Untuk menganalisis trafik rangkaian, adalah perlu untuk menghantar paket rangkaian ke NTOP/NPROBE atau Alat Keselamatan dan Pemantauan Rangkaian Luar jalur.Terdapat dua penyelesaian untuk masalah ini:
Port Mirroring(juga dikenali sebagai SPAN)
Ketik Rangkaian(juga dikenali sebagai Ketik Replikasi, Ketik Pengagregatan, Ketik Aktif, Ketik Tembaga, Ketik Ethernet, dsb.)
Sebelum menerangkan perbezaan antara kedua-dua penyelesaian (Port Mirror dan Network Tap), adalah penting untuk memahami cara Ethernet berfungsi.Pada 100Mbit dan ke atas, hos biasanya bercakap dalam dupleks penuh, bermakna satu hos boleh menghantar(Tx) dan menerima(Rx) secara serentak.Ini bermakna bahawa pada kabel 100 Mbit yang disambungkan kepada satu hos, jumlah trafik rangkaian yang boleh dihantar/terima oleh satu hos(Tx/Rx)) ialah 2 × 100 Mbit = 200 Mbit.
Pencerminan Port ialah replikasi paket aktif, yang bermaksud peranti rangkaian bertanggungjawab secara fizikal untuk menyalin paket ke port bercermin.
Ini bermakna peranti mesti melaksanakan tugas ini dengan menggunakan beberapa sumber (seperti CPU), dan kedua-dua arah trafik akan direplikasi ke port yang sama.Seperti yang dinyatakan sebelum ini, dalam pautan dupleks penuh, ini bermakna
A -> B dan B -> A
Jumlah A tidak akan melebihi kelajuan rangkaian sebelum kehilangan paket berlaku.Ini kerana secara fizikal tiada ruang untuk menyalin paket.Ternyata pencerminan port adalah teknik yang hebat kerana ia boleh dilakukan oleh banyak suis (tetapi bukan semua), kerana kebanyakan suis dengan kelemahan kehilangan paket, jika anda memantau pautan dengan lebih 50% beban, atau mencerminkan port ke port yang lebih pantas (cth cermin port 100 Mbit ke port 1 Gbit).Apatah lagi pencerminan paket mungkin memerlukan pertukaran sumber suis, yang mungkin memuatkan peranti dan menyebabkan prestasi pertukaran merosot.Ambil perhatian bahawa anda boleh menyambungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi anda biasanya tidak boleh menyalin banyak port ke 1. (Jadi kerana cermin paket) tiada.
TAP Rangkaian (Titik Akses Terminal)ialah peranti perkakasan pasif sepenuhnya, yang boleh menangkap trafik pada rangkaian secara pasif.Ia biasanya digunakan untuk memantau trafik antara dua titik dalam rangkaian.Jika rangkaian antara dua titik ini terdiri daripada kabel fizikal, TAP rangkaian mungkin merupakan cara terbaik untuk menangkap trafik.
TAP rangkaian mempunyai sekurang-kurangnya tiga port: port A, port B dan port monitor.Untuk meletakkan paip antara titik A dan B, kabel rangkaian antara titik A dan titik B digantikan dengan sepasang kabel, satu pergi ke port A TAP, satu lagi pergi ke port B TAP.TAP melepasi semua trafik antara dua titik rangkaian, jadi ia masih bersambung antara satu sama lain.TAP juga menyalin trafik ke port monitornya, dengan itu membolehkan peranti analisis mendengar.
TAP rangkaian biasanya digunakan oleh peranti pemantauan dan pengumpulan seperti APS.TAP juga boleh digunakan dalam aplikasi keselamatan kerana ia tidak mengganggu, tidak dapat dikesan pada rangkaian, boleh menangani rangkaian dupleks penuh dan tidak dikongsi, dan biasanya akan melalui trafik walaupun jika paip berhenti berfungsi atau kehilangan kuasa .
Oleh kerana port Rangkaian Taps tidak menerima tetapi menghantar sahaja, suis tidak mempunyai petunjuk siapa yang duduk di belakang port.Akibatnya ialah ia menyiarkan paket ke semua port.Oleh itu, jika anda menyambungkan peranti pemantauan anda kepada suis, peranti tersebut akan menerima semua paket.Ambil perhatian bahawa mekanisme ini berfungsi jika peranti pemantauan tidak menghantar sebarang paket ke suis;jika tidak, suis akan menganggap bahawa paket yang diketuk bukan untuk peranti sedemikian.Untuk mencapainya, anda boleh sama ada menggunakan kabel rangkaian yang anda belum menyambungkan wayar TX, atau menggunakan antara muka rangkaian tanpa IP (dan tanpa DHCP) yang tidak menghantar paket sama sekali.Akhir sekali ambil perhatian bahawa jika anda ingin menggunakan paip untuk tidak kehilangan paket, maka sama ada jangan gabungkan arah atau gunakan suis yang arah yang diketuk adalah lebih perlahan (cth 100 Mbit) daripada port gabungan (cth 1 Gbit).
Jadi, Bagaimana untuk Menangkap Trafik Rangkaian?Ketik Rangkaian lwn Switch Ports Cermin
1- Konfigurasi mudah: Ketik Rangkaian > Cermin Port
2- Pengaruh Prestasi Rangkaian: Ketik Rangkaian < Port Mirror
3- Tangkap, Replikasi, Pengagregatan, Keupayaan Pemajuan: Ketik Rangkaian > Cermin Port
4- Kependaman Pemajuan Trafik: Ketik Rangkaian < Cermin Port
5- Kapasiti Prapemprosesan Trafik: Ketik Rangkaian > Cermin Pelabuhan
Masa siaran: Mac-30-2022
