നെറ്റ്വർക്ക് ട്രാഫിക് വിശകലനം ചെയ്യുന്നതിന്, നെറ്റ്വർക്ക് പാക്കറ്റ് NTOP/NPROBE അല്ലെങ്കിൽ ഔട്ട്-ഓഫ്-ബാൻഡ് നെറ്റ്വർക്ക് സെക്യൂരിറ്റി ആൻഡ് മോണിറ്ററിംഗ് ടൂളുകളിലേക്ക് അയയ്ക്കേണ്ടത് ആവശ്യമാണ്.ഈ പ്രശ്നത്തിന് രണ്ട് പരിഹാരങ്ങളുണ്ട്:
പോർട്ട് മിററിംഗ്(സ്പാൻ എന്നും അറിയപ്പെടുന്നു)
നെറ്റ്വർക്ക് ടാപ്പ്(റെപ്ലിക്കേഷൻ ടാപ്പ്, അഗ്രഗേഷൻ ടാപ്പ്, ആക്റ്റീവ് ടാപ്പ്, കോപ്പർ ടാപ്പ്, ഇഥർനെറ്റ് ടാപ്പ് മുതലായവ എന്നും അറിയപ്പെടുന്നു)
രണ്ട് പരിഹാരങ്ങളും (പോർട്ട് മിറർ, നെറ്റ്വർക്ക് ടാപ്പ്) തമ്മിലുള്ള വ്യത്യാസം വിശദീകരിക്കുന്നതിന് മുമ്പ്, ഇഥർനെറ്റ് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് മനസ്സിലാക്കേണ്ടത് പ്രധാനമാണ്.100Mbit-ലും അതിനുമുകളിലും, ഹോസ്റ്റുകൾ സാധാരണയായി മുഴുവൻ ഡ്യൂപ്ലെക്സിലും സംസാരിക്കുന്നു, അതായത് ഒരു ഹോസ്റ്റിന് ഒരേസമയം അയയ്ക്കാനും (Tx) സ്വീകരിക്കാനും (Rx) കഴിയും.ഇതിനർത്ഥം, ഒരു ഹോസ്റ്റുമായി ബന്ധിപ്പിച്ചിരിക്കുന്ന 100 Mbit കേബിളിൽ, ഒരു ഹോസ്റ്റിന് അയയ്ക്കാവുന്ന/സ്വീകരിക്കാനാകുന്ന നെറ്റ്വർക്ക് ട്രാഫിക്കിൻ്റെ ആകെ തുക 2 × 100 Mbit = 200 Mbit ആണ്.
പോർട്ട് മിററിംഗ് എന്നത് സജീവമായ പാക്കറ്റ് പകർപ്പാണ്, അതായത് മിറർ ചെയ്ത പോർട്ടിലേക്ക് പാക്കറ്റ് പകർത്തുന്നതിന് നെറ്റ്വർക്ക് ഉപകരണം ശാരീരികമായി ഉത്തരവാദിയാണ്.
ചില റിസോഴ്സ് (സിപിയു പോലുള്ളവ) ഉപയോഗിച്ച് ഉപകരണം ഈ ടാസ്ക് നിർവഹിക്കണം എന്നാണ് ഇതിനർത്ഥം, കൂടാതെ രണ്ട് ട്രാഫിക് ദിശകളും ഒരേ പോർട്ടിലേക്ക് പകർത്തപ്പെടും.നേരത്തെ സൂചിപ്പിച്ചതുപോലെ, ഒരു മുഴുവൻ ഡ്യുപ്ലെക്സ് ലിങ്കിൽ, ഇത് അർത്ഥമാക്കുന്നത്
എ -> ബി, ബി -> എ
പാക്കറ്റ് നഷ്ടം സംഭവിക്കുന്നതിന് മുമ്പ് A യുടെ തുക നെറ്റ്വർക്ക് വേഗത കവിയരുത്.പാക്കറ്റുകൾ പകർത്താൻ ഭൗതികമായി ഇടമില്ലാത്തതാണ് ഇതിന് കാരണം.പോർട്ട് മിററിംഗ് ഒരു മികച്ച സാങ്കേതികതയാണ്, കാരണം ഇത് പല സ്വിച്ചുകൾക്കും (എല്ലാം അല്ല) നിർവഹിക്കാൻ കഴിയും, കാരണം മിക്ക സ്വിച്ചുകൾക്കും പാക്കറ്റ് നഷ്ടത്തിൻ്റെ പോരായ്മയുണ്ട്, നിങ്ങൾ 50% ത്തിലധികം ലോഡുള്ള ഒരു ലിങ്ക് നിരീക്ഷിച്ചാൽ അല്ലെങ്കിൽ മിറർ ചെയ്താൽ വേഗതയേറിയ പോർട്ടിലേക്ക് പോർട്ടുകൾ (ഉദാ. 100 Mbit പോർട്ടുകൾ 1 Gbit പോർട്ടിലേക്ക് മിറർ ചെയ്യുക).പാക്കറ്റ് മിററിംഗിന് സ്വിച്ച് ഉറവിടങ്ങൾ കൈമാറ്റം ചെയ്യേണ്ടതായി വരാം, അത് ഉപകരണം ലോഡുചെയ്യുകയും എക്സ്ചേഞ്ച് പ്രകടനത്തെ തരംതാഴ്ത്തുകയും ചെയ്യും.നിങ്ങൾക്ക് 1 പോർട്ടിനെ ഒരു പോർട്ടിലേക്കോ 1 VLAN ഒരു പോർട്ടിലേക്കോ ബന്ധിപ്പിക്കാൻ കഴിയുമെന്നത് ശ്രദ്ധിക്കുക, എന്നാൽ നിങ്ങൾക്ക് പൊതുവെ പല പോർട്ടുകളും 1 ലേക്ക് പകർത്താൻ കഴിയില്ല. (പാക്കറ്റ് മിറർ പോലെ) കാണുന്നില്ല.
ഒരു നെറ്റ്വർക്ക് TAP (ടെർമിനൽ ആക്സസ് പോയിൻ്റ്)പൂർണ്ണമായും നിഷ്ക്രിയ ഹാർഡ്വെയർ ഉപകരണമാണ്, ഒരു നെറ്റ്വർക്കിൽ ട്രാഫിക്കിനെ നിഷ്ക്രിയമായി പിടിച്ചെടുക്കാൻ കഴിയും.നെറ്റ്വർക്കിലെ രണ്ട് പോയിൻ്റുകൾക്കിടയിലുള്ള ട്രാഫിക് നിരീക്ഷിക്കാൻ ഇത് സാധാരണയായി ഉപയോഗിക്കുന്നു.ഈ രണ്ട് പോയിൻ്റുകൾക്കിടയിലുള്ള നെറ്റ്വർക്കിൽ ഒരു ഫിസിക്കൽ കേബിൾ അടങ്ങിയിട്ടുണ്ടെങ്കിൽ, ട്രാഫിക് ക്യാപ്ചർ ചെയ്യുന്നതിനുള്ള ഏറ്റവും നല്ല മാർഗം ഒരു നെറ്റ്വർക്ക് TAP ആയിരിക്കും.
നെറ്റ്വർക്ക് TAP-ന് കുറഞ്ഞത് മൂന്ന് പോർട്ടുകളെങ്കിലും ഉണ്ട്: ഒരു പോർട്ട്, ഒരു ബി പോർട്ട്, ഒരു മോണിറ്റർ പോർട്ട്.എ, ബി പോയിൻ്റുകൾക്കിടയിൽ ഒരു ടാപ്പ് സ്ഥാപിക്കുന്നതിന്, പോയിൻ്റ് എയ്ക്കും ബി പോയിൻ്റിനും ഇടയിലുള്ള നെറ്റ്വർക്ക് കേബിളിന് പകരം ഒരു ജോടി കേബിളുകൾ നൽകുന്നു, ഒന്ന് ടിഎപിയുടെ എ പോർട്ടിലേക്കും മറ്റൊന്ന് ടിഎപിയുടെ ബി പോർട്ടിലേക്കും പോകുന്നു.രണ്ട് നെറ്റ്വർക്ക് പോയിൻ്റുകൾക്കിടയിലുള്ള എല്ലാ ട്രാഫിക്കും TAP കടന്നുപോകുന്നു, അതിനാൽ അവ ഇപ്പോഴും പരസ്പരം ബന്ധിപ്പിച്ചിരിക്കുന്നു.TAP അതിൻ്റെ മോണിറ്റർ പോർട്ടിലേക്ക് ട്രാഫിക്കും പകർത്തുന്നു, അങ്ങനെ ഒരു വിശകലന ഉപകരണം കേൾക്കാൻ പ്രാപ്തമാക്കുന്നു.
APS പോലെയുള്ള നിരീക്ഷണവും ശേഖരണ ഉപകരണങ്ങളും നെറ്റ്വർക്ക് TAP-കൾ സാധാരണയായി ഉപയോഗിക്കുന്നു.സുരക്ഷാ ആപ്ലിക്കേഷനുകളിലും TAP-കൾ ഉപയോഗിക്കാൻ കഴിയും, കാരണം അവ തടസ്സമില്ലാത്തതും നെറ്റ്വർക്കിൽ കണ്ടെത്താനാകാത്തതും ഫുൾ-ഡ്യൂപ്ലെക്സ്, നോൺ-ഷെയർഡ് നെറ്റ്വർക്കുകൾ കൈകാര്യം ചെയ്യാനുമാകും, ടാപ്പ് പ്രവർത്തിക്കുന്നത് നിർത്തുകയോ വൈദ്യുതി നഷ്ടപ്പെടുകയോ ചെയ്താൽ പോലും സാധാരണയായി ട്രാഫിക്കിലൂടെ കടന്നുപോകും. .
നെറ്റ്വർക്ക് ടാപ്സ് പോർട്ടുകൾ സ്വീകരിക്കാത്തതിനാൽ ട്രാൻസ്മിറ്റ് മാത്രം ചെയ്യുന്നതിനാൽ, പോർട്ടുകൾക്ക് പിന്നിൽ ആരാണ് ഇരിക്കുന്നതെന്ന് സ്വിച്ചിന് ഒരു സൂചനയും ഇല്ല.എല്ലാ തുറമുഖങ്ങളിലേക്കും പാക്കറ്റുകൾ പ്രക്ഷേപണം ചെയ്യുന്നു എന്നതാണ് അനന്തരഫലം.അതിനാൽ, നിങ്ങളുടെ മോണിറ്ററിംഗ് ഉപകരണം സ്വിച്ചിലേക്ക് കണക്റ്റുചെയ്യുകയാണെങ്കിൽ, അത്തരം ഉപകരണത്തിന് എല്ലാ പാക്കറ്റുകളും ലഭിക്കും.മോണിറ്ററിംഗ് ഉപകരണം സ്വിച്ചിലേക്ക് ഒരു പാക്കറ്റും അയച്ചില്ലെങ്കിൽ ഈ സംവിധാനം പ്രവർത്തിക്കുന്നു എന്നത് ശ്രദ്ധിക്കുക;അല്ലെങ്കിൽ, ടാപ്പുചെയ്ത പാക്കറ്റുകൾ അത്തരം ഉപകരണത്തിനുള്ളതല്ലെന്ന് സ്വിച്ച് അനുമാനിക്കും.അത് നേടുന്നതിന്, നിങ്ങൾക്ക് ഒന്നുകിൽ TX വയറുകൾ ബന്ധിപ്പിച്ചിട്ടില്ലാത്ത ഒരു നെറ്റ്വർക്ക് കേബിൾ ഉപയോഗിക്കാം, അല്ലെങ്കിൽ പാക്കറ്റുകൾ കൈമാറാത്ത ഒരു IP-ലെസ്സ് (ഒപ്പം DHCP-ലെസ്സ്) നെറ്റ്വർക്ക് ഇൻ്റർഫേസ് ഉപയോഗിക്കാം.അവസാനമായി ശ്രദ്ധിക്കുക, പാക്കറ്റുകൾ നഷ്ടപ്പെടാതിരിക്കാൻ നിങ്ങൾക്ക് ഒരു ടാപ്പ് ഉപയോഗിക്കണമെങ്കിൽ, ഒന്നുകിൽ ദിശകൾ ലയിപ്പിക്കരുത് അല്ലെങ്കിൽ ടാപ്പ് ചെയ്ത ദിശകൾ മന്ദഗതിയിലാകുന്ന ഒരു സ്വിച്ച് ഉപയോഗിക്കുക (ഉദാ. 100 Mbit) മെർജ് പോർട്ട് (ഉദാ. 1 Gbit).
അപ്പോൾ, നെറ്റ്വർക്ക് ട്രാഫിക്ക് എങ്ങനെ ക്യാപ്ചർ ചെയ്യാം?നെറ്റ്വർക്ക് ടാപ്പുകൾ vs സ്വിച്ച് പോർട്ട് മിറർ
1- എളുപ്പമുള്ള കോൺഫിഗറേഷൻ: നെറ്റ്വർക്ക് ടാപ്പ് > പോർട്ട് മിറർ
2- നെറ്റ്വർക്ക് പ്രകടനത്തിൻ്റെ സ്വാധീനം: നെറ്റ്വർക്ക് ടാപ്പ് < പോർട്ട് മിറർ
3- ക്യാപ്ചർ, റെപ്ലിക്കേഷൻ, അഗ്രഗേഷൻ, ഫോർവേഡിംഗ് കഴിവ്: നെറ്റ്വർക്ക് ടാപ്പ് > പോർട്ട് മിറർ
4- ട്രാഫിക് ഫോർവേഡിംഗ് ലേറ്റൻസി: നെറ്റ്വർക്ക് ടാപ്പ് < പോർട്ട് മിറർ
5- ട്രാഫിക്ക് പ്രീപ്രോസസിംഗ് കപ്പാസിറ്റി: നെറ്റ്വർക്ക് ടാപ്പ് > പോർട്ട് മിറർ
പോസ്റ്റ് സമയം: മാർച്ച്-30-2022
