Fir den Netzverkéier z'analyséieren, ass et néideg de Netzwierkpaket op NTOP / NPROBE oder Out-of-Band Network Security and Monitoring Tools ze schécken.Et ginn zwou Léisunge fir dëse Problem:
Port Mirroring(och bekannt als SPAN)
Netz Tap(och bekannt als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Ier Dir d'Ënnerscheeder tëscht den zwou Léisungen erkläert (Port Mirror an Network Tap), ass et wichteg ze verstoen wéi den Ethernet funktionnéiert.Bei 100Mbit a méi héich schwätzen d'Host normalerweis a voller Duplex, dat heescht datt een Host gläichzäiteg schécken (Tx) a kritt (Rx).Dëst bedeit datt op engem 100 Mbit Kabel verbonne mat engem Host, de Gesamtbetrag vum Netzverkéier, deen een Host kann schécken / kréien (Tx / Rx)) ass 2 × 100 Mbit = 200 Mbit.
De Portspigel ass eng aktiv Paketreplikatioun, dat heescht datt den Netzwierkapparat kierperlech verantwortlech ass fir de Paket op de gespigelten Hafen ze kopéieren.
Dëst bedeit datt den Apparat dës Aufgab muss ausféieren andeems Dir eng Ressource benotzt (wéi d'CPU), a béid Verkéiersrichtungen ginn op deeselwechten Hafen replizéiert.Wéi virdru scho gesot, an A voll Duplex Link, heescht dat
A -> B a B -> A
D'Zomm vun A wäert d'Netzgeschwindegkeet net iwwerschreiden ier de Paketverloscht geschitt.Dëst ass well et kierperlech kee Raum ass fir Pakete ze kopéieren.Et stellt sech eraus datt Port Spigelen eng super Technik ass, well se vu ville Schalter (awer net all) ausgefouert ka ginn, well déi meescht Schalter mat dem Nodeel vum Paketverloscht, wann Dir e Link mat iwwer 50% Belaaschtung iwwerwaacht, oder spigelt de Ports op e méi schnelle Port (zB Spigel 100 Mbit Ports op en 1 Gbit Port).Net ze ernimmen datt Paketspigelen d'Austausch vu Schaltressourcen erfuerderen, wat den Apparat lueden kann an d'Austauschleistung degradéieren.Bedenkt datt Dir konnektéieren 1 port zu engem port, oder 1 VLAN zu engem port, mee du kanns allgemeng net vill Häfen kopéieren ze 1. (Also wéi de Pak Spigel) vermësst.
En Netzwierk TAP (Terminal Access Point)ass e voll passive Hardware-Apparat, deen de Traffic op engem Netz passiv kann erfaassen.Et gëtt allgemeng benotzt fir de Verkéier tëscht zwee Punkten am Netz ze iwwerwaachen.Wann d'Netzwierk tëscht dësen zwee Punkten aus engem physesche Kabel besteet, kann e Netzwierk TAP de beschte Wee sinn fir den Traffic z'erreechen.
D'Netz TAP huet op d'mannst dräi Häfen: en A Hafen, e B Hafen, an e Monitor Hafen.Fir e Krunn tëscht Punkten A a B ze placéieren, gëtt den Netzkabel tëscht Punkt A a Punkt B duerch e Paar Kabelen ersat, eent geet an den A Hafen vum TAP, deen aneren an de B Hafen vum TAP.Den TAP passéiert all Traffic tëscht deenen zwee Netzwierkpunkten, sou datt se nach ëmmer matenee verbonne sinn.Den TAP kopéiert och de Traffic op säi Monitorport, sou datt en Analyseapparat fir nozelauschteren.
Network TAPs ginn allgemeng vun Iwwerwaachungs- a Sammelapparater wéi APS benotzt.TAPs kënnen och a Sécherheetsapplikatioune benotzt ginn, well se net opdrénglech sinn, net am Netz z'erkennen, kënne mat voll-duplex an net-gedeelt Netzwierker ëmgoen, a wäerten normalerweis de Traffic passéieren, och wann de Krunn ophält ze schaffen oder Kraaft verléiert .
Well Network Taps Ports net kréien, awer nëmmen iwwerdroen, huet de Schalter keen Hiweis wien hannert den Ports sëtzt.D'Konsequenz ass datt et d'Päckchen op all Ports ausgestraalt huet.Dofir, wann Dir Ären Iwwerwachungsapparat mam Schalter verbënnt, kritt esou en Apparat all Päck.Bedenkt datt dëse Mechanismus funktionnéiert wann den Iwwerwaachungsapparat kee Paket op de Schalter schéckt;soss, wäert de Schalter unhuelen, datt d'getippten Pakete sinn net fir esou Apparat.Fir dat z'erreechen, kënnt Dir entweder en Netzkabel benotzen, op deem Dir d'TX-Drähten net ugeschloss hutt, oder eng IP-manner (an DHCP-manner) Netzwierk-Interface benotzen déi guer net Päckchen iwwerdréit.Schlussendlech notéiert datt wann Dir e Krunn benotze wëllt fir Päck net ze verléieren, da fusionéiert entweder keng Richtungen oder benotzt e Schalter wou getippten Richtungen méi lues sinn (zB 100 Mbit) wéi de Fusiounsport (zB 1 Gbit).
Also, Wéi erfaasst den Netzverkéier?Network Taps vs Switch Ports Mirror
1- Einfach Konfiguratioun: Network Tap> Port Mirror
2- Network Performance Afloss: Network Tap < Port Mirror
3- Capture, Replikatioun, Aggregatioun, Forward Fäegkeet: Network Tap> Port Mirror
4- Traffic Forwarding Latency: Network Tap < Port Mirror
5- Traffic Preprocessing Kapazitéit: Network Tap> Port Mirror
Post Zäit: Mar-30-2022
