من أجل تحليل حركة مرور الشبكة ، من الضروري إرسال حزمة الشبكة إلى NTOP/NPROBE أو أدوات الشبكة ومراقبة الشبكة خارج نطاق النطاق. هناك حلان لهذه المشكلة:
ميناء ميناء(المعروف أيضًا باسم Span)
شبكة الصنبور(المعروف أيضًا باسم النسخ المتماثل النقر ، النقر التجميع ، النقر النشط ، النحاس النحاس ، Ethernet Tap ، إلخ)
قبل شرح الاختلافات بين الحلين (مرآة المنفذ ونقر الشبكة) ، من المهم أن نفهم كيفية عمل Ethernet. عند 100 ميجابت وما فوق ، يتحدث المضيفين عادةً على الوجهين الكامل ، مما يعني أن مضيفًا واحدًا يمكنه إرسال (TX) واستلام (RX) في وقت واحد. هذا يعني أنه على كابل 100 ميجابت متصل بمضيف واحد ، فإن المبلغ الإجمالي لحركة مرور الشبكة التي يمكن لمضيف واحد إرسالها/تلقيها (TX/RX)) هي 2 × 100 ميجابت = 200 ميجابت.
يعتبر Morroring Port Mirroring نسخة طبق الأصل من الحزم ، مما يعني أن جهاز الشبكة مسؤول فعليًا عن نسخ الحزمة إلى المنفذ المرآة.
هذا يعني أن الجهاز يجب أن يؤدي هذه المهمة باستخدام بعض الموارد (مثل وحدة المعالجة المركزية) ، وسيتم تكرار كلا الاتجاهين لحركة المرور إلى نفس المنفذ. كما ذكرنا سابقًا ، في رابط مزدوج كامل ، هذا يعني ذلك
A -> B و B -> أ
لن يتجاوز مجموع A سرعة الشبكة قبل حدوث فقدان الحزمة. هذا لأنه لا توجد مساحة جسدية لنسخ الحزم. اتضح أن النسخ المتطابق للمنفذ هو تقنية رائعة حيث يمكن تنفيذها من خلال العديد من المفاتيح (ولكن ليس كلها) ، لأن معظم المفاتيح مع عيب فقدان الحزمة ، إذا كنت تراقب رابطًا بأكثر من 50 ٪ ، أو عكس المنافذ على منفذ أسرع (EG Mirror 100 mbit على منفذ جي بيت 1). ناهيك عن أن النسخ المتطابق في الحزمة قد تتطلب تبادل موارد المفاتيح ، والتي قد تتحمل الجهاز وتتسبب في تدهور أداء التبادل. لاحظ أنه يمكنك توصيل منفذ واحد بمنفذ واحد ، أو VLAN واحد بمنفذ واحد ، ولكن لا يمكنك عمومًا نسخ العديد من المنافذ إلى 1. (بحيث تكون مرآة الحزمة) مفقودة.
نقرة الشبكة (نقطة الوصول الطرفية)هو جهاز أجهزة سلبي بالكامل ، والذي يمكنه التقاط حركة المرور بشكل سلبي على شبكة. يستخدم عادة لمراقبة حركة المرور بين نقطتين في الشبكة. إذا كانت الشبكة بين هاتين النقطتين تتكون من كبل مادي ، فقد تكون النقر على الشبكة هي أفضل طريقة لالتقاط حركة المرور.
يحتوي شبكة TAP على ثلاثة منافذ على الأقل: منفذ A ومنفذ B ومنفذ شاشة. لوضع نقرة بين النقطتين A و B ، يتم استبدال كبل الشبكة بين النقطة A والنقطة B بزوج من الكابلات ، واحد إلى المنفذ A Tap ، والآخر يذهب إلى منفذ B. يمرر الصنبور جميع حركة المرور بين نقطتي الشبكة ، لذلك لا تزال متصلة ببعضها البعض. يقوم TAP أيضًا بنسخ حركة المرور إلى منفذ الشاشة الخاص به ، وبالتالي تمكين جهاز تحليل للاستماع.
يتم استخدام صنابير الشبكة بشكل شائع من خلال مراقبة وأجهزة التجميع مثل APS. يمكن أيضًا استخدام TAPS في تطبيقات الأمان لأنها غير محتملة ، ولا يمكن اكتشافها على الشبكة ، ويمكن أن تتعامل مع الشبكات المزدوجة وغير المشتركة ، وعادة ما تمر عبر حركة المرور حتى لو توقف الصنبور عن العمل أو فقدان الطاقة.
نظرًا لأن منافذ صنابير الشبكة لا تتلقى ولكنها تنقل فقط ، فإن المفتاح ليس له أدنى فكرة من يجلس خلف الموانئ. والنتيجة هي أنها تبث الحزم إلى جميع المنافذ. لذلك ، إذا قمت بتوصيل جهاز المراقبة الخاص بك بالمحول ، فسيتلقى هذا الجهاز جميع الحزم. لاحظ أن هذه الآلية تعمل إذا لم يرسل جهاز المراقبة أي حزمة إلى المفتاح ؛ خلاف ذلك ، سوف يفترض المفتاح أن الحزم المستقلة ليست لمثل هذا الجهاز. من أجل تحقيق ذلك ، يمكنك إما استخدام كبل شبكة لم تقم بتوصيله بأسلاك TX ، أو استخدام واجهة شبكة IP-IP (و DHCP) التي لا تنقل الحزم على الإطلاق. لاحظ أخيرًا أنه إذا كنت ترغب في استخدام TAP لعدم فقدان الحزم ، فلا يتم دمج الاتجاهات أو استخدام مفتاح حيث تكون الاتجاهات المستقلة أبطأ (على سبيل المثال 100 ميجابت) أن منفذ الدمج (على سبيل المثال 1 جيجابت).
لذلك ، كيف تلتقط حركة المرور الشبكة؟ صنابير الشبكة مقابل منافذ التبديل مرآة
1- التكوين السهل: شبكة النقر> مرآة المنفذ
2- تأثير أداء الشبكة: Network Tap <Port Mirror
3- الالتقاط ، النسخ المتماثل ، التجميع ، القدرة التوجيهية: الشبكة TAP> Port Mirror
4- توجيه حركة المرور زمن انتقال: الشبكة TAP <PORT MIRROR
5- سعة المعالجة المسبقة لحركة المرور: شبكة النقر> مرآة المنفذ
وقت النشر: Mar-30-2022
