Untuk menganalisis trafik rangkaian, adalah perlu untuk menghantar paket rangkaian ke NTOP/NPROBE atau Alat Keselamatan dan Pemantauan Rangkaian Luar Jalur. Terdapat dua penyelesaian untuk masalah ini:
Pencerminan Pelabuhan(juga dikenali sebagai SPAN)
Ketuk Rangkaian(juga dikenali sebagai Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, dsb.)
Sebelum menjelaskan perbezaan antara kedua-dua penyelesaian (Port Mirror dan Network Tap), adalah penting untuk memahami cara Ethernet berfungsi. Pada 100Mbit dan ke atas, hos biasanya bercakap dalam dupleks penuh, bermakna satu hos boleh menghantar (Tx) dan menerima (Rx) secara serentak. Ini bermakna pada kabel 100 Mbit yang disambungkan ke satu hos, jumlah trafik rangkaian yang boleh dihantar/diterima (Tx/Rx) oleh satu hos ialah 2 × 100 Mbit = 200 Mbit.
Pencerminan Port ialah replikasi paket aktif, yang bermaksud peranti rangkaian bertanggungjawab secara fizikal untuk menyalin paket ke port yang dicerminkan.
Ini bermakna peranti mesti melaksanakan tugas ini dengan menggunakan beberapa sumber (seperti CPU), dan kedua-dua arah trafik akan direplikasi ke port yang sama. Seperti yang dinyatakan sebelum ini, dalam pautan dupleks penuh, ini bermakna bahawa
A -> B dan B -> A
Jumlah A tidak akan melebihi kelajuan rangkaian sebelum kehilangan paket berlaku. Ini kerana secara fizikalnya tiada ruang untuk menyalin paket. Ternyata pencerminan port adalah teknik yang hebat kerana ia boleh dilakukan oleh banyak suis (tetapi bukan semua), kerana kebanyakan suis mempunyai kelemahan kehilangan paket, jika anda memantau pautan dengan beban melebihi 50%, atau mencerminkan port ke port yang lebih pantas (cth. mencerminkan port 100 Mbit ke port 1 Gbit). Apatah lagi pencerminan paket mungkin memerlukan pertukaran sumber suis, yang mungkin memuatkan peranti dan menyebabkan prestasi pertukaran merosot. Ambil perhatian bahawa anda boleh menyambungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi anda secara amnya tidak boleh menyalin banyak port ke 1. (Jadi kerana cermin paket) hilang.
TAP Rangkaian (Titik Akses Terminal)merupakan peranti perkakasan pasif sepenuhnya, yang boleh menangkap trafik secara pasif pada rangkaian. Ia biasanya digunakan untuk memantau trafik antara dua titik dalam rangkaian. Jika rangkaian antara dua titik ini terdiri daripada kabel fizikal, TAP rangkaian mungkin merupakan cara terbaik untuk menangkap trafik.
TAP rangkaian mempunyai sekurang-kurangnya tiga port: port A, port B dan port monitor. Untuk meletakkan tap antara titik A dan B, kabel rangkaian antara titik A dan titik B digantikan dengan sepasang kabel, satu ke port A TAP, dan satu lagi ke port B TAP. TAP menghantar semua trafik antara dua titik rangkaian, jadi ia masih bersambung antara satu sama lain. TAP juga menyalin trafik ke port monitornya, sekali gus membolehkan peranti analisis mendengar.
TAP rangkaian biasanya digunakan oleh peranti pemantauan dan pengumpulan seperti APS. TAP juga boleh digunakan dalam aplikasi keselamatan kerana ia tidak mengganggu, tidak dapat dikesan pada rangkaian, boleh mengendalikan rangkaian dupleks penuh dan tidak dikongsi, dan biasanya akan melalui trafik walaupun paip berhenti berfungsi atau kehilangan kuasa.
Oleh kerana port Network Taps tidak menerima tetapi hanya menghantar, suis tidak tahu siapa yang duduk di belakang port tersebut. Akibatnya, ia akan menyiarkan paket ke semua port. Oleh itu, jika anda menyambungkan peranti pemantauan anda ke suis, peranti tersebut akan menerima semua paket. Perhatikan bahawa mekanisme ini berfungsi jika peranti pemantauan tidak menghantar sebarang paket ke suis; jika tidak, suis akan menganggap bahawa paket yang di-tap bukan untuk peranti tersebut. Untuk mencapai matlamat tersebut, anda boleh menggunakan kabel rangkaian yang anda tidak sambungkan wayar TX, atau menggunakan antara muka rangkaian tanpa IP (dan tanpa DHCP) yang tidak menghantar paket langsung. Akhir sekali, perhatikan bahawa jika anda ingin menggunakan tap untuk tidak kehilangan paket, maka sama ada jangan gabungkan arah atau gunakan suis yang arah yang di-tap lebih perlahan (cth. 100 Mbit) daripada port gabungan (cth. 1 Gbit).
Jadi, Bagaimana untuk Menangkap Trafik Rangkaian? Cermin Port Ketuk Rangkaian vs Port Suis
1- Konfigurasi mudah: Ketik Rangkaian > Cermin Port
2- Pengaruh Prestasi Rangkaian: Ketuk Rangkaian < Cermin Port
3- Tangkap, Replikasi, Agregasi, Keupayaan Pemajuan: Ketik Rangkaian > Cermin Port
4- Kependaman Pemajuan Trafik: Ketik Rangkaian < Cermin Port
5- Kapasiti Pra-Pemprosesan Trafik: Ketik Rangkaian > Cermin Port
Masa siaran: 30 Mac 2022
