ເພື່ອວິເຄາະການຈາລະຈອນຂອງເຄືອຂ່າຍ, ມັນຈໍາເປັນຕ້ອງສົ່ງຊຸດເຄືອຂ່າຍໄປຫາ NTOP/NPROBE ຫຼື Out-of-band Network Security and Monitoring Tools.ມີສອງວິທີແກ້ໄຂບັນຫານີ້:
Port Mirroring(ຍັງເອີ້ນວ່າ SPAN)
ແຕະເຄືອຂ່າຍ(ຍັງເອີ້ນວ່າ Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ແລະອື່ນໆ.)
ກ່ອນທີ່ຈະອະທິບາຍຄວາມແຕກຕ່າງລະຫວ່າງສອງວິທີແກ້ໄຂ (Port Mirror ແລະ Network Tap), ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈວ່າ Ethernet ເຮັດວຽກແນວໃດ.ຢູ່ທີ່ 100Mbit ແລະສູງກວ່າ, hosts ມັກຈະເວົ້າໃນ duplex ເຕັມ, ຊຶ່ງຫມາຍຄວາມວ່າຫນຶ່ງ host ສາມາດສົ່ງ (Tx) ແລະຮັບ (Rx) ພ້ອມກັນ.ນີ້ຫມາຍຄວາມວ່າໃນສາຍ 100 Mbit ທີ່ເຊື່ອມຕໍ່ກັບຫນຶ່ງໂຮດ, ຈໍານວນທັງຫມົດຂອງການຈະລາຈອນເຄືອຂ່າຍທີ່ຫນຶ່ງເຈົ້າພາບສາມາດສົ່ງ / ຮັບ (Tx / Rx)) ແມ່ນ 2 × 100 Mbit = 200 Mbit.
Port mirroring ແມ່ນ active packet replication, ຊຶ່ງຫມາຍຄວາມວ່າອຸປະກອນເຄືອຂ່າຍແມ່ນຮັບຜິດຊອບທາງດ້ານຮ່າງກາຍສໍາລັບການຄັດລອກ packet ກັບພອດ mirrored.
ນີ້ຫມາຍຄວາມວ່າອຸປະກອນຕ້ອງປະຕິບັດວຽກງານນີ້ໂດຍການນໍາໃຊ້ຊັບພະຍາກອນບາງຢ່າງ (ເຊັ່ນ: CPU), ແລະທັງສອງທິດທາງການຈະລາຈອນຈະຖືກ replicated ກັບພອດດຽວກັນ.ດັ່ງທີ່ໄດ້ກ່າວກ່ອນຫນ້ານີ້, ໃນການເຊື່ອມຕໍ່ duplex ເຕັມ, ນີ້ຫມາຍຄວາມວ່າ
A -> B ແລະ B -> A
ຜົນບວກຂອງ A ຈະບໍ່ເກີນຄວາມໄວຂອງເຄືອຂ່າຍກ່ອນທີ່ຈະສູນເສຍແພັກເກັດ.ນີ້ແມ່ນຍ້ອນວ່າບໍ່ມີພື້ນທີ່ເພື່ອຄັດລອກແພັກເກັດ.ມັນ turns ໃຫ້ເຫັນວ່າ port mirroring ເປັນເຕັກນິກທີ່ຍິ່ງໃຫຍ່ເພາະວ່າມັນສາມາດໄດ້ຮັບການປະຕິບັດໂດຍສະຫຼັບຫຼາຍ (ແຕ່ບໍ່ແມ່ນທັງຫມົດ), ເນື່ອງຈາກວ່າສ່ວນໃຫຍ່ຂອງ switches ມີຈຸດອ່ອນຂອງການສູນເສຍ packet, ຖ້າຫາກວ່າທ່ານຕິດຕາມກວດກາການເຊື່ອມຕໍ່ທີ່ມີການໂຫຼດຫຼາຍກວ່າ 50%, ຫຼືສະແດງໃຫ້ເຫັນ. ພອດໃສ່ພອດທີ່ໄວກວ່າ (ເຊັ່ນ: ບ່ອນແລກປ່ຽນຄວາມ 100 Mbit ໃສ່ພອດ 1 Gbit).ບໍ່ໄດ້ກ່າວເຖິງວ່າການສະທ້ອນແພັກເກັດອາດຈະຮຽກຮ້ອງໃຫ້ມີການແລກປ່ຽນຊັບພະຍາກອນຂອງສະວິດ, ເຊິ່ງອາດຈະໂຫຼດອຸປະກອນແລະເຮັດໃຫ້ການປະຕິບັດການແລກປ່ຽນຫຼຸດລົງ.ໃຫ້ສັງເກດວ່າທ່ານສາມາດເຊື່ອມຕໍ່ 1 ພອດໄປຫາຫນຶ່ງພອດ, ຫຼື 1 VLAN ກັບພອດຫນຶ່ງ, ແຕ່ໂດຍທົ່ວໄປແລ້ວທ່ານບໍ່ສາມາດຄັດລອກພອດຫຼາຍພອດໄປຫາ 1. (ດັ່ງນັ້ນຍ້ອນວ່າບ່ອນເກັບມ້ຽນ) ຫາຍໄປ.
A Network TAP (ຈຸດເຂົ້າເຖິງ Terminal)ເປັນອຸປະກອນຮາດແວແບບ passive ຢ່າງເຕັມສ່ວນ, ເຊິ່ງສາມາດເກັບຂໍ້ມູນການຈະລາຈອນໃນເຄືອຂ່າຍໄດ້.ມັນຖືກນໍາໃຊ້ໂດຍທົ່ວໄປເພື່ອຕິດຕາມການຈະລາຈອນລະຫວ່າງສອງຈຸດໃນເຄືອຂ່າຍ.ຖ້າເຄືອຂ່າຍລະຫວ່າງສອງຈຸດນີ້ປະກອບດ້ວຍສາຍເຄເບີ້ນທາງດ້ານຮ່າງກາຍ, TAP ເຄືອຂ່າຍອາດຈະເປັນວິທີທີ່ດີທີ່ສຸດທີ່ຈະເກັບກໍາການຈະລາຈອນ.
TAP ເຄືອຂ່າຍມີຢ່າງໜ້ອຍສາມພອດ: ຜອດ A, ຜອດ B ແລະພອດຈໍພາບ.ເພື່ອວາງທໍ່ລະຫວ່າງຈຸດ A ແລະ B, ສາຍເຄືອຂ່າຍລະຫວ່າງຈຸດ A ແລະຈຸດ B ຖືກປ່ຽນແທນດ້ວຍສາຍຄູ່, ສາຍຫນຶ່ງໄປຫາພອດ A ຂອງ TAP, ອີກສາຍຫນຶ່ງໄປຫາພອດ B ຂອງ TAP.TAP ຜ່ານການຈະລາຈອນທັງຫມົດລະຫວ່າງສອງຈຸດເຄືອຂ່າຍ, ດັ່ງນັ້ນພວກມັນຍັງເຊື່ອມຕໍ່ກັນ.TAP ຍັງຄັດລອກການຈະລາຈອນໄປຫາຜອດຕິດຕາມຂອງມັນ, ດັ່ງນັ້ນຈຶ່ງເຮັດໃຫ້ອຸປະກອນການວິເຄາະຟັງ.
TAP ເຄືອຂ່າຍຖືກນໍາໃຊ້ໂດຍທົ່ວໄປໂດຍອຸປະກອນຕິດຕາມກວດກາແລະການເກັບກໍາເຊັ່ນ APS.TAPs ຍັງສາມາດຖືກນໍາໃຊ້ໃນຄໍາຮ້ອງສະຫມັກຄວາມປອດໄພເນື່ອງຈາກວ່າພວກມັນບໍ່ລົບກວນ, ບໍ່ສາມາດກວດພົບໄດ້ໃນເຄືອຂ່າຍ, ສາມາດຈັດການກັບເຄືອຂ່າຍເຕັມ duplex ແລະບໍ່ໄດ້ແບ່ງປັນ, ແລະປົກກະຕິແລ້ວຈະຜ່ານການຈະລາຈອນເຖິງແມ່ນວ່າທໍ່ຢຸດເຮັດວຽກຫຼືສູນເສຍພະລັງງານ. .
ເນື່ອງຈາກພອດ Network Taps ບໍ່ໄດ້ຮັບແຕ່ການສົ່ງເທົ່ານັ້ນ, ສະວິດບໍ່ມີຂໍ້ຄຶດທີ່ນັ່ງຢູ່ຫລັງພອດ.ຜົນສະທ້ອນແມ່ນວ່າມັນກະຈາຍແພັກເກັດໄປຫາທຸກພອດ.ດັ່ງນັ້ນ, ຖ້າທ່ານເຊື່ອມຕໍ່ອຸປະກອນຕິດຕາມກວດກາຂອງທ່ານກັບສະຫຼັບ, ອຸປະກອນດັ່ງກ່າວຈະໄດ້ຮັບແພັກເກັດທັງຫມົດ.ໃຫ້ສັງເກດວ່າກົນໄກນີ້ເຮັດວຽກຖ້າອຸປະກອນຕິດຕາມກວດກາບໍ່ສົ່ງແພັກເກັດໃດໆໄປຫາສະວິດ;ຖ້າບໍ່ດັ່ງນັ້ນ, ສະວິດຈະສົມມຸດວ່າແພັກເກັດທີ່ຖືກແຕະບໍ່ແມ່ນສໍາລັບອຸປະກອນດັ່ງກ່າວ.ເພື່ອບັນລຸສິ່ງນັ້ນ, ທ່ານສາມາດນໍາໃຊ້ສາຍເຄເບີ້ນເຄືອຂ່າຍທີ່ທ່ານບໍ່ໄດ້ເຊື່ອມຕໍ່ສາຍ TX, ຫຼືໃຊ້ອິນເຕີເຟດເຄືອຂ່າຍ IP-less (ແລະ DHCP-less) ທີ່ບໍ່ສົ່ງແພັກເກັດທັງຫມົດ.ສຸດທ້າຍສັງເກດວ່າຖ້າຫາກວ່າທ່ານຕ້ອງການທີ່ຈະນໍາໃຊ້ການປາດສໍາລັບການບໍ່ສູນເສຍການຫຸ້ມຫໍ່, ຫຼັງຈາກນັ້ນບໍ່ວ່າຈະບໍ່ merge ທິດທາງຫຼືນໍາໃຊ້ສະຫຼັບທີ່ທິດທາງ tapped ຊ້າລົງ (ເຊັ່ນ: 100 Mbit) ທີ່ port merge (ເຊັ່ນ: 1 Gbit).
ດັ່ງນັ້ນ, ວິທີການເກັບກໍາການຈະລາຈອນເຄືອຂ່າຍ?Network Taps vs Switch Ports Mirror
1- ການຕັ້ງຄ່າງ່າຍ: Network Tap > Port Mirror
2- ອິດທິພົນຕໍ່ປະສິດທິພາບເຄືອຂ່າຍ: ແຕະເຄືອຂ່າຍ < Port Mirror
3- ການຈັບພາບ, ການຈຳລອງ, ການລວບລວມ, ຄວາມສາມາດໃນການສົ່ງຕໍ່: ແຕະເຄືອຂ່າຍ > Port Mirror
4- ການລໍຄອຍການສົ່ງຕໍ່ການຈະລາຈອນ: ແຕະເຄືອຂ່າຍ < Port Mirror
5- ຄວາມອາດສາມາດປະມວນຜົນການຈາລະຈອນລ່ວງໜ້າ: ແຕະເຄືອຂ່າຍ > Port Mirror
ເວລາປະກາດ: 30-3-2022
