analizan aparaton aŭskulti.
Retaj frapetoj estas ofte uzataj per monitorado kaj kolektado de aparatoj kiel APS. TAP-oj ankaŭ povas esti uzataj en sekurecaj aplikoj ĉar ili estas ne-obtuzaj, ne estas detekteblaj en la reto, povas trakti plen-dupleksajn kaj ne dividitajn retojn, kaj kutime trapasos trafikon eĉ se la frapeto ĉesas funkcii aŭ perdas potencon.
Ĉar retoj frapas havenojn ne ricevas sed transdonas nur, la ŝaltilo ne havas indikon, kiu sidas malantaŭ la havenoj. La konsekvenco estas, ke ĝi elsendas la pakaĵojn al ĉiuj havenoj. Sekve, se vi konektas vian monitoradan aparaton al la ŝaltilo, tia aparato ricevos ĉiujn pakaĵojn. Notu, ke ĉi tiu mekanismo funkcias se la monitorada aparato ne sendas iun pakaĵon al la ŝaltilo; Alie, la ŝaltilo supozos, ke la frapetitaj pakaĵoj ne estas por tia aparato. Por atingi tion, vi povas aŭ uzi retan kablon, sur kiu vi ne konektis la TX-dratojn, aŭ uzi IP-malpli (kaj DHCP-malpli) retan interfacon, kiu tute ne transdonas pakaĵojn. Fine rimarku, ke se vi volas uzi frapeton por ne perdi pakaĵojn, tiam ne kunfandi direktojn aŭ uzi ŝaltilon, kie frapitaj direktoj estas pli malrapidaj (ekz. 100 Mbit), ke la kunfanda haveno (ekz. 1 Gbit).
Do, kiel kapti retan trafikon? Reto Taps Vs Ŝaltilo Havenoj Spegulas
1- Facila agordo: Reto-Frapeto> Haveno-Spegulo
2- Reto-Rendimento-Influo: Reto-Frapeto <Port Mirror
3- Kaptado, Replikado, Agregado, Antaŭeniga Kapablo: Reto-Frapeto> Haveno-Spegulo
4- Trafika plusenda latencia: reta frapeto <havena spegulo
5- Trafika Antaŭprocesa Kapacito: Reto-Frapeto> Haveno-Spegulo
Afiŝotempo: MAR-30-2022
