Para analizar el tráfico de red, es necesario enviar el paquete de red a NTOP/nprobe o herramientas de monitoreo y seguridad de red fuera de banda. Hay dos soluciones a este problema:
Espejo de puerto(también conocido como span)
Tap de la red(También conocido como grifo de replicación, toque de agregación, toque activo, toque de cobre, toque de ethernet, etc.)
Antes de explicar las diferencias entre las dos soluciones (espejo de puerto y toque de red), es importante comprender cómo funciona el Ethernet. A 100Mbit y superior, los hosts generalmente hablan en dúplex completo, lo que significa que un host puede enviar (TX) y recibir (RX) simultáneamente. Esto significa que en un cable de 100 mbit conectado a un host, la cantidad total del tráfico de red que un host puede enviar/recibir (TX/RX)) es 2 × 100 Mbit = 200 Mbit.
El reflejo del puerto es una replicación de paquetes activo, lo que significa que el dispositivo de red es físicamente responsable de copiar el paquete al puerto reflejado.
Esto significa que el dispositivo debe realizar esta tarea utilizando algunos recursos (como la CPU), y ambas direcciones de tráfico se replicarán al mismo puerto. Como se mencionó anteriormente, en un enlace dúplex completo, esto significa que
A -> B y B -> A
La suma de A no excederá la velocidad de la red antes de que ocurra la pérdida de paquetes. Esto se debe a que físicamente no hay espacio para copiar paquetes. Resulta que el reflejo de puertos es una gran técnica, ya que puede ser realizado por muchos interruptores (pero no todos), porque la mayoría de los interruptores con el inconveniente de la pérdida de paquetes, si monitorea un enlace con más de 50% de carga, o refleja los puertos en un puerto más rápido (por ejemplo, los puertos de 100 Mbit de espejo en un puerto de 1 Gbit). Sin mencionar que el reflejo de paquetes puede requerir recursos de intercambio de interruptores, que pueden cargar el dispositivo y hacer que el rendimiento de intercambio se degrade. Tenga en cuenta que puede conectar 1 puerto a un puerto, o 1 VLAN a un puerto, pero generalmente no puede copiar muchos puertos a 1. (Entonces, como el espejo del paquete) falta.
Un toque de red (punto de acceso terminal)es un dispositivo de hardware totalmente pasivo, que puede capturar pasivamente el tráfico en una red. Se usa comúnmente para monitorear el tráfico entre dos puntos en la red. Si la red entre estos dos puntos consiste en un cable físico, un toque de red puede ser la mejor manera de capturar el tráfico.
El grifo de la red tiene al menos tres puertos: un puerto A, un puerto B y un puerto de monitor. Para colocar un toque entre los puntos A y B, el cable de red entre el punto A y el punto B se reemplaza con un par de cables, uno va al puerto del grifo, el otro va al puerto B del grifo. El grifo pasa todo el tráfico entre los dos puntos de red, por lo que todavía están conectados entre sí. El TAP también copia el tráfico a su puerto de monitor, lo que permite escuchar un dispositivo de análisis.
Los grifos de red se usan comúnmente mediante dispositivos de monitoreo y recolección como APS. Los grifos también se pueden usar en aplicaciones de seguridad porque no son obtresas, no son detectables en la red, pueden lidiar con redes completos-duplex y no compartidos, y generalmente se transmitirán tráfico incluso si el grifo deja de funcionar o pierde energía.
Como los puertos de los tapas de red no reciben pero solo se transmiten, el interruptor no tiene idea de quién está sentado detrás de los puertos. La consecuencia es que transmite los paquetes a todos los puertos. Por lo tanto, si conecta su dispositivo de monitoreo al conmutador, dicho dispositivo recibirá todos los paquetes. Tenga en cuenta que este mecanismo funciona si el dispositivo de monitoreo no envía ningún paquete al interruptor; De lo contrario, el interruptor asumirá que los paquetes tocados no son para dicho dispositivo. Para lograr eso, puede usar un cable de red en el que no ha conectado los cables TX, o usar una interfaz de red sin IP (y sin DHCP) que no transmite paquetes en absoluto. Finalmente, tenga en cuenta que si desea usar un toque para no perder paquetes, entonces no fusione direcciones o use un interruptor donde las instrucciones golpeadas son más lentas (por ejemplo, 100 mbit) que el puerto de fusión (por ejemplo, 1 gbit).
Entonces, ¿cómo capturar el tráfico de red? Taps de red vs espejo de puertos de conmutación
1- Configuración fácil: red de red> espejo de puerto
2- Influencia del rendimiento de la red: red de red <espejo de puerto
3- Captura, replicación, agregación, capacidad de reenvío: Toque de red> Mirror de puerto
4- Latencia de reenvío de tráfico: red de red <espejo de puerto
5- Capacidad de preprocesamiento de tráfico: Toque de red> Mirror de puerto
Tiempo de publicación: mar-30-2022
