Om it netwurkferkear te analysearjen, is it nedich om it netwurkpakket nei NTOP/NPROBE of Out-of-band Network Security and Monitoring Tools te stjoeren. D'r binne twa oplossingen foar dit probleem:
Portspegeljen(ek wol bekend as SPAN)
Netwurktape(ek wol bekend as Replikaasjetap, Aggregaasjetap, Aktive Tap, Kopertap, Ethernettap, ensfh.)
Foardat wy de ferskillen tusken de twa oplossingen (Port Mirror en Network Tap) útlizze, is it wichtich om te begripen hoe't Ethernet wurket. By 100Mbit en heger sprekke hosts meastentiids yn folsleine duplex, wat betsjut dat ien host tagelyk kin ferstjoere (Tx) en ûntfange (Rx). Dit betsjut dat op in 100 Mbit-kabel dy't ferbûn is mei ien host, de totale hoemannichte netwurkferkear dy't ien host kin ferstjoere/ûntfange (Tx/Rx)) 2 × 100 Mbit = 200 Mbit is.
Port mirroring is aktive pakketreplikaasje, wat betsjut dat it netwurkapparaat fysyk ferantwurdlik is foar it kopiearjen fan it pakket nei de spegele poarte.
Dit betsjut dat it apparaat dizze taak útfiere moat mei help fan in boarne (lykas de CPU), en beide ferkearsrjochtingen wurde nei deselde poarte replikearre. Lykas earder neamd, betsjut dit yn in folsleine duplex-keppeling dat
A - > B en B -> A
De som fan A sil de netwurksnelheid net oerskriuwe foardat pakketferlies optreedt. Dit komt om't der fysyk gjin romte is om pakketten te kopiearjen. It docht bliken dat port mirroring in geweldige technyk is, om't it troch in protte switches (mar net allegear) útfierd wurde kin, om't de measte switches it neidiel fan pakketferlies hawwe, as jo in keppeling mei mear as 50% lading kontrolearje, of de poarten spegelje nei in rappere poarte (bygelyks 100 Mbit-poarten spegelje nei in 1 Gbit-poarte). Net te ferjitten dat pakket mirroring it útwikseljen fan switchboarnen fereaskje kin, wat it apparaat kin lade en de prestaasjes fan 'e útwikseling kin ferleegje. Tink derom dat jo 1 poarte oan ien poarte kinne ferbine, of 1 VLAN oan ien poarte, mar jo kinne oer it algemien net in protte poarten nei 1 kopiearje. (Dus om't de pakket mirror) ûntbrekt.
In netwurk TAP (Terminal Access Point)is in folslein passyf hardware-apparaat, dat passyf ferkear op in netwurk kin fange. It wurdt faak brûkt om it ferkear tusken twa punten yn it netwurk te kontrolearjen. As it netwurk tusken dizze twa punten bestiet út in fysike kabel, kin in netwurk-TAP de bêste manier wêze om ferkear te fangen.
De netwurk-TAP hat teminsten trije poarten: in A-poarte, in B-poarte en in monitorpoarte. Om in tap tusken punten A en B te pleatsen, wurdt de netwurkkabel tusken punt A en punt B ferfongen troch in pear kabels, ien dy't nei de A-poarte fan 'e TAP giet, de oare nei de B-poarte fan 'e TAP. De TAP jout al it ferkear tusken de twa netwurkpunten troch, sadat se noch altyd mei-inoar ferbûn binne. De TAP kopiearret it ferkear ek nei syn monitorpoarte, wêrtroch in analyseapparaat harkje kin.
Netwurk-TAP's wurde faak brûkt troch monitoring- en sammelapparaten lykas APS. TAP's kinne ek brûkt wurde yn befeiligingsapplikaasjes, om't se net opfallend binne, net detektearber binne op it netwurk, kinne omgean mei full-duplex en net-dielde netwurken, en meastentiids ferkear trochjaan, sels as de tap ophâldt mei wurkjen of stroom ferliest.
Omdat Network Taps-poarten net ûntfange, mar allinich ferstjoere, hat de switch gjin idee wa't efter de poarten sit. It gefolch is dat it de pakketten nei alle poarten útstjoert. Dêrom, as jo jo monitoringapparaat ferbine mei de switch, sil sa'n apparaat alle pakketten ûntfange. Tink derom dat dit meganisme wurket as it monitoringapparaat gjin pakket nei de switch stjoert; oars sil de switch oannimme dat de ôftapte pakketten net foar sa'n apparaat binne. Om dat te berikken, kinne jo in netwurkkabel brûke wêrop jo de TX-triedden net ferbûn hawwe, of in IP-leaze (en DHCP-leaze) netwurkynterface brûke dy't hielendal gjin pakketten ferstjoert. Tink derom dat as jo in ôftapping brûke wolle om gjin pakketten te ferliezen, jo dan gjin gearfoegingsrjochtingen brûke of in switch brûke wêr't ôftapte rjochtingen stadiger binne (bygelyks 100 Mbit) as de gearfoegingspoarte (bygelyks 1 Gbit).
Dus, hoe kinne jo netwurkferkear fêstlizze? Netwurktaps vs. Switchports Mirror
1- Maklike konfiguraasje: Netwurk Tap > Port Mirror
2- Ynfloed op netwurkprestaasjes: Netwurktap < Poartspegel
3- Fêstlizze, replikearje, aggregearje, trochstjoere: Netwurktap > Portspegel
4- Ferkears trochstjoere Latency: Netwurk Tap < Port Mirror
5- Ferkearsfoarferwurkingskapasiteit: Netwurktap > Portspegel
Pleatsingstiid: 30 maart 2022
