Chúng tôi đang mở rộng chức năng của ZyXel Keenetic. Trung tâm Internet Zyxel Keenetic Omni II và Keenetic Lite III
Chúng tôi xin nhắc bạn rằng việc cố gắng lặp lại hành động của tác giả có thể dẫn đến mất bảo hành cho thiết bị và thậm chí khiến thiết bị bị hỏng. Tài liệu này chỉ được cung cấp cho mục đích thông tin. Nếu bạn định thực hiện lại các bước được mô tả bên dưới, chúng tôi thực sự khuyên bạn nên đọc kỹ bài viết đến cuối ít nhất một lần. Các biên tập viên của 3DNews không chịu bất kỳ trách nhiệm nào về mọi hậu quả có thể xảy ra.
⇡ Giới thiệu
Trong phần bình luận cho một trong những bài viết đầu tiên về phần sụn thay thế, độc giả đã hỏi liệu bộ định tuyến ZyXel có điều gì tương tự hay không. Phần sụn ZyXel chính thức cực kỳ tốt hoặc những người đam mê không tích cực lắm, nhưng ngày nay không có sự thay thế nào phù hợp hơn cho phần sụn độc quyền. Tất nhiên, bạn có thể tải xuống mã nguồn của chương trình cơ sở, thay đổi nó, tập hợp lại và tải nó lên bộ định tuyến. Nhưng điều này phần nào đó là quá nhiều đối với người dùng bình thường. Điều thú vị hơn nữa là dự án còn rất trẻ của đồng bào chúng ta với cái tên đơn giản zyxel-keenetic-packages, bắt nguồn từ sâu trong diễn đàn Zyxmon. Trong trường hợp này, ý tưởng đơn giản và thanh lịch hơn nhiều. Không cần phải khởi động lại bộ định tuyến và tất cả các ứng dụng bổ sung đều được khởi chạy từ thiết bị lưu trữ di động - ổ đĩa flash hoặc ổ cứng ngoài. Hơn nữa, khi ổ đĩa bị ngắt kết nối, thiết bị vẫn tiếp tục hoạt động như không có chuyện gì xảy ra, nhưng tất nhiên là không có bất kỳ “quà tặng” nào. Chà, trong bài viết này, chúng ta sẽ xem xét việc cài đặt và định cấu hình máy khách Transmission torrent, máy chủ DLNA được cập nhật và truy cập vào mạng cục bộ từ Internet thông qua OpenVPN.
⇡ Chuẩn bị
Đầu tiên, chúng ta cần định dạng ổ đĩa ở dạng ext 2/3 hoặc NTFS. Tất nhiên, nó tốt hơn ở ext 2/3, mặc dù một số chuyên gia cho rằng mọi thứ đều hoạt động tốt với NTFS. Có khá nhiều chương trình có thể định dạng các phân vùng vào hệ thống tệp mà chúng ta cần: các sản phẩm Phân vùng Magic, Paragon và Acronis, và sau cùng là GParted Live miễn phí. Nếu đột nhiên bạn cần đọc khẩn cấp dữ liệu trong Windows từ ổ đĩa như vậy, bạn có thể sử dụng trình quản lý tệp Ext2Read hoặc cài đặt trình điều khiển Ext2Fsd. Ngoài ra, trong giao diện web của bộ định tuyến, bạn cần kích hoạt quyền truy cập vào ổ đĩa qua mạng trong “Ứng dụng USB” → “Ổ đĩa mạng”.
Chúng tôi cũng cần ứng dụng khách PuTTY SSH và chính trình cài đặt. Hãy giải nén kho lưu trữ đến bất kỳ nơi nào thuận tiện. Bây giờ chúng ta hãy truy cập ổ đĩa của chúng ta qua mạng: Win+R, \\KEENETIC, Enter. Trong thư mục disk_a1, bạn sẽ cần tạo một thư mục hệ thống và trong đó một thư mục khác - bin. Đây là nơi bạn cần sao chép tệp ext_init.sh từ kho lưu trữ. Do đó, đường dẫn đầy đủ đến nó sẽ có dạng \\KEENETIC\disk_a1\system\bin\ext_init.sh. Đồng thời, sẽ rất hữu ích khi tạo một thư mục dữ liệu trong thư mục gốc nơi tất cả các tệp sẽ được lưu trữ. Bây giờ bạn cần ngắt kết nối ổ đĩa khỏi bộ định tuyến và kết nối lại. Sau vài phút, mục sau sẽ xuất hiện trong nhật ký (“Hệ thống” → “Nhật ký”):
dropbear Chạy ở chế độ nền
Khởi chạy PuTTY, nhập root@ip_address của bộ định tuyến vào trường Tên máy chủ và trong Windows → Dịch chọn mã hóa UTF-8 và nhấp vào Mở. Nhập mật khẩu - zyxel (nó không hiển thị khi gõ) và nhấn Enter. Chúng tôi hoàn tất cài đặt và cập nhật ngay hệ thống bằng các lệnh:
Kết thúc_install.sh
cập nhật opkg
nâng cấp opkg
⇡Cài đặt truyền dẫn
Các ứng dụng mới được cài đặt bằng lệnh opkg install package_name. Hiện tại, số lượng ứng dụng được chuyển không quá lớn - bạn có thể xem danh sách chúng. Về nguyên tắc, dự án wiki mô tả rõ ràng các sắc thái chính của quá trình cài đặt chúng. Tuy nhiên, người dùng chưa qua đào tạo khó có thể hiểu được một số điểm nhất định liên quan đến cấu hình của họ. Vì vậy, hãy xem xét một số ví dụ cho rõ ràng. Trước tiên, chúng ta hãy xem việc cài đặt và định cấu hình phiên bản mới hơn của Máy khách torrent truyền tải so với phiên bản được cài đặt sẵn trong chương trình cơ sở của bộ định tuyến - 2.3 thay vì 1.93. Cài đặt nano client và soạn thảo văn bản bằng lệnh:
Opkg cài đặt nano
opkg cài đặt truyền-daemon truyền-web
Lời khuyên truyền thống - thay vì gõ lệnh theo cách thủ công, chỉ cần sao chép chúng từ đây và nhấp chuột phải vào cửa sổ PuTTTY. Theo mặc định, tất cả các bản tải xuống mới sẽ được ghi lại trong thư mục truyền tải, nghĩa là điều tương tự xảy ra theo mặc định với ứng dụng khách torrent được tích hợp trong bộ định tuyến. Trước tiên, hãy dừng nó bằng cách đi tới phần “Ứng dụng USB” → “Torrents” trong giao diện web của bộ định tuyến, bỏ chọn “Bật ứng dụng khách BitTorrent” và nhấp vào “Áp dụng”. Hãy chỉnh sửa cài đặt Truyền bằng lệnh:
Nano /media/DISK_A1/system/var/transmission/settings.json
Ở đây chỉ cần thay đổi một vài dòng như mong muốn là đủ:
"cổng ngang hàng": 52400
"rpc-xác thực-bắt buộc": đúng
"rpc-password": "mật khẩu"
"cổng rpc": 9091
"rpc-username": "tên người dùng"
Để cho phép ủy quyền truy cập vào giao diện web Truyền, bạn phải thay đổi giá trị của tham số rpc-authentication-required từ false thành true. Sau đó, thay vì tên người dùng và mật khẩu, bạn sẽ cần chỉ định thông tin đăng nhập và mật khẩu tương ứng. Trong cổng ngang hàng và cổng rpc, bạn phải chỉ định số cổng tương ứng được sử dụng để kết nối với các máy khách khác và truy cập vào giao diện web của máy khách. Các thông số khác không cần phải thay đổi. Lưu tệp và thoát - F2, Y, Enter. Để tự động khởi động Truyền khi bật bộ định tuyến, bạn cần đổi tên một trong các tập lệnh:
Mv /media/DISK_A1/system/etc/init.d/ K90transmissiond /media/DISK_A1/system/etc/init.d/S90transmissiond
Nó cũng cần phải điều chỉnh lại một chút:
Nano /media/DISK_A1/system/etc/init.d/S90transmissiond
Lúc đầu có hai biến TRN_PORT và TRN_RPC_PORT. Nếu bạn đã thay đổi cổng ngang hàng và cổng rpc trong settings.json, thì giá trị của chúng cần được thay thế vào các biến này cho phù hợp. Bạn cũng sẽ cần phải “bỏ ghi chú” (xóa # ở đầu dòng) thêm sáu lệnh có dạng iptables -A (hoặc D) INPUT -p tcp --dport $TRN_PORT (TRN_RPC_PORT) -j ACCEPT. Đừng quên lưu tệp và chạy Transmission. Chỉ cần nhớ rằng bây giờ bảng điều khiển của nó sẽ bằng tiếng Anh.
/media/DISK_A1/system/etc/init.d/S90transmissiond bắt đầu
⇡ Thiết lập máy chủ phương tiện DLNA
Một dịch vụ hữu ích hơn là minidlna. Với sự trợ giúp của nó, bộ định tuyến sẽ hỗ trợ giao thức DLNA, do đó bạn có thể xem các tệp đa phương tiện, chẳng hạn như trên TV hoặc hộp giải mã tín hiệu. Nó dễ cài đặt và cấu hình hơn nhiều so với Transmission.
Opkg cài đặt minidlna
nano /media/DISK_A1/system/etc/minidlna.conf
Trong tệp cấu hình, bạn sẽ cần thay đổi các tham số media_dir, trong đó bạn cần chỉ định các thư mục lưu trữ tệp đa phương tiện. Ngoài ra, bạn có thể đặt bộ lọc loại tệp - chỉ âm thanh (A), video (V) hoặc hình ảnh. Hãy nhớ rằng thư mục gốc của ổ đĩa di động có sẵn dưới dạng /media/DISK_A1. Đây là ví dụ về cài đặt.
Media_dir=/media/DISK_A1/transmission/
media_dir=/media/DISK_A1/data/downloads
media_dir=A, /media/DISK_A1/data/Music_and_AudioBooks
media_dir=V, /media/DISK_A1/data/Films_and_Movies
media_dir=P, /media/DISK_A1/data/Photos
Tất cả những gì còn lại là khởi chạy máy chủ minidlna.
/media/DISK_A1/system/etc/init.d/S50minidlna bắt đầu
Cài đặtOpenVPN
Tải xuống bộ phân phối OpenVPN từ trang web chính thức bằng cách chọn Windows Installer trong phần này. Khi cài đặt, kiểm tra tất cả các thành phần. Giống như lần trước, chúng tôi sẽ sử dụng ủy quyền bằng khóa tĩnh, nghĩa là chúng tôi chỉ có một kết nối VPN. Trước tiên, khóa phải được tạo - từ menu chính trong phần OpenVPN → Tiện ích, hãy chạy Tạo khóa OpenVPN tĩnh. Key hoàn tất nằm trong file C:\Program Files\OpenVPN\config\key.txt. Đổi tên nó thành static.key và sao chép nó vào ổ đĩa trong thư mục \disk_a1\system\var. Bây giờ cài đặt OpenVPN trên bộ định tuyến bằng lệnh:
Opkg cài đặt openvpn
Hãy tạo một tập tin cấu hình:
Nano /media/DISK_A1/system/etc/openvpn/openvpn.conf
Và chèn các dòng sau vào nó:
Cảng 1194
proto udp
giai điệu phát triển
bí mật /media/DISK_A1/system/var/static.key
ifconfig 10.8.0.1 10.8.0.2
duy trì 10 120
comp-lzo
khóa liên tục
kiên trì điều chỉnh
Lưu tệp (F2, Y, Enter). Sau đó, hãy điều chỉnh tập lệnh khởi chạy một chút:
Nano /media/DISK_A1/system/etc/init.d/K11openvpn
Trong đó bạn cần thêm các quy tắc iptables vào cuối phần bắt đầu
Iptables -A INPUT -p udp --dport 1194 -j CHẤP NHẬN
Iptables -D INPUT -p udp --dport 1194 -j CHẤP NHẬN
Chúng ta lưu script này lại, đổi tên thành run automatically và chạy ngay.
Mv /media/DISK_A1/system/etc/init.d/K11openvpn /media/DISK_A1/system/etc/init.d/S11openvpn
/media/DISK_A1/system/etc/init.d/S11openvpn bắt đầu
Bây giờ hãy tạo một nhóm quy tắc cho tường lửa:
Nano /media/DISK_A1/system/etc/firewall.d/fw.sh
Bạn cần sao chép các dòng sau vào tập tin này:
#!/bin/sh
iptables -I TIẾN LÊN 1 --nguồn 10.8.0.0/24 -j CHẤP NHẬN
iptables -I TIẾN LÊN -i br0 -o tun0 -j CHẤP NHẬN
iptables -I TIẾN LÊN -i tun0 -o br0 -j CHẤP NHẬN
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
Sau khi lưu, chúng tôi làm cho tệp có thể khởi chạy và thực thi ngay lập tức:
Chmod +x /media/DISK_A1/system/etc/firewall.d/fw.sh
/media/DISK_A1/system/etc/firewall.d/fw.sh
Đương nhiên, chúng ta cần đăng ký tên DDNS trên bộ định tuyến của mình. Thông tin thêm về việc đăng ký sử dụng DynDNS làm ví dụ được viết trong phần “Thiết lập DDNS”. Thông qua giao diện web của bộ định tuyến, hãy đi tới phần “Internet” → “Tên miền”, bật hộp kiểm “Sử dụng DNS động”, điền vào các trường thích hợp và nhấp vào “Áp dụng”. Nhân tiện, sau khi bật DDNS, bạn cũng sẽ có quyền truy cập vào giao diện web Truyền tải (http://ddns_router_name:rpc-port) và nếu bạn chọn hộp kiểm “Cho phép truy cập từ xa” và chỉ định “cổng TCP của web bộ cấu hình”, sau đó là bộ định tuyến giao diện web. Theo cách tương tự, bạn có thể mở quyền truy cập vào các tệp trên ổ đĩa qua FTP - chọn hộp “Cho phép truy cập từ Internet” trong phần “Ứng dụng USB” → “Máy chủ FTP”.
Trên máy khách (ví dụ: trên máy tính văn phòng hoặc máy tính xách tay), bạn cũng cần cài đặt OpenVPN, đồng thời sao chép khóa static.key mà chúng tôi đã tạo trước đó vào thư mục C:\Program Files\OpenVPN\ easy-rsa\keys\ (tốt, hoặc bất cứ nơi nào thuận tiện cho bạn, chỉ trong cài đặt máy khách, bạn mới cần thay đổi đường dẫn đến nó). Bây giờ, trong thư mục C:\Program Files\OpenVPN\config\, bạn cần tạo một tệp văn bản mới, chèn các dòng sau vào đó và đổi tên nó, chẳng hạn như router.ovpn. Xin lưu ý rằng trong đường dẫn đến tệp secret.key, bạn cần sử dụng dấu gạch chéo kép (\\) chứ không phải dấu gạch chéo đơn (\).
ddns_router_name từ xa
giai điệu phát triển
ifconfig 10.8.0.2 10.8.0.1
bí mật "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\static.key"
comp-lzo
duy trì 10120
ping-timer-rem
kiên trì điều chỉnh
khóa liên tục
tuyến đường 192.168.1.0 255.255.255.0
Nhấp đúp vào tệp ovpn sẽ mở một đường hầm tới bộ định tuyến. Bạn có thể khởi chạy GUI OpenVPN từ menu chính - một biểu tượng sẽ xuất hiện trong vùng thông báo, nhấp đúp vào biểu tượng đó cũng sẽ mở đường hầm. Trong trường hợp này, màu của biểu tượng sẽ chuyển từ đỏ sang xanh. Một cú nhấp đúp khác vào biểu tượng sẽ hiển thị một cửa sổ có nhật ký. Để ngắt kết nối khỏi VPN, hãy nhấp vào nút Ngắt kết nối. Sau khi kết nối, bạn sẽ có thể sử dụng mạng gia đình và chẳng hạn, bạn có thể thiết lập một máy tính để bàn từ xa (xem phần “Thiết lập TightVNC”). Cũng cần đảm bảo rằng địa chỉ trên máy từ xa, trên mạng gia đình và bên trong đường hầm VPN là khác nhau. Trong ví dụ của chúng tôi, chúng tôi đã sử dụng mạng con 10.8.0.0 cho đường hầm và 192.168.1.0 cho mạng gia đình. Nếu cần, hãy điều chỉnh địa chỉ trong tất cả các tập lệnh và tệp cấu hình trong phần này.
Phần kết luận
Hiện tại, có lẽ đây là tất cả các ứng dụng có ý nghĩa để nói đến. Tất nhiên, có các gói khác trong kho lưu trữ, nhưng người dùng gia đình khó có thể muốn cài đặt máy chủ web của mình trên bộ định tuyến, cài đặt Drupal trên đó hoặc chẳng hạn như bận tâm đến các dịch vụ DDNS khác hoặc gắn ổ đĩa khác qua mạng . Tuy nhiên, nếu bạn muốn, việc thiết lập không khó lắm. Suy cho cùng, bạn không bị cấm sử dụng Google hoặc Yandex. Đối với một dự án trẻ, số lượng gói nhỏ như vậy là bình thường. Ngoài ra, danh sách của họ đang dần tăng lên, tuy nhiên, như chính tác giả của zyxel-keenetic-packages thừa nhận, ông không có nhiều thời gian. Vì vậy, những người đam mê sẵn sàng thu thập các gói mới và phát triển dự án rõ ràng là một ý tưởng không tồi. Cuối cùng, một lần nữa chúng tôi khuyên bạn nên làm quen với wiki và diễn đàn, các liên kết được đưa ra ở đầu bài viết. Hãy để tôi nghỉ phép và theo truyền thống chúc các bạn thử nghiệm thành công.
P.S.: Nhân tiện, ZyXel hứa hẹn sẽ sớm phát hành một phần sụn chính thức hoàn toàn mới, theo tin đồn, sẽ chứa rất nhiều thứ ngon.
Để xem các gói đã bắt, bạn phải chọn mục menu Capture\Display dữ liệu đã bắt hoặc nhấn phím F10 hoặc nhấp vào nút tương ứng trên thanh công cụ. Điều này sẽ mở cửa sổ xem gói:
Mỗi dòng trong cửa sổ này tương ứng với một gói đã bắt, các gói được sắp xếp theo thứ tự chúng được bắt (nghĩa là theo thứ tự chúng được truyền qua mạng). Để chuyển sang chế độ xem nội dung của một gói, bạn phải chọn gói đó và nhấn Enter hoặc nhấp đúp vào gói. Điều này sẽ chia cửa sổ thành 3 phần:
Cửa sổ trên cùng vẫn hiển thị tất cả các gói. Cửa sổ ở giữa chứa thông tin chi tiết về gói đã chọn. Dưới cùng – nội dung của gói đã chọn ở dạng thập lục phân.
Cửa sổ trên cùng hiển thị thông tin sau cho mỗi gói:
Khung- Số thứ tự của gói hàng. Bắt đầu từ 1.
Thời gian- Thời gian bắt gói tin. Tham số này có ý nghĩa khác nhau tùy thuộc vào tùy chọn Display\options:
Thời gian tuyệt đối (hệ thống)
Thời lượng chụp gói
Thời gian từ khi kết thúc việc bắt gói tin trước đó đến khi bắt đầu bắt gói tin hiện tại
Địa chỉ MAC Src- MAC - địa chỉ nguồn. Có thể được hiển thị dưới dạng giá trị địa chỉ MAC 6 byte hoặc dưới dạng tên của Bảng địa chỉ màn hình mạng (xem điểm 5)
Địa chỉ MAC Dst- MAC – địa chỉ người nhận. Có thể được hiển thị dưới dạng giá trị địa chỉ MAC 6 byte hoặc dưới dạng tên của Bảng địa chỉ màn hình mạng (xem điểm 5)
Giao thức Giao thức cấp cao hơn là nguồn của gói.
Sự miêu tả Mô tả ngắn gọn nội dung của giao thức
Src Địa chỉ khácĐịa chỉ nguồn ở cấp độ mạng (thường là địa chỉ IP hoặc địa chỉ IPX). Loại được chỉ định trong tham số Type Other Addr.
Dst Địa chỉ khácĐịa chỉ đích ở lớp mạng (thường là địa chỉ IP hoặc địa chỉ IPX). Loại được chỉ định trong tham số Type Other Addr.
Nhập địa chỉ khác Loại địa chỉ mạng (loại giao thức lớp mạng được sử dụng để truyền tải). Xác định loại giá trị của hai trường trước đó.
Cửa sổ giữa là cơ bản và chứa thông tin chi tiết về gói. Bao gồm một số phần. Phần trên cùng - Frame - chứa thông tin chung về gói (không có trong phần thân gói), chẳng hạn như thời gian, số gói và kích thước. Số phần còn lại sẽ phụ thuộc vào số lượng tiêu đề giao thức cấp độ khác nhau, được sử dụng khi hình thành gói, nghĩa là xuất phát từ mục đích của gói và thành phần phần mềm - nguồn của gói. Mỗi phần tương ứng với giao thức riêng của nó, thứ tự của các phần tương ứng với thứ tự của các tiêu đề trong thân gói, nghĩa là thứ tự gói được xử lý. Điều này lần lượt tương ứng với thứ tự của các lớp trong mô hình OSI 7 lớp.
Cửa sổ dưới cùng hiển thị nội dung của thân gói theo ký tự thập lục phân và ASCII. Khi một phần được chọn trong cửa sổ ở giữa, phần gói tương ứng với phần đã chọn sẽ được chọn ở cửa sổ phía dưới.
Bảng địa chỉ Giám sát mạng
Để đơn giản hóa việc đọc thông tin về các gói đã bắt và tạo bộ lọc (xem đoạn 6), mỗi địa chỉ máy tính trên mạng có thể được liên kết với một tên tượng trưng, tên này sẽ được hiển thị trong các trường tương ứng khi xem gói thay vì địa chỉ MAC hoặc cấp độ mạng. địa chỉ máy tính. Thông tin về các tên tượng trưng này và các địa chỉ ánh xạ tới chúng được lưu trữ trong bảng địa chỉ của Network Monitor. Bạn có thể xem và chỉnh sửa bảng địa chỉ bằng cách chọn mục menu Display\Addresses. Bảng địa chỉ trông như thế này:
Các trường chính của bảng địa chỉ là tên tượng trưng, địa chỉ liên quan và loại địa chỉ. Xin lưu ý rằng địa chỉ có thể là vật lý hoặc mạng, do đó, đối với mỗi tên tượng trưng, có thể chỉ định hai địa chỉ thuộc các loại khác nhau.
Bảng địa chỉ được tạo tự động trong quá trình chụp gói. Trong trường hợp này, tên NETBIOS của máy tính được sử dụng làm tên tượng trưng.
Có các mục trong bảng địa chỉ mặc định (được đánh dấu *). Chúng xác định tên cho các địa chỉ lớp vật lý đặc biệt. Ví dụ: đối với các gói quảng bá Ethernet có địa chỉ đích bao gồm các địa chỉ nhị phân (FFFFFFFFFFFF), tên BROADCAST được sử dụng.
Để thêm địa chỉ vào bảng, bạn cần nhấp vào nút Add.., sau đó một hộp thoại sẽ xuất hiện:
Cài đặt bộ lọc chụp gói ( chụp bộ lọc)
Khi giải quyết các vấn đề cụ thể về phân tích lưu lượng mạng, thông thường không cần thiết phải nắm bắt tất cả các gói được truyền qua mạng (số lượng của chúng có thể rất lớn!), mà chỉ một số gói nhất định, tức là các gói thỏa mãn các điều kiện nhất định. Vì mục đích này, các bộ lọc chụp được cài đặt (Bộ lọc chụp - đừng nhầm lẫn với các bộ lọc xem - Bộ lọc hiển thị!). Để xem hoặc thay đổi bộ lọc chụp, hãy chọn menu Capture\Filter. Một cửa sổ sẽ xuất hiện hiển thị bộ lọc hiện tại:
Có thể lọc các gói đã bắt được dựa trên các tiêu chí sau:
Loại giao thức. Để xác định tiêu chí này, bạn phải nhấp đúp vào dòng SAP/ETYPE = ... Một hộp thoại sẽ xuất hiện cho phép bạn cho phép hoặc vô hiệu hóa việc chụp các gói của một giao thức cụ thể. Theo mặc định, tất cả các giao thức đều được bật để chụp (Giao thức đã bật):
Địa chỉ máy tính. Để xác định tiêu chí này, bạn phải nhấp đúp vào dòng Cặp địa chỉ. Một hộp thoại sẽ xuất hiện cho phép bạn xác định các cặp địa chỉ giữa các gói sẽ được ghi lại khi truyền đi. Ngoài ra, bạn có thể xác định hướng truyền các gói tin đã bắt được (Direction) - hai chiều hoặc chỉ theo hướng từ địa chỉ này sang địa chỉ khác. Tên *ANY khớp với bất kỳ địa chỉ nào thuộc bất kỳ loại nào. Theo mặc định, tiêu chí này được cấu hình để bắt tất cả các gói theo mọi hướng (BẤT KỲ<->BẤT KÌ).
Mẫu khớp của trường gói. Cho phép bạn chụp các gói có nội dung khớp với mẫu. Mẫu này là dữ liệu nhị phân (Hex) hoặc chuỗi ký tự (ASCII) và độ lệch byte từ đầu khung. Một gói sẽ bị bắt nếu nội dung của nó ở offset được chỉ định khớp với chuỗi dữ liệu nhị phân hoặc ký tự được chỉ định. Theo mặc định, không có mẫu nào được chỉ định, nghĩa là tất cả các gói đều khớp với mẫu đó.
Tất cả ba tiêu chí được mô tả ở trên được kết hợp bằng mạch logic “AND”. Điều này có nghĩa là một gói sẽ được bắt nếu nó đáp ứng cả ba tiêu chí. Đối với tiêu chí Khớp mẫu, một số điều kiện có thể được chỉ định, kết hợp thành một biểu thức logic. Ví dụ: bộ lọc sau được thiết kế để chụp các gói chứa dữ liệu được chỉ định ở offset 0x30 hoặc dữ liệu được chỉ định ở offset 0x50 và không chứa dữ liệu được chỉ định ở offset 0x4.
6.3. Trình tự công việc
1. Tại dòng lệnh, chạy lệnh ipconfig /all. Xem và ghi lại tên, địa chỉ MAC (địa chỉ vật lý) và địa chỉ IP của máy tính của bạn.
2. Chọn giao diện để chụp gói trong menu Capture/Networks.
3. Tạo bộ lọc được thiết kế để nắm bắt các gói được truyền giữa máy tính của bạn và tất cả các máy tính khác trên mạng theo cả hai hướng. Khi chọn địa chỉ máy tính của bạn từ bảng địa chỉ, bạn phải chỉ định tên LOCAL tương ứng với địa chỉ vật lý của máy tính. Lưu bộ lọc vào một tệp có tên khớp với tên người dùng của bạn với chỉ mục 1 (ví dụ: 281san1.cf).
4. Sử dụng bộ lọc đã tạo, thu thập một số lượng nhỏ gói (100-200). Trong trường hợp này, sau khi bắt đầu chụp gói, bạn cần bắt đầu hoạt động mạng của máy tính - ví dụ: khởi chạy trình duyệt Internet, trình duyệt để xem môi trường mạng, truy cập ổ đĩa mạng.
5. Chuyển sang chế độ xem các gói tin đã bắt được.
6. Trong tổng số gói (trừ gói đầu tiên và gói cuối cùng), chọn một số gói có cấu trúc khác nhau (ít nhất là 3). Trong cửa sổ xem ở giữa, hãy mở phần Khung và Ethernet và xem nội dung của các trường.
7. Viết và sắp xếp vào bảng các thông tin sau về gói hàng:
§ Địa chỉ Nguồn MAC
§ Địa chỉ MAC đích
§ Loại giao thức cấp trên (Loại Ethernet)
§ Tổng chiều dài khung hình
§ Kích thước của trường dữ liệu gói Ethernet (Số byte dữ liệu còn lại)
§ Thứ tự lồng giao thức. Ví dụ: đối với gói Ethernet,IP,TCP,NBT được xem xét ở trên
9. Tạo bộ lọc để bắt các gói không chứa gói IP. Để thực hiện việc này, trong cửa sổ bộ lọc Capture, chọn dòng SAP/ETYPE và nhấp vào nút Chỉnh sửa.
Tắt tính năng chụp gói IP và nhấp vào OK.
10. Chụp gói (chụp ít nhất 3 gói), lặp lại bước 7.
6.4. Câu hỏi kiểm soát
1. Có thể chụp một gói bằng Network Monitor nếu cả địa chỉ MAC nguồn và địa chỉ MAC đích đều không phải là địa chỉ MAC của máy tính mà gói tin đang được chụp? Giải thích.
2. Địa chỉ MAC là gì?
3. Địa chỉ mạng là gì?
4. Cung cấp mô tả ngắn gọn về thuật toán truyền gói tin qua mạng Ethernet.
5. Tiêu đề khung Ethernet bao gồm những trường nào?
6. Tiêu đề khung Ethernet có kích thước bao nhiêu?
7. Sau khi quá trình chụp hoàn tất, các chỉ báo Thống kê mạng – khung và Thống kê đã chụp – khung có cùng giá trị. Có thể rút ra kết luận gì?
8. Đóng gói gói ở các cấp độ khác nhau là gì?
Phòng thí nghiệm 7. Thành phần của ngăn xếp giao thức TCP/IP. Nghiên cứu các giao thức ARP, IP, ICMP.
7.1. Giới thiệu
Ngăn xếp giao thức TCP/IP hiện là phương tiện phổ biến nhất để tổ chức các mạng tổng hợp. Mạng Internet toàn cầu được tổ chức trên cơ sở chồng giao thức này. Do đó, qua ví dụ về ngăn xếp này, nên nghiên cứu các công cụ cấp độ mạng. Phòng thí nghiệm này cung cấp mô tả ngắn gọn về ngăn xếp TCP/IP, mục đích và chức năng của Giao thức kết nối mạng IP, Giao thức phân giải địa chỉ ARP và Giao thức thông báo điều khiển ICMP trên Internet.
7.2. Đặc điểm chung của ngăn xếp giao thức TCP/IP
Có 4 lớp được xác định trong ngăn xếp TCP/IP. Mỗi cấp độ này chịu một số trách nhiệm trong việc giải quyết nhiệm vụ chính - tổ chức một môi trường đáng tin cậy và
hoạt động hiệu quả của một mạng tổng hợp, các bộ phận của mạng này được xây dựng trên cơ sở các công nghệ mạng khác nhau.
Thế hệ thứ hai của các trung tâm Internet Zyxel Keenetic xuất hiện trên thị trường hai năm trước và bắt đầu với ba mô hình cấp trên và cấp trung. Sau đó, năm thiết bị khác được tham gia cùng với chúng và hiện có hơn chục sửa đổi trong loạt sản phẩm này. Hơn nữa, những sản phẩm mới nhất không còn bổ sung nữa mà thay thế các thiết bị đã phát hành trước đó.
Từ góc nhìn của nền tảng phần cứng, Zyxel Keenetic Omni II và Keenetic Lite III không khác biệt gì so với những người tiền nhiệm. Chúng cũng dựa trên SoC MediaTek MT7620N, được trang bị bộ nhớ flash 8 MB và RAM 64 MB, cổng có dây 100 Mbps và điểm truy cập 802.11b/g/n băng tần đơn 300 Mbps. Mẫu Omni II có cổng USB 2.0, cổng mà Lite III thiếu, nhưng cổng sau có công tắc chế độ phần cứng. Trong số những khác biệt bên ngoài, bạn có thể nhận thấy thiết kế của vỏ và bao bì đã thay đổi, tất nhiên, đây không phải là lý do để cập nhật.
Các thiết bị này cao hơn một bước so với phiên bản đơn giản nhất của Keenetic Start. Keenetic 4G III không khác gì về phần cứng, cho phép bạn chỉ sử dụng cổng USB cho modem. Vì vậy, thông tin trong tài liệu này có thể được quy cho anh ta một cách an toàn. Tóm tắt các đặc điểm, chúng ta có thể nói rằng Lite III là mẫu cơ bản dành cho những người không cần cổng USB và Omni II sẽ được những người dự định sử dụng không chỉ modem mà còn cả ổ đĩa quan tâm. Lưu ý rằng sự hiện diện của cổng USB vẫn mở rộng đáng kể phạm vi tác vụ mà bộ định tuyến có thể giải quyết.
Việc phát hành các sản phẩm mới trùng với một bản cập nhật lớn của chương trình cơ sở, hệ điều hành đã nhận được nhân mới, điều này ảnh hưởng đáng kể đến toàn bộ chương trình cơ sở và cần nỗ lực đáng kể để triển khai. Tại thời điểm viết bài, kernel mới cũng đã được sử dụng trong các phiên bản beta dành cho mẫu Viva và Extra. Theo kế hoạch, tất cả các thiết bị thế hệ hiện tại sẽ nhận được các bản cập nhật tương tự.
Nội dung giao hàng
Ở thế hệ mẫu mã đang được đánh giá, nhà sản xuất đã thay đổi một chút thiết kế của vỏ ngoài của hộp các tông và sử dụng màu cam sáng ở các đầu. Phần còn lại có một chút thay đổi - một bức ảnh lớn của thiết bị ở mặt trước, thông số kỹ thuật chi tiết, bộ giao hàng cũng như mô tả về các khả năng và trường hợp sử dụng ở mặt sau. Hơn nữa, tất cả các văn bản đều được bản địa hóa hoàn toàn.
Hình ảnh smartphone và logo các cửa hàng ứng dụng di động thu hút sự chú ý. Rõ ràng công ty đã quyết định noi gương các nhà sản xuất khác và phát hành một tiện ích chuyên dụng để định cấu hình bộ định tuyến. Thật khó để nói mức độ thực sự của chức năng này trong thực tế; phần lớn sẽ phụ thuộc vào chất lượng và khả năng của chương trình. Nhưng với việc sử dụng rộng rãi các thiết bị di động, nó có thể tỏ ra hữu ích. Chúng tôi chắc chắn sẽ làm quen với cô ấy trong phần thích hợp.
Gói phân phối các bộ định tuyến trong phân khúc này đã không thay đổi trong một thời gian dài và những mẫu này cũng không ngoại lệ - bộ định tuyến, bộ nguồn chuyển mạch nhỏ gọn bên ngoài (9 V 0,6 A cho Lite III và 12 V 1 A cho Omni II), một dây nối mạng, một cuốn sách hướng dẫn sử dụng khá đồ sộ, thẻ bảo hành và một tờ rơi nhỏ mô tả một số sản phẩm của công ty.
Vẻ bề ngoài
Các thiết bị này nhận được cùng một lớp vỏ, tuy nhiên, khác với các thế hệ trước. Đặc biệt, các ăng-ten không thể tháo rời hiện được đặt ở hai đầu bên, do đó bộ định tuyến không thể đặt nằm nghiêng được nữa.
Kích thước của vỏ đã giảm một chút và là 140x103x30 mm không bao gồm cáp và ăng-ten. Nhựa màu đen được sử dụng lại. Đồng thời, mặt dưới được để bóng, các mặt được làm mờ, và ở mặt trên, chúng ta thấy một họa tiết quen thuộc với các gợn sóng và độ bóng chiếm ưu thế.
Ở phía dưới của thiết bị có hai chân cao su và hai lỗ để gắn tường với các đầu nối hướng xuống dưới. Có lưới thông gió ở hai đầu bên. Mẫu Keenetic Lite III có nút reset ẩn ở bên trái. Omni II có thêm cổng USB 2.0 và nút đa chức năng. Trên bảng trên cùng của bộ định tuyến có một nút lớn và thuận tiện để kết nối máy khách bằng công nghệ WPS và vô hiệu hóa điểm truy cập. Hãy để chúng tôi nhắc bạn rằng chức năng của các nút có thể được thay đổi trong cài đặt.
Ở phía sau có năm cổng mạng và đầu vào nguồn điện bằng một nút bấm. Keneetic Lite III còn có thêm công tắc chuyển đổi chế độ hoạt động phần cứng - main, adapter, amply, access point. Hiện tại không có ăng-ten ở đây nên không gặp khó khăn gì khi kết nối cáp hoặc truy cập vào công tắc.
Ăng-ten không thể tháo rời được lắp đặt ở hai đầu bên. Cơ chế xoay vòng của chúng có vẻ đáng tin cậy hơn so với những triển khai trước đó. Chiều dài của ăng-ten hơn 15 cm, hình dạng và thiết kế của vỏ bên ngoài cũng có một chút thay đổi và trở nên thú vị hơn. Tất nhiên, điều này không ảnh hưởng đến tốc độ, nhưng nó vẫn rất tốt.
Các chỉ báo hoạt động của bộ định tuyến được đặt ở mặt trước. Chúng có ánh sáng xanh lục, cung cấp khá nhiều thông tin và không gây khó chịu khi chớp mắt thường xuyên. Nhưng khi gắn lên tường, chúng có thể không được nhìn thấy.
Ngoại trừ việc tiếp tục sử dụng độ bóng, không có bình luận nào về thiết kế của sản phẩm mới.
Cấu hình phần cứng
Về cấu hình phần cứng, các model không khác biệt so với người tiền nhiệm. Chúng dựa trên nền tảng MediaTek MT7620N phổ biến, được trang bị bộ nhớ flash 8 MB, RAM 64 MB, có bộ phận vô tuyến được tích hợp trong bộ xử lý hỗ trợ mạng 802.11b/n/g ở băng tần 2,4 GHz với tốc độ tối đa tốc độ kết nối 300 Mbit/s và một bộ chuyển mạng trên năm cổng Fast Ethernet 100 Mbps có dây. Điều đáng chú ý là phiên bản bộ xử lý 0206 được sử dụng ở đây.
Mẫu Omni II có cổng USB 2.0 và một nút bổ sung, trong khi Lite III nổi bật nhờ sử dụng nút chuyển chế độ vận hành phần cứng. Xin lưu ý rằng chế độ hoạt động của thiết bị này không thể thay đổi thông qua giao diện web. Đồng thời, model lưu bốn bộ cài đặt độc lập (một bộ cho mỗi chế độ) và có thể nhanh chóng chuyển đổi giữa chúng.
Các tính năng và khả năng của phần sụn
Các sản phẩm thuộc dòng Keenetic hiện tại có phần sụn hợp nhất NDMS2, phần mềm này chúng tôi đã mô tả nhiều lần trong các ấn phẩm của mình. Sự khác biệt có thể bao gồm các cấu hình phần cứng khác nhau, chẳng hạn như sự hiện diện của cổng USB hoặc đài băng tần kép hoặc tính khả dụng của một số gói nhất định. Vì vậy, hầu hết các thông tin bổ sung có thể được áp dụng cho các giải pháp khác trong loạt bài này.
Khi bật lần đầu tiên, thiết bị sẽ tự động cung cấp hỗ trợ người dùng trong việc thiết lập quyền truy cập Internet và các cài đặt cơ bản khác. Điều này sử dụng cơ sở dữ liệu nhà cung cấp tích hợp, giúp đơn giản hóa quy trình rất nhiều. Cũng có thể khởi chạy trợ lý từ giao diện web. Sau khi hoàn thành trình hướng dẫn, bộ định tuyến sẽ kiểm tra độc lập chức năng của kết nối mạng và tính khả dụng của các bản cập nhật chương trình cơ sở và sau khi có sự cho phép của người dùng, nó có thể cài đặt chúng.
Thiết kế giao diện web của thiết bị có thể coi là khá tiện lợi, mặc dù tất nhiên sự phong phú của các tùy chọn có thể hơi khó hiểu nếu bạn chưa quen. Điều đáng chú ý là nó trông đẹp trên màn hình có độ phân giải thấp, điều này ngày càng trở nên hiếm. Không có nhận xét nào về khả năng phản hồi của giao diện cũng như bản dịch. Trong trường hợp này, đáng để coi tiếng Nga là ngôn ngữ chính và tiếng Anh là ngôn ngữ bổ sung. Hãy để chúng tôi nhắc bạn một lần nữa rằng phần sụn cho dòng sản phẩm này được tạo ra bởi các nhà phát triển trong nước.
So với nhiều bộ định tuyến khác trên thị trường, các sản phẩm được đề cập có một số điểm khác biệt về phần mềm. Đặc biệt, ngoài việc hỗ trợ kết nối IPoE, PPPoE, PPTP và L2TP, bạn có thể sử dụng chế độ máy khách Wi-Fi, modem USB (trong bộ định tuyến có cổng USB), 802.1x và trình ủy quyền CABiNET để kết nối Internet.
Hỗ trợ cấu hình đồng thời nhiều tùy chọn kết nối khác nhau, bao gồm sử dụng một số cổng có dây, để thực hiện chức năng dự phòng. Việc sử dụng hiệu quả của nó được hỗ trợ bởi mô-đun Ping Check, cho phép bạn giám sát hiệu suất của các kênh liên lạc. Chúng tôi cũng lưu ý khả năng buộc phải tắt nguồn cổng USB ở chế độ thủ công hoặc tự động, điều này làm tăng độ tin cậy khi làm việc với modem USB. Danh sách tương thích chứa nhiều mẫu hiện đại, bao gồm cả những mẫu được thiết kế cho mạng thế hệ thứ tư.
Nếu địa chỉ do nhà cung cấp cấp không phải là địa chỉ cố định, bạn có thể sử dụng các máy khách DNS động, bao gồm cả DNS chính trong nước. Quyền truy cập vào các dịch vụ mạng cục bộ được cung cấp bằng cách định cấu hình quy tắc dịch địa chỉ và hỗ trợ UPnP. Có thể đạt được mức độ bảo vệ bổ sung cho người dùng, đặc biệt là thiết bị di động của họ nhờ sự hỗ trợ của các dịch vụ SkyDNS và Yandex.DNS. Lưu ý rằng giờ đây họ có thể sử dụng việc gán hồ sơ riêng lẻ cho khách hàng để sử dụng máy chủ DNS từ nhà cung cấp.
Trong nhóm “Mạng gia đình”, bạn có thể thay đổi địa chỉ cục bộ của bộ định tuyến và cũng có thể định cấu hình máy chủ DHCP. Trong trường hợp này, bạn có thể tạo một số phân đoạn mạng, chia chúng theo dải địa chỉ IP. Đặc biệt, tính năng này được sử dụng để duy trì mạng không dây dành cho khách. Tại đây bạn cũng có thể định cấu hình chuyển tiếp DHCP và tắt NAT.
Để hoạt động với IPTV, giao thức IGMP, phân bổ cổng cho hộp giải mã tín hiệu, công nghệ Vlan được hỗ trợ và cũng có máy chủ udpxy tích hợp.
Cài đặt điểm truy cập không dây là tiêu chuẩn. Có thể lựa chọn tên mạng, chế độ bảo vệ, số kênh và độ rộng, quốc gia, tiêu chuẩn và cường độ tín hiệu. Xin lưu ý rằng cài đặt gốc của thiết bị bao gồm tên mạng và mật khẩu riêng được ghi trên nhãn dán. Chúng tôi không quên bộ lọc địa chỉ MAC, WPS và việc triển khai mạng không dây dành cho khách. Lưu ý việc thiếu lập lịch và hỗ trợ xác thực qua máy chủ RADIUS.
Ngoài các dịch vụ được đề cập ở trên để lọc các yêu cầu DNS, bộ định tuyến còn có bộ lọc có thể lập trình cho các gói đến, các bảng được lập trình riêng cho từng giao diện (bao gồm cả các giao diện cục bộ).
Các gói quan tâm bổ sung bao gồm máy chủ VPN (PPTP), ALG cho một số giao thức phổ biến, IPv6, mô-đun chụp gói, hỗ trợ hệ thống tệp NTFS và HFS +, nhận dạng người dùng để truy cập tệp mạng, hệ thống tải xuống tệp truyền, máy chủ DLNA, hỗ trợ một số USB nhất định mô hình -modem. Nhiều trong số chúng chỉ phù hợp với các mẫu có cổng USB, nhưng đặc biệt, Lite III còn có máy chủ VPN. Lưu ý rằng các máy khách VPN có trong chương trình cơ sở cũng có thể được sử dụng để kết nối với các mạng từ xa chứ không chỉ với Internet.
Các thiết bị này có các công cụ giám sát và chẩn đoán tiên tiến, cho phép hỗ trợ kỹ thuật giải quyết các vấn đề có thể xảy ra hiệu quả hơn. Ngoài trang trạng thái mở rộng, nơi bạn có thể tìm thấy thông tin về kết nối, lưu lượng hiện tại cũng như tải bộ xử lý và RAM, bạn có thể xem bảng định tuyến, danh sách máy khách mạng cục bộ, kết nối hoạt động của chúng, dữ liệu về thiết bị không dây ( bao gồm tốc độ kết nối), ổ USB và máy khách VPN.
Nhật ký sự kiện hệ thống được lưu trữ trên thiết bị hoặc có thể được gửi đến máy chủ nhật ký hệ thống bên ngoài. Không có chức năng đặc biệt nào để tìm kiếm hoặc cài đặt bộ lọc trong đó. Không có thông tin gửi qua email. Những lợi thế bao gồm mức độ chi tiết cao của các sự kiện.
Các thông số hệ thống bao gồm cài đặt thời gian, đặt lại cấu hình, khởi động lại, cập nhật chương trình cơ sở và cài đặt các thành phần. Nó cũng cung cấp khả năng chọn chế độ vận hành của thiết bị (ngoại trừ Lite III), cài đặt hoạt động của các nút trên vỏ, làm việc với các tệp hệ thống (cấu hình, nhật ký và chương trình cơ sở), lập trình cho người dùng và cho biết quyền của họ đối với các dịch vụ.
Lưu ý rằng hiện tại, các chế độ vận hành sử dụng các bộ cài đặt riêng lẻ và trên Lite III, chúng có thể được thay đổi bằng công tắc phần cứng.
Trong một số trường hợp, khi liên hệ với bộ phận hỗ trợ kỹ thuật, khả năng tạo báo cáo mở rộng về hoạt động của thiết bị và mô-đun chụp gói mạng có thể hữu ích.
Cổng USB của dòng Keenetic dùng để kết nối ổ đĩa, modem và máy in. Trong trường hợp đầu tiên, bạn có thể sử dụng các thiết bị có nhiều phân vùng và danh sách các hệ thống tệp tương thích bao gồm tất cả các tùy chọn phổ biến hiện nay, bao gồm FAT32, NTFS, EXT2, EXT3 và HFS+. Ngoài khả năng truy cập qua giao thức SMB và FTP (bao gồm cả qua Internet), ổ đĩa có thể được sử dụng để tải xuống tệp ngoại tuyến và phát nội dung đa phương tiện tới máy thu DLNA.
Tại thời điểm viết bài, danh sách chính thức về khả năng tương thích của máy in bao gồm gần năm trăm kiểu máy. Tùy thuộc vào kiểu máy, tính năng in qua mạng Windows hoặc sử dụng cổng mạng có thể được hỗ trợ. Ngoại trừ in ấn, khả năng MFP không được hỗ trợ.
Nhà sản xuất cũng rất chú trọng đến việc làm việc với modem cho mạng di động - danh sách tương thích bao gồm khoảng 40 mẫu 4G và hơn 80 mẫu 2G GSM/3G UMTS, không tính các tùy chọn cho mạng 3G CDMA. Hơn nữa, công việc với các thiết bị hiện đại được thực hiện ở chế độ hiệu quả nhất, cho phép bạn đạt được tốc độ cao.
Như đã đề cập ở trên, nhà sản xuất đã giới thiệu tiện ích Keenetic NetFriend đặc biệt dành cho thiết bị di động dựa trên Android và iOS để cấu hình ban đầu cho bộ định tuyến.
Nó có hướng dẫn tương tác tích hợp, sử dụng mã QR trên vỏ để kết nối với mạng không dây của bộ định tuyến, có chức năng định vị để lọc danh sách các nhà cung cấp tích hợp theo địa phương và khả năng định cấu hình các tham số theo cách thủ công. Thật đáng tiếc khi phiên bản hiện tại không hỗ trợ thiết lập IPTV, thay đổi cài đặt Wi-Fi và không có chức năng giám sát và chẩn đoán. Mặt khác, IPTV trong nhiều trường hợp sẽ hoạt động tốt và mạng không dây đã được cấu hình ở chế độ được bảo vệ. Vì vậy, ngay cả ở dạng hiện tại, chương trình vẫn có thể hữu ích cho người dùng mới làm quen.
Hiệu suất
Các bộ định tuyến đang được xem xét chỉ khác nhau ở khả năng liên quan đến sự hiện diện của cổng USB. Vì vậy, về mặt chính thức, có thể không kiểm tra hiệu suất trong các tác vụ định tuyến và truy cập không dây của cả hai mô hình, nhưng chúng tôi vẫn làm điều đó, mặc dù chúng tôi không mong đợi sự khác biệt lớn. Thử nghiệm được thực hiện trên băng ghế tiêu chuẩn của chúng tôi bằng cách sử dụng điểm chuẩn tổng hợp.
Nếu bạn theo dõi các ấn phẩm của chúng tôi, bạn có thể nhớ rằng khi thử nghiệm phiên bản tiền nhiệm của nó, chúng tôi không có nhận xét nào về tốc độ định tuyến. Các sản phẩm mới, bất chấp lý do cập nhật chương trình cơ sở và tất cả các mô-đun nêu trên, thậm chí còn hoạt động tốt hơn một chút trong các thử nghiệm song công hoàn toàn. Vì vậy, các mô hình đang được xem xét có thể được khuyến nghị một cách an toàn để hoạt động ở tốc độ lên tới 100 Mbit/s với bất kỳ loại kết nối Internet nào.
Hiệu quả làm việc với mạng cục bộ của nhà cung cấp cũng được duy trì, như có thể thấy từ cặp biểu đồ tiếp theo.
Như chúng tôi đã viết trước đó, các mô hình cấp trung này đã nhận được phần sụn hiện tại triển khai máy chủ VPN hoạt động bằng giao thức PPTP. Điều này cho phép bạn tổ chức kết nối từ xa an toàn với mạng gia đình của mình và một số tình huống hữu ích khác. Để kiểm tra hiệu suất ở chế độ này, chúng tôi đã sử dụng kết nối với bộ định tuyến từ một máy tính nằm ở phân đoạn bên ngoài của mạng bằng máy khách Windows tiêu chuẩn. Các biểu đồ hiển thị các chỉ số tính trung bình trong ba kịch bản (tiếp nhận, truyền tải và thu và truyền đồng thời, tất cả đều ở tám luồng).
Khi làm việc mà không mã hóa, bạn có thể nhận được từ 75 đến 100 Mbit/s trong tác vụ này. Sử dụng MPPE128 giảm tốc độ xuống 30-40 Mbit/s. Như chúng ta có thể thấy, việc triển khai dịch vụ này trên các thiết bị ở cấp độ được xem xét là hoàn toàn có ý nghĩa.
Điểm truy cập không dây được tích hợp trong bộ định tuyến hoạt động với tốc độ kết nối tối đa 300 Mbit/s. Tuy nhiên, hiệu suất trong trường hợp này có thể sẽ bị hạn chế bởi các cổng có dây chỉ được đánh giá ở tốc độ 100 Mbps. Các bộ định tuyến được cấu hình để có hiệu suất tối đa với kênh 40 MHz và mã hóa WPA2-PSK. Thử nghiệm đã sử dụng bộ điều hợp TP-Link TL-WDN4800 (802.11n, 2,4 và 5 GHz, tốc độ lên tới 450 Mbit/s) và hai tùy chọn để đặt một máy tính với nó - tầm nhìn bốn mét và bốn mét xuyên qua một đường không bức tường cố định. Điểm được sử dụng trước đây ở độ cao 8 mét xuyên qua hai bức tường không cố định đã bị loại khỏi danh sách do có sự can thiệp mạnh từ một số lượng lớn các thiết bị lân cận trong phạm vi 2,4 GHz.
Và trong nhóm thử nghiệm này, chúng tôi thấy kết quả mong đợi - khoảng 90 Mbit/s cho tốc độ thu hoặc truyền tối đa, và cũng cao hơn khoảng một lần rưỡi đối với chế độ song công hoàn toàn. Lưu ý rằng tùy chọn vị trí thứ hai có thể hiển thị kết quả tốt hơn do khoảng cách của khách hàng với trung tâm ngôi nhà và các mạng lân cận lớn hơn.
Thử nghiệm cuối cùng chỉ áp dụng cho mẫu Omni II vì nó có cổng USB 2.0 hỗ trợ lưu trữ. Tốc độ đọc và ghi vào đĩa được kết nối với hệ thống tệp NTFS, FAT32, EXT3 và HFS+ của một tệp lớn sử dụng giao thức SMB và FTP đã được kiểm tra.
Trong thử nghiệm này, giống như thử nghiệm trước, giới hạn là cổng có dây 100 Mbit/s của thiết bị. Vì vậy, hiệu suất tối đa là khoảng 10 MB/s. Thật khó để gọi tùy chọn này là một ổ đĩa mạng chính thức, nhưng nó chắc chắn phù hợp để sao lưu một lượng nhỏ dữ liệu, xem video HD trên TV và tạo máy chủ FTP. Chúng tôi cũng lưu ý rằng trong thử nghiệm này, sản phẩm mới hoạt động nhanh hơn sản phẩm tiền nhiệm.
kết luận
Các mô hình cập nhật của trung tâm Internet Zyxel Keenetic Omni II và Keenetic Lite III, giống như các trung tâm tiền nhiệm, đã để lại ấn tượng rất dễ chịu. Các thiết bị này dựa trên nền tảng MediaTek, rất phù hợp với phân khúc phổ thông và có các đặc tính kỹ thuật tối ưu - cổng mạng có dây 100 Mbit/s và điểm truy cập không dây 300 Mbit/s. Mẫu Omni II được phân biệt bởi sự hiện diện của cổng USB, cho phép bạn thực hiện nhiều tình huống bổ sung và Lite III thú vị với nút chuyển chế độ phần cứng. Chúng tôi cũng xin nhắc bạn về sự hiện diện trong dòng giải pháp Keenetic 4G III, có đặc điểm tương tự như các thiết bị này.
Về phần mềm tích hợp, bạn có thể thấy nhà sản xuất thậm chí còn chú trọng đến nó hơn là nền tảng phần cứng. Cập nhật thường xuyên cho toàn bộ dây chuyền không chỉ cho phép cải thiện khả năng tương thích với dịch vụ của các nhà cung cấp trong nước và mở rộng phạm vi chức năng và khả năng mà còn tăng năng suất. Đối với một số loại người dùng, nhược điểm ở đây có thể là tính chất đóng của phần sụn và không có khả năng thêm các mô-đun phần mềm của riêng họ. Đồng thời, không thể cài đặt các thiết bị được thảo luận trong bài viết này bằng chương trình thế hệ trước vẫn giữ được tính năng này.
Không có bình luận nào về tốc độ hoạt động của các mô hình được xem xét. Chúng có thể được sử dụng mà không có bất kỳ sự thỏa hiệp nào với tất cả các gói cước và tùy chọn kết nối trên các kênh có tốc độ lên tới 100 Mbit/s. Thử nghiệm cho thấy cổng có dây thường là một hạn chế trong trường hợp này. Tuy nhiên, đừng quên rằng các thiết bị gigabit thường đắt hơn đáng kể.
Việc di chuyển ăng-ten sang các đầu bên giúp giảm bớt tấm bảng phía sau. Một điểm cộng nữa là các nút có thể lập trình lại trên vỏ và khả năng gắn bộ định tuyến lên tường. Nhược điểm truyền thống là sử dụng độ bóng.
Số lượng kết xuất lớn nhất hiện được ghi lại bằng cổng SPAN. Bây giờ chúng ta đã biết nhiều về SPAN (từ bài viết trước), đã đến lúc tìm hiểu về các thiết bị TAP - chúng nên được sử dụng khi nào và như thế nào để ghi kết xuất và thậm chí chúng là gì.
TAR là viết tắt của “ Tước tính MỘT truy cập P hay lắm". ( Trong tiếng Nga, một thiết bị như vậy được gọi là “ khớp nối giao thông" Tuy nhiên, để thuận tiện, tôi thích sử dụng cả hai tùy chọn - cả TAR viết tắt tiếng Anh và phiên bản tiếng Nga - khoảng. dịch.) Mục đích của TAP là cung cấp cho bạn quyền truy cập vào lưu lượng truy cập đi qua một kênh liên lạc cụ thể.
Khi nắm bắt lưu lượng truy cập, việc sử dụng TAP đúng cách là con đường trực tiếp để có được kết xuất chính xác và đáng tin cậy nhất. Hãy chú ý đến từ “đúng”! Vâng, đó chính xác là điều tôi muốn nói - ngay cả với TAP bạn cũng có thể nhận được kết quả không chính xác nếu sử dụng không đúng cách. Đương nhiên, chúng tôi sẽ xem xét những điểm này, nhưng bây giờ chúng ta hãy xem chi tiết hơn một chút về thiết bị này là gì và cách sử dụng nó.
Bạn sẽ không sai nếu coi bộ ghép nối như một chiếc hộp nhỏ vừa với đầu cáp và cung cấp quyền truy cập vào dữ liệu đi qua nó. Chắc chắn bạn đã từng nghe đến thuật ngữ “người đàn ông ở giữa” (hay còn gọi là “Người đàn ông ở giữa”) - đây chính xác là những gì TAP làm và ở cấp độ vật lý (Lớp 1). “Cài đặt trong một khoảng trống” có nghĩa chính xác là quá trình vật lý - bạn rút cáp từ một cổng, chẳng hạn như công tắc, cắm nó vào TAP và sử dụng cáp bổ sung thứ hai (đừng quên mang theo bên mình!) để kết nối TAP với nút cuối của mạng.
Nhân tiện, cáp bổ sung thứ hai phải là cáp “đảo ngược”, nhưng gần đây, điều này ngày càng trở nên ít cần thiết hơn, vì còn rất ít thiết bị mạng không thể tự mình xử lý vấn đề này (chức năng Auto MDI-X) . Do đó, cáp trực tiếp cũng sẽ hoạt động tốt trong hầu hết các trường hợp.
Làm việc với TAP/bộ chia
Hãy xem cách sử dụng TAP trong trường hợp chung nhất. Ngay từ đầu, nếu bắt đầu chọn loại vòi mà mình cần, bạn sẽ thấy rằng có nhiều loại khác nhau dành cho các cơ sở hạ tầng mạng khác nhau. Sự lựa chọn đầu tiên bạn cần thực hiện là quang học hoặc đồng. Bộ ghép quang thường được gọi là " bộ chia“. Chức năng TAP có thể khá phong phú và phức tạp, vì vậy việc chọn một mô hình cụ thể có thể mất nhiều thời gian và công sức, đặc biệt nếu bạn không có đủ kinh nghiệm và kiến thức về chính xác những gì cần tìm kiếm. Nhưng đừng lo lắng—tôi sẽ giải quyết vấn đề đó trong bài viết hiện tại. Vì vậy, trước tiên, hãy xem tất cả các TAP có điểm gì chung, bất kể loại nào.
Ngắt kết nối/kết nối mạng
Vòi phải được cài đặt khi ngắt liên kết vật lý (trừ khi chúng ta đang nói về “TAP ảo”, mà một số nhà cung cấp phát triển để sử dụng trong môi trường ảo, nhưng đây là một tên tiếp thị nhiều hơn, ở mức độ lớn hơn hoặc thấp hơn). Cài đặt trong khoảng trống có nghĩa là bạn sẽ phải trải qua ít nhất một chu kỳ gián đoạn liên kết. Để tắt TAR sau khi chụp, bạn sẽ phải thực hiện chu trình tương tự thứ hai. Nhân tiện, lần đứt liên kết thứ hai là một trong những lý do khiến tôi liên tục phải mua các bộ ghép nối mới cho mình: đôi khi, khách hàng của tôi chỉ thích mua TAP của tôi và để nguyên cài đặt mà không cần tháo nó ra sau khi kết thúc thời gian sử dụng. phân tích. Như vậy, tránh được việc phải đứt liên kết lần nữa (đồng thời có cơ hội được theo dõi liên tục).
Khuyên bảo: nếu bạn thuộc nhóm kỹ sư mạng thiết kế trung tâm dữ liệu, thêm TAP ở giai đoạn thiết kế và cài đặt ban đầu– rất thường xuyên đây là cách duy nhất để chạm vào liên kết xương sống, bởi vì với sự đảm bảo 100% sẽ không ai cho phép bạn cài đặt nó sau này, phá vỡ một liên kết quan trọng và bận rộn mà qua đó rất nhiều dữ liệu liên tục chảy qua. Chi phí của TAP trong trường hợp này sẽ thấp hơn nhiều so với chi phí của các thiết bị chuyển mạch và bộ định tuyến cao cấp, đồng thời nó sẽ rất hữu ích khi cần khắc phục sự cố. Và nếu bạn chọn một thương hiệu đáng tin cậy, có uy tín, bạn sẽ không phải lo lắng về một điểm hỏng hóc bổ sung trong hệ thống - các vòi của đơn hàng này có nguồn điện dự phòng, cũng như bảo vệ trong trường hợp mất điện khẩn cấp ( chế độ bỏ qua tự động). Đối với tôi, không có gì nói lên nhiều về tính chuyên nghiệp của nhóm kỹ thuật mạng hơn khi tôi thấy một số vòi chuyên nghiệp tại chỗ đã được cài đặt ở những điểm quan trọng nhất trên toàn mạng.
Sự thật trong các gói
Sử dụng TAP là cách duy nhất để có được bức tranh thực tế về những gì đang diễn ra trong liên kết. TAR loại trừ khả năng mất gói hoặc thao tác trong trường hợp kẻ tấn công có quyền truy cập vào mạng của bạn. Hãy nhớ rằng: cổng SPAN có thể “ẩn” các gói do bị xâm phạm hoặc đơn giản là do quá tải. Trong khi hoàn toàn không thể thao tác bộ chia song công hoàn toàn thụ động và gần như không thể tất cả các loại vòi khác. Tất nhiên, điều đáng chú ý là cũng có những vòi được điều khiển “tinh vi” bằng giao diện web hoặc CLI và mọi thứ được điều khiển đều có thể được thao tác. Nhưng - nếu bạn chọn đúng loại TAP, sẽ không ai có thể giấu bạn các gói độc hại của họ. Do đó, những kẻ tấn công lành nghề nhất cố gắng bắt chước lưu lượng truy cập bình thường, không đáng ngờ hoặc ẩn trong một số lượng lớn gói để khó phát hiện chúng trong khối lượng lớn này.
Ứng xử khi mất điện
Các vòi cần nguồn điện để hoạt động (hầu hết tất cả các vòi “đồng”, cũng như các vòi quang chức năng hơn có tập hợp liên kết) thường có cơ chế bảo vệ ở Lớp 1 (lớp vật lý) trong trường hợp mất điện. Đây giống như một rơle đóng khi mất điện và kết nối liên kết, bỏ qua TAP (chế độ bỏ qua được kích hoạt). Bạn thậm chí có thể nghe thấy loại hoạt động này - một cú nhấp chuột - khi bạn bật/tắt TAP bằng nguồn điện.
 |
| Cơm. 2 – Hành vi khi mất điện |
Thời gian phản hồi của vòi khi xảy ra sự cố mất điện thường mất chưa đến một giây. Tuy nhiên, đây vẫn là một thực tế khá khó chịu vì nó có thể gây ra sự gián đoạn của các phiên hiện tại, cũng như bắt đầu một số quy trình hội tụ mạng. Tuy nhiên, ở mức tối thiểu, điều này sẽ đảm bảo rằng mạng trở lại trạng thái ban đầu mà không cần sự can thiệp của nhân sự. Ngoài ra, hãy nhớ rằng nếu không có nguồn, TAP sẽ không thực hiện chức năng chính của nó nữa - và bạn sẽ không còn thấy lưu lượng truy cập trên cổng màn hình của nó nữa. Trong trường hợp này, việc khôi phục nguồn cho TAP sẽ lại gây ra hiện tượng ngắt/tái đồng bộ hóa liên kết.
Khuyên bảo: nếu bạn cần cấp lại nguồn cho vòi đồng, hãy làm như vậy trong khi cửa sổ dịch vụ dài ít nhất 5 phút, vì liên kết sản xuất có thể bị “tắt” quá lâu khiến một số kết nối không thể tồn tại.
Cổng đầu ra (màn hình) chỉ dùng để truyền!
Các liên kết đầu ra của bộ ghép được thiết kế để chỉ truyền, nghĩa là chúng sẽ không chấp nhận bất kỳ gói nào làm đầu vào. Do đó, thiết bị chụp (hoặc thực tế là bất kỳ thiết bị nào khác treo trên cổng màn hình) không thể truyền gói tin tới mạng, ảnh hưởng đến các kết nối khác.
 |
| Cơm. 3 – Thả gói tin vào cổng màn hình |
Đôi khi có người muốn TAP có sẵn chức năng đưa các gói vào mạng. Thông thường, điều này áp dụng cho trường hợp khi bạn có IDS treo trên cổng màn hình và bạn muốn gửi các gói RST từ đó để phản ứng với các kết nối đáng ngờ. Nhưng đây không phải là lựa chọn triển khai tốt nhất; trong tình huống như vậy, tốt hơn là cài đặt IPS nội tuyến trên mạng.
Khuyên bảo: Tuy nhiên, hãy kiểm tra xem vòi của bạn có đang nhận gói trên cổng màn hình hay không. Một số nhà cung cấp cung cấp TAP (hoặc đó là cách họ gọi chúng) không loại bỏ các gói đến. Đây có thể là một chức năng riêng biệt hoặc lặng lẽ mà không thông báo cho bạn. Theo tôi, điều này hoặc là vô dụng (IDS) hoặc đơn giản là có hại (“Người đàn ông ở bên cạnh” / “Người đàn ông ở giữa” sử dụng các gói được xây dựng).
Vòi song công hoàn toàn
Bạn có thể đã nhận thấy rằng trong Hình 1, TAP được kết nối theo cách hơi khác so với cổng SPAN. Bạn không có một liên kết tổng hợp mà có hai liên kết riêng biệt. Chúng ta hãy nhìn lại:
Như bạn có thể thấy, các gói theo hướng PC -> switch được truyền đến một cổng màn hình và các gói truy cập được truyền đến một cổng khác. Bộ ghép như vậy được gọi là song công hoàn toàn– mỗi hướng giao tiếp được chuyển hướng đến cổng màn hình chuyên dụng của riêng nó. Tất nhiên, điều này có nghĩa là trên thiết bị chụp ảnh bạn sẽ cần hai cổngđể có được một bãi rác hoàn chỉnh. Điều này có lợi thế của nó, nhưng làm tăng giá. (Điều đáng lưu ý là nhiều thiết bị chuyển mạch có thể thực hiện tương tự với SPAN - chuyển hướng lưu lượng truy cập đa hướng đến các cổng khác nhau - xấp xỉ chuyển đổi.)
Băng thông ở chế độ song công hoàn toàn
Việc ghi lưu lượng truy cập để nhận và truyền trên hai cổng có nghĩa là bạn sẽ không gặp phải tình trạng quá tải liên kết: ví dụ: nếu liên kết gigabit có tốc độ 1 Gbit/s để nhận và tốc độ tương tự cho việc truyền và tổng cộng là 2 Gbit/s , TAP truyền qua 1 Gbps qua mỗi cổng. Do đó, chúng tôi chỉ có thể nhận được giọt trên chính thiết bị chụp.
Bộ chia
Bộ chia là bộ ghép quang. Chúng có thể hoạt động mà không cần bất kỳ nguồn điện nào, chỉ cần sử dụng các bộ phận quang học như gương mờ trong thiết kế của chúng. Và nếu bạn lo lắng về việc thêm một điểm lỗi vào hệ thống của mình thì bộ chia là giải pháp tốt nhất.
Gương mờ phản chiếu một phần tín hiệu từ cáp quang tới thiết bị thu, trong khi phần còn lại truyền xa hơn đến người nhận. Loại bộ chia này hoàn toàn không yêu cầu bất kỳ bộ phận điện nào. Bộ chia hiện đại có thể hoạt động trên các liên kết có tốc độ khác nhau - bạn không cần phải mua bộ chia riêng để ghi 1 Gbit/s và bộ chia riêng cho tốc độ 10 Gbit/s.
Nếu bạn nhìn vào bộ chia, bạn có thể thấy đặc điểm "Tỷ lệ phân chia", tức là tỷ lệ hoặc yếu tố tách biệtĐây là tỷ lệ phần trăm của tín hiệu ánh sáng được phản chiếu bởi gương. Giá trị tham số điển hình – 70/30 Và 50/50 , có nghĩa là, tương ứng, 70% sẽ đi đến liên kết chính và 30% đến cổng màn hình, hoặc, trong ví dụ thứ hai, 50% đến mỗi cổng. Một lời cảnh báo: Tôi đã thấy các kỹ sư thích sử dụng bộ chia 90/10 vì sợ rằng quá nhiều tín hiệu sẽ đi đến cổng màn hình và sẽ làm hỏng kênh chính. Và điều này thực sự có thể xảy ra về mặt lý thuyết đối với các kênh có khoảng cách xa. Cách tiếp cận 90/10 sẽ loại bỏ sự phát triển như vậy, nhưng đồng thời, 10% còn lại hầu như luôn không đủ cho thiết bị chụp và nó không thể thiết lập kết nối. Cá nhân tôi thích bộ chia 70/30 hơn và cho đến nay tôi chưa gặp vấn đề gì với chúng.
Đặc điểm tiếp theo mà bạn cần lưu ý đó là loại đầu nối quang của bộ chia. Có khá nhiều loại trong số đó; các đầu nối trên bộ chia và trên thẻ chụp không phải lúc nào cũng khớp nhau. Loại phổ biến nhất hiện nay là loại LC, nó đang dần thay thế các đầu nối loại SC cũ và cồng kềnh hơn.
Việc cài đặt đúng bộ chia đôi khi cũng có thể là một vấn đề - nếu bạn cài đặt nó, liên kết chính sẽ hoạt động và tiếp tục hoạt động bình thường - điều này không có nghĩa là bạn đã nhận được bản sao lưu lượng trên cổng màn hình. Bởi vì rất có thể bộ chia được lắp đặt không chính xác - do đó ánh sáng sẽ chiếu vào gương từ phía ngược lại và do đó, bị phản xạ sai hướng. Nếu điều này xảy ra, hãy ngắt kết nối cáp liên kết chính và hoán đổi RX/TX ở cả hai bên. Chà, điều này cũng có nghĩa là tốt hơn nên lên lịch các hoạt động này trong khoảng thời gian dịch vụ kéo dài ít nhất 15 phút. Rốt cuộc, không giống như TAP bằng đồng, mất một phút để cài đặt, bạn có thể phải kết nối lại và kiểm tra. Và một lần nữa, chúng ta đừng quên lời cảnh báo kinh điển - không bao giờ nhìn trực tiếp đến liên kết quang để kiểm tra sự hiện diện của tín hiệu - công suất laser đủ cao để làm hỏng thị lực của bạn!
Điều thú vị là bộ chia quang, không giống như bộ ghép đồng, có ba cổng chứ không phải bốn. Điều này là do nó sử dụng một cổng vật lý cho cả hai kênh màn hình:
 |
| Hình 6 - Sơ đồ cổng TAP đồng và quang |
Bạn có thể sử dụng một cáp quang thông thường cho cả hai cổng màn hình, chỉ ở đầu kia (phía thiết bị chụp) cả hai đầu nối đều được kết nối với đầu vào thẻ, trong khi đầu ra thẻ vẫn không được sử dụng.
Sự cố gói không theo thứ tự
Nếu bạn đang sử dụng tính năng nhấn song công hoàn toàn, thiết bị chụp phải có 2 cổng mạng còn trống trên một card mạng hoặc hai card mạng. Sau đó, bạn sẽ nhận từng luồng giám sát trong một cổng riêng và sau đó cần phải xây dựng lại một trong hai luồng. Nhiệm vụ này khó khăn hơn so với cái nhìn đầu tiên. Nhiều người cho rằng hai card mạng thông thường là đủ và sẽ không có bất kỳ khó khăn nào. Nhưng trên thực tế, mọi thứ diễn ra hơi khác một chút. Vấn đề là hai card mạng trong một PC không phải lúc nào cũng truyền các gói đã bắt được tới phần mềm chụp ngay lập tức:
 |
| Hình 7 – Các gói tin trong NIC không theo thứ tự |
Như bạn có thể thấy, các gói mạng từ thẻ trên cùng được chuyển sang quá trình chụp nhanh hơn so với thẻ dưới cùng. Điều này xảy ra rất thường xuyên - xét cho cùng, các card mạng thông thường được sử dụng cho chức năng mạng cơ bản ban đầu không được thiết kế để duy trì khoảng cách micro hoặc nano giây giữa các gói. Ngăn xếp mạng sẽ đơn giản sắp xếp chúng bằng cách nào đó và chuyển chúng trực tiếp đến phần mềm thu thập/phân tích. Kết quả có thể gây khó chịu:
| Hình 8 – Các gói không theo thứ tự trong Wireshark |
Hãy xem xét kỹ hơn: gói số 2 là SYN, được gửi đến kết xuất sau SYN-ACK. Gói số 3 chứa “HTTP 200 OK”, đến trước khi quá trình bắt tay kết thúc và trước khi yêu cầu GET được gửi. Có một khoảng cách thời gian âm giữa một số gói, đây là dấu hiệu chắc chắn rằng thứ tự của các gói trong kết xuất không đúng thứ tự.
Trong tình huống như vậy, có một giải pháp hiệu quả - sử dụng tiện ích dòng lệnh reordercap.exe, đi kèm với Wireshark và nằm trong thư mục cài đặt:
Reordercap "Mẫu không theo thứ tự.pcapng" "Mẫu không theo thứ tự Reordered.pcapng" 12 khung, 3 không theo thứ tự
Kết quả sẽ như thế này:
Nếu bạn muốn ngay lập tức tránh tất cả những rắc rối này do sai thứ tự các gói, chỉ có một cách: thẻ chụp đa cổng FPGA chuyên nghiệp sẽ tập hợp lại luồng trên bo mạch trước khi gửi nó xuống ngăn xếp. Đây chính xác là đường dẫn tôi sử dụng khi chụp từ bộ ghép song công hoàn toàn. Tôi có một số thiết bị chụp, bao gồm một vài thiết bị dạng rackmount Network General S6040 19 inch cũ, có thể chứa tối đa 4 thẻ chụp song công hoàn chỉnh. Tôi sẽ xem xét các thẻ này chi tiết hơn trong một trong những bài viết tiếp theo của tôi.
TAP với tổng hợp luồng
Các TAP có tập hợp được kết nối với liên kết chính giống như các TAP song công hoàn toàn:
Tuy nhiên, không giống như các bộ ghép song công hoàn toàn, chúng chỉ có một cổng đầu ra màn hình. Nghĩa là, nó hơi giống với cổng SPAN - một bộ ghép như vậy sẽ hợp nhất hai luồng thành một trước khi gửi nó đến thẻ chụp. Ưu điểm của phương pháp này là: chỉ cần một thẻ để chụp và không cần phải suy nghĩ về các gói không theo thứ tự - chính TAP sẽ đảm nhiệm việc này.
Nhưng cũng có vấn đề với cách tiếp cận này. Tất nhiên, đây là vấn đề gây quá tải cho cổng đầu ra màn hình. Nói chung, một lần nữa, cùng một lượng 1Gbit/s để tiếp nhận, cùng một lượng để tải lên... Bạn hiểu đấy. Để tránh sự cố này, bạn có thể sử dụng TAP với cổng đầu ra có tốc độ cao hơn tổng số cổng đầu vào. Đặc biệt, có những TAP kết nối với PC qua USB3. Ở đầu vào, chúng được kết nối giống như mọi người khác và luồng đầu ra được truyền qua cáp USB3 (với tốc độ truyền tối đa là 6 Gbit/s, khá đủ để giám sát liên kết Gigabit song công hoàn toàn với đầy tải).
TAP với tính năng tổng hợp phức tạp hơn nhiều về mặt kỹ thuật so với các đối tác song công hoàn toàn của chúng, đó là lý do tại sao chúng đắt hơn nhiều và có giá khởi điểm từ khoảng 1000 euro. Những TAP song công hoàn toàn đơn giản nhất có thể được tìm thấy với giá vài trăm euro.
Về TAR giá rẻ
Tôi khá chắc rằng một số bạn sẽ lắc đầu khi nhìn thấy giá gần đúng của các vòi và nghĩ - tại sao nó lại đắt như vậy? Chà... Điều đó phụ thuộc vào những gì bạn muốn nhận được từ TAP và nơi sử dụng chúng. Bạn có thể tự mình tìm hoặc chế tạo một bộ ghép nối với giá vài đô la hoặc mua một tùy chọn tổng hợp với giá vài trăm. Sở dĩ có mức giá thấp như vậy là vì trong trường hợp này chỉ có thể là TAP đồng và chỉ bị giới hạn ở 100 Mbit/s. Ngoài ra, những TAP như vậy còn thiếu hầu hết các chức năng. Theo kinh nghiệm của tôi:
- chúng không có cơ chế bỏ qua trong trường hợp mất điện, điều này hạn chế việc sử dụng chúng (chắc chắn không nên thực hiện trong trung tâm dữ liệu);
- chúng cho phép các gói được đưa vào mạng.
Vì việc cài đặt TAP sẽ tạo thêm điểm lỗi cho mạng vận hành nên bạn cần đảm bảo rằng có sẵn các cơ chế bảo vệ, chẳng hạn như nguồn điện dự phòng hoặc chế độ bỏ qua (hoặc cả hai).
Ngày 19 tháng 12 năm 2011 Bởi Henry Van Styn
trong CÁCH LÀM
Chụp gói là một trong những cách mạnh mẽ nhất để phân tích các quy trình mạng. Bạn có thể tìm hiểu nhiều điều về những gì đang xảy ra trên mạng bằng cách chặn và kiểm tra dữ liệu thô truyền qua các kết nối mạng. Các tiện ích phân tích lưu lượng truy cập hiện đại cho phép bạn nắm bắt, giải thích và mô tả các luồng dữ liệu theo kiểu mà con người có thể đọc được.
tcpdump là một công cụ nghe hoặc đánh hơi lưu lượng truy cập thiết yếu. Nó cung cấp nhiều khả năng phân tích và thậm chí có thể xuất các trường gói được giải thích sang các chương trình khác.
Nếu bạn cho rằng các tiện ích như tcpdump đang mất dần giá trị với sự ra đời của các công cụ đồ họa như Wireshark, hãy nghĩ lại. Wireshark là một ứng dụng tuyệt vời, nhưng nó không phải là một công cụ phổ biến cho mọi tình huống. Là một giải pháp nhẹ phổ quát cho nhiều ứng dụng khác nhau (chẳng hạn như công cụ Unix cat, less và hexdump), tcpdump trông ngầu hơn nhiều. Và tính năng ấn tượng nhất của nó là dễ sử dụng. Là một phong cách hành vi, nó tuân theo khái niệm gần đúng về "lệnh một dòng" để có được phản hồi nhanh chóng, một bước. Ngoài ra, nó có thể được sử dụng trong phiên ssh mà không cần sử dụng đồ họa. Bằng cách hỗ trợ các quy ước cú pháp dòng lệnh (chẳng hạn như xuất luồng dữ liệu sang đầu ra tiêu chuẩn có thể được chuyển hướng), tcpdump có thể được sử dụng trong tất cả các loại đường dẫn để xây dựng các tiện ích thú vị và hữu ích.
Trong bài viết này, tôi sẽ xem xét một số nguyên tắc cơ bản khi sử dụng tcpdump và cú pháp cơ bản của nó.
Khái niệm cơ bản
Trước khi trở thành bậc thầy trong việc sử dụng tcpdump, có một số khái niệm cơ bản bạn nên hiểu. Thứ nhất, chụp gói là một quá trình thụ động; nó không thay đổi lưu lượng truy cập theo bất kỳ cách nào và không phát bất cứ thứ gì lên mạng từ chính nó. Thứ hai, bạn chỉ có thể chụp các gói mà hệ thống của bạn nhận được. Nếu bất kỳ hai máy chủ nào trao đổi gói trực tiếp và lưu lượng truy cập đó bỏ qua máy tính của bạn, bạn sẽ không thấy bất cứ điều gì, bất kể công cụ giám sát. Thứ ba, bạn chỉ có thể nắm bắt các gói tin dành cho hệ thống của mình trừ khi giao diện mạng được đặt ở chế độ lăng nhăng.
Vì nó giả định rằng bạn quan tâm đến nhiều thứ hơn là chỉ các gói cho hệ thống của mình, tcpdump sẽ tự động đặt giao diện đầu tiên trên hệ thống (trừ khi giao diện khác được chỉ định rõ ràng) vào chế độ lăng nhăng. Hoạt động này yêu cầu đặc quyền siêu người dùng.
Giải phẫu các lệnh tcpdump
Lệnh tcpdump bao gồm hai phần: các tùy chọn và biểu thức lọc (Hình 1).
Hình 1. Ví dụ lệnh tcpdump
Biểu thức lọc xác định gói nào cần thu thập và các tùy chọn - tùy chọn nào trong số chúng sẽ hiển thị ở đầu ra; các tùy chọn cũng xác định hành vi của tiện ích.
Tùy chọn
Các tùy chọn Tcpdump tuân theo các quy ước dòng lệnh tiêu chuẩn, do đó định dạng tùy chọn là giá trị cờ. Một số cờ không có giá trị tham số vì bản thân chúng là các switch. Ví dụ: -i được theo sau bởi tên giao diện và -n vô hiệu hóa khả năng phân giải tên thông qua DNS.
Trang man mô tả rất nhiều tùy chọn, nhưng có một số tùy chọn mà bạn không thể thực hiện nếu không có:
Tôi giao diện: giao diện mà tcpdump sẽ lắng nghe lưu lượng truy cập;
V, -vv, -vvv: độ chi tiết đầu ra;
Q: chế độ im lặng;
E: tiêu đề khung lớp liên kết in (Ethernet);
N: phân giải tên miền của máy chủ;
T: không in dấu thời gian;
N: không phân giải tên miền của máy chủ;
S0 (hoặc -s 0): thu giữ tối đa, toàn bộ gói tin được thu giữ; trong các phiên bản gần đây của tcpdump đây là hành vi mặc định.
Không có tùy chọn nào được yêu cầu. Các giá trị do người dùng xác định chỉ thay đổi hành vi mặc định của chương trình, đó là chụp trên giao diện đầu tiên và in thông tin gói trên một dòng.
Lọc biểu thức
Biểu thức lọc là tiêu chí Boolean (có/không) để đánh giá xem gói có khớp với mẫu hay không. Tất cả các gói không đáp ứng các điều kiện được chỉ định sẽ bị bỏ qua.
Cú pháp bộ lọc gói rất mạnh mẽ và minh bạch. Lúc đầu, nó chứa các từ khóa được gọi là "nguyên thủy", là các vòng loại khác nhau cho các gói, chúng có thể là giao thức, địa chỉ, cổng hoặc hướng. Chúng có thể được kết nối với nhau thành chuỗi bằng cách sử dụng các toán tử và/hoặc, được nhóm và kết hợp theo quy tắc kế thừa, được sắp xếp bằng cách sử dụng phủ định.
Nhờ các tên tiêu chí tự giải thích, các biểu thức lọc thường có vẻ tự giải thích, khiến chúng khá dễ xây dựng và dễ hiểu. Cú pháp đầy đủ được mô tả trong trang man pcap-filter và một số ví dụ được cung cấp ở đây:
ARP là một giao thức đơn giản, nó dùng để phân giải địa chỉ IP thành địa chỉ MAC của card mạng. Như bạn có thể thấy ở trên, tcpdump mô tả các gói này theo cách khá nguyên thủy. Mặt khác, các gói DNS sẽ được mô tả hơi khác một chút:
| IP 10.0.0.2.50435 > 10.0.0.1.53: 19+ A? linuxjournal.com. (34) IP 10.0.0.1.53 > 10.0.0.2.50435: 19 1/0/0 A 76.74.252.198 (50) |
Điều này ban đầu có vẻ chưa đủ rõ ràng, nhưng khi bạn tìm hiểu cách hoạt động của các lớp giao thức khác nhau, bạn sẽ hiểu rõ hơn. DNS là một giao thức phức tạp hơn nhiều so với ARP, nhưng nó cũng hoạt động ở cấp độ cao hơn. Điều này có nghĩa là các gói giao thức cơ bản cũng xuất hiện ở đầu ra. Không giống như ARP, không được định tuyến giữa các phân đoạn mạng vật lý khác nhau, DNS là một giao thức trên toàn Internet. Lớp IP được sử dụng để định tuyến các gói này; UDP được sử dụng để vận chuyển. Điều này làm cho DNS trở thành giao thức lớp 5 (IP là lớp 3, UDP là lớp 4).
Thông tin lớp UDP/IP chứa địa chỉ nguồn và cổng được hiển thị ở phía bên trái của dòng và thông tin DNS cụ thể được hiển thị ở bên phải. Mặc dù cú pháp khá cô đọng nhưng nó đủ để xác định các thành phần cơ bản của DNS. Gói đầu tiên là yêu cầu địa chỉ cho linuxjournal.com, gói thứ hai là phản hồi cung cấp địa chỉ 76.74.252.198. Đây là một trình tự điển hình cho các truy vấn DNS đơn giản.
Xem phần "Định dạng đầu ra" của trang man tcpdump để biết mô tả đầy đủ về tất cả các định dạng đầu ra phụ thuộc vào giao thức. Một số gói giao thức hiển thị ở đầu ra tốt hơn những gói khác, nhưng thông tin quan trọng thường dễ tìm thấy.
Ghi lại đầu ra vào tập tin
Ngoài chế độ xuất thông tin thông thường ra bàn điều khiển (đầu ra tiêu chuẩn), tcpdump còn hỗ trợ chế độ ghi đầu ra vào một tệp. Chế độ này được kích hoạt bằng tùy chọn -w, chỉ định đường dẫn đến tệp.
Khi ghi vào một tập tin, tcpdump sử dụng định dạng khác với khi xuất ra màn hình. Đây được gọi là đầu ra thô; nó không thực hiện phân tích sơ cấp về gói tin. Sau đó, các tệp này có thể được sử dụng trong các chương trình của bên thứ ba như Wireshark, vì định dạng của các mục trong tệp tuân theo định dạng "pcap" phổ biến (tệp như vậy có thể được cung cấp cho đầu vào tcpdump bằng tùy chọn -r). Tính năng này cho phép chúng tôi chụp các gói trên một máy và phân tích chúng trên một máy khác. Ví dụ: bạn có Wireshark trên máy tính xách tay của mình. Bạn không cần kết nối nó với mạng đang được phân tích để quét tệp đã ghi trước đó.
Phân tích các giao thức dựa trên TCP
tcpdump là một trình phân tích gói nên nó hoạt động tốt với các giao thức dựa trên gói như IP, UDP, DHCP, DNS và ICMP. Nếu có một "luồng" hoặc một chuỗi các gói để thiết lập kết nối, tcpdump sẽ không thể phân tích trực tiếp các luồng và kịch bản kết nối này. Các giao thức như HTTP, SMTP và IMAP giống các ứng dụng tương tác từ góc độ mạng hơn là các giao thức "gói".
TCP xử lý tất cả các chi tiết cấp thấp cần thiết cho các phiên giao tiếp trong các giao thức phiên một cách minh bạch đối với người dùng. Đây là nơi dữ liệu hướng luồng được gói gọn thành các gói (phân đoạn) sau đó có thể được gửi qua mạng. Tất cả các chi tiết như vậy được ẩn bên dưới lớp ứng dụng. Do đó, cần có các bước bổ sung để nắm bắt các gói giao thức hướng kết nối. Vì mỗi phân đoạn TCP là một phần dữ liệu cấp ứng dụng nên thông tin về nó không thể được sử dụng trực tiếp. Để làm được điều này, bạn cần phải xây dựng lại hoàn toàn phiên (luồng) TCP từ một chuỗi các gói riêng lẻ. tcpdump không có tính năng này. Để phân tích các giao thức phiên, bạn có thể sử dụng cái mà tôi gọi là "thủ thuật chuỗi".
Thủ thuật chuỗi
Thông thường, khi nắm bắt lưu lượng truy cập, ý tôi là nhằm mục đích phân tích nguyên nhân gây ra một số lỗi. Dữ liệu không cần phải hoàn hảo mới có thể xem được để hiểu lý do của bất kỳ sự cố nào. Trong những trường hợp như vậy, tốc độ hiểu là quan trọng hơn bất cứ điều gì khác. Thủ thuật tiếp theo là một trong những kỹ thuật tcpdump yêu thích của tôi. Điều này hoạt động vì:
Các phân đoạn TCP thường theo thứ tự thời gian;
- các giao thức ứng dụng dựa trên văn bản tạo ra các gói có tải văn bản;
- dữ liệu xung quanh việc tải văn bản (ví dụ: tiêu đề gói) không phải là văn bản;
- Tiện ích UNIX có thể lưu văn bản từ đầu ra nhị phân của ứng dụng;
- nếu bạn chạy tcpdump với tùy chọn -w -, nó sẽ tạo ra thông tin thô cho đầu ra tiêu chuẩn.
Kết hợp mọi thứ lại với nhau, chúng ta có được một công cụ để thu thập dữ liệu phiên HTTP.
Ngoài ra, bạn nên lưu ý rằng đầu ra có thể chứa một số rác. Phần dư thừa có thể được cắt bỏ bằng cách sử dụng tùy chọn tiện ích chuỗi, tùy chọn này giới hạn độ dài của đầu ra chuỗi (xem chuỗi man).
Thủ thuật này hoạt động khá tốt đối với mọi giao thức dựa trên văn bản.
Phân tích HTTP và SMTP
Thủ thuật chuỗi từ phần trước có thể giúp thu thập dữ liệu phiên HTTP, mặc dù thiếu bộ phân tích luồng tích hợp. Dữ liệu thu được có thể được “phân tích” và sau đó theo nhiều cách khác nhau.
Ví dụ: bạn có thể muốn kiểm tra tính khả dụng của tất cả các trang web có “davepc” trong tên của chúng theo thời gian thực. Lệnh sau chạy trên tường lửa sẽ giúp ích (giả sử giao diện bên trong là eth1):
Đây chỉ là hai ví dụ đơn giản để minh họa các khả năng. Ví dụ, bạn có thể đi xa hơn, viết một tập lệnh Perl để phân tích các chuỗi nhận được sâu hơn.
Vì vậy sức mạnh thực sự của tcpdump xuất hiện khi bạn muốn nhanh chóng nhận được câu trả lời cho một số câu hỏi mà không cần nỗ lực nhiều. Điều này đặc biệt quan trọng khi gỡ lỗi các ứng dụng mạng.
Gỡ lỗi định tuyến và kết nối VPN
tcpdump có thể giúp ích rất nhiều khi gỡ lỗi những thứ như kết nối VPN. Tất cả những gì bạn cần là hiểu rõ gói nào xuất hiện và gói nào không xuất hiện trên máy chủ nào.
Hãy xem sơ đồ tiêu chuẩn để kết nối hai mạng thông qua kết nối VPN. Mạng 10.0.50.0/24 và 192.168.5.0/24 (Hình 2).
Hình 2. Ví dụ về cấu trúc liên kết VPN
Nếu điều này hoạt động chính xác, các máy chủ trên các mạng khác nhau sẽ ping nhau. Nếu ping không phản hồi (trong trường hợp này, giả sử chúng không đến từ D đến máy chủ A), chúng ta có thể sử dụng tcpdump để tìm ra nơi mọi thứ bị mất.
Nếu các gói yêu cầu đi đến máy chủ C (cổng từ xa) chứ không đến máy chủ D, điều này cho thấy bản thân kết nối VPN đang hoạt động nhưng có vấn đề về định tuyến. Nếu máy chủ D nhận được yêu cầu nhưng không gửi phản hồi, điều này có thể cho thấy ICMP đã bị chặn. Nếu trả lời được gửi nhưng không đến được C, cổng mặc định có thể được cấu hình không chính xác trên D.
