Aron ma-analisa ang trapiko sa network, kinahanglan ipadala ang network packet ngadto sa NTOP/NPROBE o Out-of-band Network Security and Monitoring Tools. Adunay duha ka solusyon niini nga problema:
Pag-mirror sa Port(nailhan usab nga SPAN)
Tapik sa Network(nailhan usab nga Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ug uban pa.)
Sa dili pa nato ipasabot ang kalainan tali sa duha ka solusyon (Port Mirror ug Network Tap), importante nga masabtan nato kon giunsa paglihok ang Ethernet. Sa 100Mbit pataas, ang mga host kasagaran mosulti sa full duplex, nga nagpasabot nga ang usa ka host makapadala (Tx) ug makadawat (Rx) sa samang higayon. Kini nagpasabot nga sa usa ka 100 Mbit nga kable nga konektado sa usa ka host, ang kinatibuk-ang gidaghanon sa trapiko sa network nga mapadala/madawat sa usa ka host (Tx/Rx)) kay 2 × 100 Mbit = 200 Mbit.
Ang Port mirroring kay active packet replication, nga nagpasabot nga ang network device ang pisikal nga responsable sa pagkopya sa packet ngadto sa mirrored port.
Kini nagpasabot nga ang device kinahanglan mohimo niini nga buluhaton pinaagi sa paggamit sa pipila ka resource (sama sa CPU), ug ang duha ka direksyon sa trapiko i-replicate sa samang port. Sama sa nahisgotan na, sa A full duplex link, kini nagpasabot nga
A -> B ug B -> A
Ang sumada sa A dili molapas sa gikusgon sa network sa dili pa mahitabo ang packet loss. Kini tungod kay walay pisikal nga espasyo para kopyahon ang mga packet. Nasuta nga ang port mirroring usa ka maayong teknik kay mahimo kini sa daghang switch (apan dili tanan), tungod kay kadaghanan sa mga switch adunay disbentaha nga packet loss, kon imong monitoron ang usa ka link nga sobra sa 50% nga load, o i-mirror ang mga port ngadto sa mas paspas nga port (pananglitan i-mirror ang 100 Mbit ports ngadto sa 1 Gbit port). Dili na lang hisgutan nga ang packet mirroring mahimong magkinahanglan og pagbayloay og mga resources sa switch, nga mahimong mag-load sa device ug moresulta sa pagkadaot sa performance sa exchange. Timan-i nga mahimo nimong ikonektar ang 1 port ngadto sa usa ka port, o 1 VLAN ngadto sa usa ka port, apan kasagaran dili ka makakopya og daghang port ngadto sa 1. (Mao nga ang packet mirror) nawala.
Usa ka Network TAP (Terminal Access Point)usa ka hingpit nga passive hardware device, nga mahimong passively nga makadakop sa trapiko sa usa ka network. Kasagaran kini gigamit sa pagmonitor sa trapiko tali sa duha ka punto sa network. Kung ang network tali niining duha ka punto gilangkoban sa usa ka pisikal nga kable, ang network TAP mahimong labing maayong paagi sa pagkuha sa trapiko.
Ang network TAP adunay labing menos tulo ka port: usa ka A port, usa ka B port, ug usa ka monitor port. Aron magbutang og tap tali sa mga punto A ug B, ang network cable tali sa punto A ug punto B ilisan og pares nga mga kable, ang usa moadto sa A port sa TAP, ang usa moadto sa B port sa TAP. Ang TAP mopasa sa tanang trapiko tali sa duha ka network point, aron sila konektado gihapon sa usag usa. Ang TAP mokopya usab sa trapiko ngadto sa monitor port niini, sa ingon makapahimo sa usa ka analysis device nga maminaw.
Ang mga Network TAP kasagarang gigamit sa mga monitoring ug collection device sama sa APS. Ang mga TAP magamit usab sa mga aplikasyon sa seguridad tungod kay kini dili makabalda, dili mamatikdan sa network, makasagubang sa full-duplex ug non-shared networks, ug kasagaran moagi sa trapiko bisan kung ang gripo mohunong sa pagtrabaho o mawad-an sa kuryente.
Tungod kay ang mga Network Taps port dili modawat kondili mopadala lang, ang switch walay ideya kon kinsa ang naglingkod sa luyo sa mga port. Ang resulta mao nga kini mo-broadcast sa mga packet ngadto sa tanang port. Busa, kon imong ikonektar ang imong monitoring device sa switch, ang maong device makadawat sa tanang packet. Timan-i nga kini nga mekanismo molihok kon ang monitoring device dili magpadala og bisan unsang packet ngadto sa switch; kon dili, ang switch maghunahuna nga ang mga tapped packet dili para sa maong device. Aron makab-ot kana, mahimo kang mogamit og network cable diin wala nimo ikonektar ang mga TX wire, o mogamit og IP-less (ug DHCP-less) network interface nga dili gyud mopadala og mga packet. Sa katapusan, timan-i nga kon gusto nimong mogamit og tap para dili mawala ang mga packet, ayaw pag-merge sa mga direksyon o paggamit og switch diin ang mga tapped directions mas hinay (pananglitan 100 Mbit) kay sa merge port (pananglitan 1 Gbit).
Busa, unsaon pagkuha sa trapiko sa network? Network Taps vs Switch Ports Mirror
1- Sayon nga pag-configure: Network Tap > Port Mirror
2- Impluwensya sa Pagganap sa Network: Network Tap < Port Mirror
3- Pagkuha, Pagkopya, Pag-aggregate, Abilidad sa Pag-forward: Network Tap > Port Mirror
4- Kalangan sa Pagpasa sa Trapiko: Network Tap < Port Mirror
5- Kapasidad sa Pagproseso sa Trapiko: Network Tap > Port Mirror
Oras sa pag-post: Mar-30-2022
