Тармак трафигин талдоо үчүн тармактык пакетти NTOP/NPROBE же Out-of-band Network Security and Monitoring Tools компаниясына жөнөтүү керек. Бул көйгөйдү чечүүнүн эки жолу бар:
Порт күзгүсүн чагылдыруу(ошондой эле SPAN деп аталат)
Тармактык кранд(ошондой эле репликациялык кран, агрегациялык кран, активдүү кран, жез кран, Ethernet кран ж.б. деп аталат)
Эки чечимдин (Port Mirror жана Network Tap) ортосундагы айырмачылыктарды түшүндүрүүдөн мурун, Ethernet кантип иштээрин түшүнүү маанилүү. 100 Мбит жана андан жогору ылдамдыкта хосттор адатта толук дуплексте сүйлөшөт, башкача айтканда, бир хост бир эле учурда жөнөтө (Tx) жана кабыл ала (Rx) алат. Бул бир хостко туташтырылган 100 Мбиттик кабельде бир хост жөнөтө/кабыл ала турган тармак трафигинин жалпы көлөмү (Tx/Rx) 2 × 100 Мбит = 200 Мбит экенин билдирет.
Портту чагылдыруу - бул пакеттин активдүү репликациясы, башкача айтканда, тармак түзмөгү пакетти чагылдырылган портко көчүрүү үчүн физикалык жактан жооптуу.
Бул түзмөк бул тапшырманы кандайдыр бир ресурсту (мисалы, CPU) колдонуу менен аткарышы керек дегенди билдирет жана эки трафик багыты тең бир портко көчүрүлөт. Жогоруда айтылгандай, Толук дуплекстүү байланышта бул ... дегенди билдирет
A - > B жана B -> A
Пакет жоголгонго чейин А суммасы тармактын ылдамдыгынан ашпайт. Себеби, пакеттерди көчүрүү үчүн физикалык жактан орун жок. Көрсө, портту чагылдыруу эң сонун ыкма болуп саналат, анткени аны көптөгөн коммутаторлор (бирок баары эмес) аткара алышат, анткени көпчүлүк коммутаторлор пакет жоголушу сыяктуу кемчиликке ээ, эгер сиз 50% дан ашык жүктөлгөн байланышты көзөмөлдөсөңүз же портторду тезирээк портко чагылдырсаңыз (мисалы, 100 Мбит портторду 1 Гбит портко чагылдырсаңыз). Пакетти чагылдыруу коммутаторлордун ресурстарын алмаштырууну талап кылышы мүмкүн экенин айтпай эле коелу, бул түзмөктү жүктөп, алмашуунун иштешинин начарлашына алып келиши мүмкүн. 1 портту бир портко же 1 VLANды бир портко туташтыра алаарыңызды эске алыңыз, бирок көбүнчө көптөгөн портторду 1ге көчүрө албайсыз. (Демек, пакеттин күзгүсү жок болгондуктан) жок.
Тармактык TAP (Терминалдык кирүү чекити)толугу менен пассивдүү аппараттык түзүлүш болуп саналат, ал тармактагы трафикти пассивдүү түрдө кармап тура алат. Ал көбүнчө тармактагы эки чекиттин ортосундагы трафикти көзөмөлдөө үчүн колдонулат. Эгерде бул эки чекиттин ортосундагы тармак физикалык кабелден турса, тармактык TAP трафикти кармап калуунун эң жакшы жолу болушу мүмкүн.
TAP тармагынын кеминде үч порту бар: А порту, В порту жана монитор порту. А жана В чекиттеринин ортосуна кран коюу үчүн, А чекити менен В чекитинин ортосундагы тармак кабели жуп кабель менен алмаштырылат, бири TAPтын А портуна, экинчиси TAPтын В портуна барат. TAP эки тармак чекитинин ортосундагы бардык трафикти өткөрөт, ошондуктан алар дагы эле бири-бирине туташып турат. TAP ошондой эле трафикти өзүнүн монитор портуна көчүрөт, ошентип анализ түзмөгүнө угууга мүмкүнчүлүк берет.
Тармактык TAPтар көбүнчө APS сыяктуу мониторинг жана чогултуу түзмөктөрү тарабынан колдонулат. TAPтар коопсуздук колдонмолорунда да колдонулушу мүмкүн, анткени алар байкалбайт, тармакта аныкталбайт, толук дуплекстүү жана бөлүшүлбөгөн тармактар менен иштей алат жана кран иштебей калса же кубаттуулук өчсө да, адатта, трафикти өткөрөт.
Network Taps порттору кабыл албастан, жөн гана өткөрүп бергендиктен, коммутатор порттордун артында ким отурганын билбейт. Натыйжада, ал пакеттерди бардык портторго таратат. Ошондуктан, эгер сиз мониторинг түзмөгүңүздү коммутаторго туташтырсаңыз, андай түзмөк бардык пакеттерди алат. Бул механизм мониторинг түзмөгү коммутаторго эч кандай пакет жөнөтпөсө иштей турганын эске алыңыз; болбосо, коммутатор басылган пакеттер мындай түзмөк үчүн эмес деп эсептейт. Муну ишке ашыруу үчүн, сиз TX зымдарын туташтырбаган тармак кабелин колдонсоңуз болот же пакеттерди такыр өткөрбөгөн IP-сиз (жана DHCP-сиз) тармак интерфейсин колдонсоңуз болот. Акырында, эгер сиз пакеттерди жоготпоо үчүн басууну колдонгуңуз келсе, анда багыттарды бириктирбеңиз же басылган багыттар бириктирүү портуна караганда жайыраак болгон (мисалы, 100 Мбит) которгучту колдонуңуз (мисалы, 1 Гбит).
Ошентип, тармактык трафикти кантип кармоо керек? Тармактык таптар жана коммутатор портторунун күзгүсү
1- Оңой конфигурация: Тармак таптоо > Порт күзгүсү
2- Тармактын иштешине таасири: Тармактын таптоосу < Порт күзгүсү
3- Тартуу, репликация, агрегация, багыттоо мүмкүнчүлүгү: Тармак таптоо > Порт күзгүсү
4- Трафикти багыттоо кечигүүсү: Тармактык таптоо < Порт күзгүсү
5- Трафикти алдын ала иштетүү кубаттуулугу: Тармак таптоо > Порт күзгүсү
Жарыяланган убактысы: 2022-жылдын 30-марты
