ເພື່ອວິເຄາະການຈະລາຈອນເຄືອຂ່າຍ, ຈຳເປັນຕ້ອງສົ່ງແພັກເກັດເຄືອຂ່າຍໄປຫາ NTOP/NPROBE ຫຼື ເຄື່ອງມືຄວາມປອດໄພ ແລະ ການຕິດຕາມກວດກາເຄືອຂ່າຍນອກແຖບຄວາມຖີ່. ມີສອງວິທີແກ້ໄຂບັນຫານີ້ຄື:
ການສະທ້ອນພອດ(ເຊິ່ງເອີ້ນກັນວ່າ SPAN)
ແຕະເຄືອຂ່າຍ(ເຊິ່ງເອີ້ນອີກຊື່ໜຶ່ງວ່າ Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ແລະອື່ນໆ)
ກ່ອນທີ່ຈະອະທິບາຍຄວາມແຕກຕ່າງລະຫວ່າງສອງວິທີແກ້ໄຂ (Port Mirror ແລະ Network Tap), ມັນເປັນສິ່ງສຳຄັນທີ່ຈະຕ້ອງເຂົ້າໃຈວ່າ Ethernet ເຮັດວຽກແນວໃດ. ທີ່ຄວາມໄວ 100Mbit ແລະສູງກວ່າ, ໂຮດມັກຈະເວົ້າໃນແບບ full duplex, ຊຶ່ງໝາຍຄວາມວ່າໂຮດໜຶ່ງສາມາດສົ່ງ (Tx) ແລະຮັບ (Rx) ພ້ອມໆກັນ. ນີ້ໝາຍຄວາມວ່າໃນສາຍ 100 Mbit ທີ່ເຊື່ອມຕໍ່ກັບໂຮດໜຶ່ງ, ປະລິມານການຈະລາຈອນເຄືອຂ່າຍທັງໝົດທີ່ໂຮດໜຶ່ງສາມາດສົ່ງ/ຮັບ (Tx/Rx)) ແມ່ນ 2 × 100 Mbit = 200 Mbit.
ການສະທ້ອນພອດແມ່ນການຊ້ຳຊ້ອນແພັກເກັດທີ່ໃຊ້ງານຢູ່, ຊຶ່ງໝາຍຄວາມວ່າອຸປະກອນເຄືອຂ່າຍມີຄວາມຮັບຜິດຊອບທາງດ້ານຮ່າງກາຍໃນການຄັດລອກແພັກເກັດໄປຫາພອດທີ່ສະທ້ອນ.
ນີ້ໝາຍຄວາມວ່າອຸປະກອນຕ້ອງປະຕິບັດໜ້າວຽກນີ້ໂດຍການໃຊ້ຊັບພະຍາກອນບາງຢ່າງ (ເຊັ່ນ CPU), ແລະທິດທາງການຈະລາຈອນທັງສອງຈະຖືກສຳເນົາໄປຫາພອດດຽວກັນ. ດັ່ງທີ່ໄດ້ກ່າວມາກ່ອນໜ້ານີ້, ໃນລິ້ງ full duplex, ນີ້ໝາຍຄວາມວ່າ
ກ - > ຂ ແລະ ຂ -> ກ
ຜົນບວກຂອງ A ຈະບໍ່ເກີນຄວາມໄວເຄືອຂ່າຍກ່ອນທີ່ການສູນເສຍແພັກເກັດຈະເກີດຂຶ້ນ. ນີ້ແມ່ນຍ້ອນວ່າບໍ່ມີພື້ນທີ່ທາງກາຍະພາບໃນການຄັດລອກແພັກເກັດ. ມັນປາກົດວ່າການສະທ້ອນພອດແມ່ນເຕັກນິກທີ່ດີເພາະມັນສາມາດເຮັດໄດ້ໂດຍສະວິດຫຼາຍອັນ (ແຕ່ບໍ່ແມ່ນທັງໝົດ), ເພາະວ່າສະວິດສ່ວນໃຫຍ່ທີ່ມີຂໍ້ເສຍຂອງການສູນເສຍແພັກເກັດ, ຖ້າທ່ານຕິດຕາມກວດກາລິ້ງທີ່ມີການໂຫຼດຫຼາຍກວ່າ 50%, ຫຼືສະທ້ອນພອດໃສ່ພອດທີ່ໄວກວ່າ (ເຊັ່ນ: ສະທ້ອນພອດ 100 Mbit ໃສ່ພອດ 1 Gbit). ບໍ່ຕ້ອງເວົ້າເຖິງວ່າການສະທ້ອນແພັກເກັດອາດຈະຕ້ອງການການແລກປ່ຽນຊັບພະຍາກອນສະວິດ, ເຊິ່ງອາດຈະໂຫຼດອຸປະກອນແລະເຮັດໃຫ້ປະສິດທິພາບການແລກປ່ຽນຫຼຸດລົງ. ໃຫ້ສັງເກດວ່າທ່ານສາມາດເຊື່ອມຕໍ່ 1 ພອດກັບໜຶ່ງພອດ, ຫຼື 1 VLAN ກັບໜຶ່ງພອດ, ແຕ່ໂດຍທົ່ວໄປແລ້ວທ່ານບໍ່ສາມາດຄັດລອກຫຼາຍພອດໄປຫາ 1. (ສະນັ້ນເປັນຕົວສະທ້ອນແພັກເກັດ) ຫາຍໄປ.
ຈຸດເຂົ້າເຖິງເຄືອຂ່າຍ (TAP)ເປັນອຸປະກອນຮາດແວແບບ passive ຢ່າງເຕັມທີ່, ເຊິ່ງສາມາດຈັບການຈະລາຈອນໃນເຄືອຂ່າຍໄດ້ແບບ passive. ມັນມັກຖືກໃຊ້ເພື່ອຕິດຕາມກວດກາການຈະລາຈອນລະຫວ່າງສອງຈຸດໃນເຄືອຂ່າຍ. ຖ້າເຄືອຂ່າຍລະຫວ່າງສອງຈຸດນີ້ປະກອບດ້ວຍສາຍເຄເບີ້ນທາງກາຍະພາບ, Network TAP ອາດເປັນວິທີທີ່ດີທີ່ສຸດໃນການຈັບການຈະລາຈອນ.
ເຄືອຂ່າຍ TAP ມີຢ່າງໜ້ອຍສາມພອດຄື: ພອດ A, ພອດ B, ແລະ ພອດຈໍພາບ. ເພື່ອວາງສາຍແດບລະຫວ່າງຈຸດ A ແລະ B, ສາຍເຄືອຂ່າຍລະຫວ່າງຈຸດ A ແລະ ຈຸດ B ຈະຖືກປ່ຽນແທນດ້ວຍສາຍຄູ່ໜຶ່ງ, ສາຍໜຶ່ງໄປຫາພອດ A ຂອງ TAP, ແລະອີກສາຍໜຶ່ງໄປຫາພອດ B ຂອງ TAP. TAP ຈະສົ່ງການຈະລາຈອນທັງໝົດລະຫວ່າງສອງຈຸດເຄືອຂ່າຍ, ດັ່ງນັ້ນພວກມັນຍັງເຊື່ອມຕໍ່ກັນຢູ່. TAP ຍັງຄັດລອກການຈະລາຈອນໄປຫາພອດຈໍພາບຂອງມັນ, ດັ່ງນັ້ນຈຶ່ງເຮັດໃຫ້ອຸປະກອນວິເຄາະສາມາດຮັບຟັງໄດ້.
ອຸປະກອນຕິດຕາມ ແລະ ເກັບກຳຂໍ້ມູນເຊັ່ນ APS ໂດຍທົ່ວໄປແລ້ວແມ່ນໃຊ້ TAP ໃນແອັບພລິເຄຊັນຄວາມປອດໄພ ເພາະວ່າພວກມັນບໍ່ລົບກວນ, ບໍ່ສາມາດກວດພົບໄດ້ໃນເຄືອຂ່າຍ, ສາມາດຈັດການກັບເຄືອຂ່າຍ full-duplex ແລະ ເຄືອຂ່າຍທີ່ບໍ່ໄດ້ແບ່ງປັນ, ແລະ ໂດຍປົກກະຕິແລ້ວຈະສົ່ງຜ່ານການຈະລາຈອນເຖິງແມ່ນວ່າ tap ຈະຢຸດເຮັດວຽກ ຫຼື ສູນເສຍພະລັງງານກໍຕາມ.
ເນື່ອງຈາກພອດ Network Taps ບໍ່ໄດ້ຮັບແຕ່ສົ່ງຕໍ່ເທົ່ານັ້ນ, ສະວິດຈຶ່ງບໍ່ຮູ້ວ່າໃຜນັ່ງຢູ່ເບື້ອງຫຼັງພອດ. ຜົນສະທ້ອນແມ່ນມັນອອກອາກາດແພັກເກັດໄປຫາທຸກພອດ. ດັ່ງນັ້ນ, ຖ້າທ່ານເຊື່ອມຕໍ່ອຸປະກອນຕິດຕາມກວດກາຂອງທ່ານກັບສະວິດ, ອຸປະກອນດັ່ງກ່າວຈະໄດ້ຮັບແພັກເກັດທັງໝົດ. ໃຫ້ສັງເກດວ່າກົນໄກນີ້ເຮັດວຽກຖ້າອຸປະກອນຕິດຕາມກວດກາບໍ່ສົ່ງແພັກເກັດໃດໆໄປຫາສະວິດ; ຖ້າບໍ່ດັ່ງນັ້ນ, ສະວິດຈະສົມມຸດວ່າແພັກເກັດທີ່ຖືກແຕະບໍ່ແມ່ນສຳລັບອຸປະກອນດັ່ງກ່າວ. ເພື່ອບັນລຸເປົ້າໝາຍນັ້ນ, ທ່ານສາມາດໃຊ້ສາຍເຄືອຂ່າຍທີ່ທ່ານບໍ່ໄດ້ເຊື່ອມຕໍ່ສາຍ TX, ຫຼືໃຊ້ອິນເຕີເຟດເຄືອຂ່າຍທີ່ບໍ່ມີ IP (ແລະບໍ່ມີ DHCP) ທີ່ບໍ່ສົ່ງແພັກເກັດເລີຍ. ສຸດທ້າຍໃຫ້ສັງເກດວ່າຖ້າທ່ານຕ້ອງການໃຊ້ການແຕະເພື່ອບໍ່ໃຫ້ແພັກເກັດສູນເສຍ, ຢ່າລວມທິດທາງ ຫຼື ໃຊ້ສະວິດທີ່ທິດທາງທີ່ຖືກແຕະຊ້າກວ່າ (ເຊັ່ນ 100 Mbit) ກ່ວາພອດລວມ (ເຊັ່ນ 1 Gbit).
ດັ່ງນັ້ນ, ວິທີການຈັບການຈະລາຈອນເຄືອຂ່າຍ? Network Taps vs Switch Ports Mirror
1- ການຕັ້ງຄ່າງ່າຍ: ແຕະເຄືອຂ່າຍ > ກະຈົກພອດ
2- ອິດທິພົນຕໍ່ປະສິດທິພາບຂອງເຄືອຂ່າຍ: ການແຕະເຄືອຂ່າຍ < ກະຈົກພອດ
3- ຄວາມສາມາດໃນການບັນທຶກ, ການສຳເນົາ, ການລວມຕົວ, ການສົ່ງຕໍ່: ແຕະເຄືອຂ່າຍ > Port Mirror
4- ຄວາມຊັກຊ້າຂອງການສົ່ງຕໍ່ການຈະລາຈອນ: ການແຕະເຄືອຂ່າຍ < ກະຈົກພອດ
5- ຄວາມສາມາດໃນການປະມວນຜົນການຈະລາຈອນລ່ວງໜ້າ: ແຕະເຄືອຂ່າຍ > ກະຈົກພອດ
ເວລາໂພສ: 30 ມີນາ 2022
