Да би се анализирао мрежни саобраћај, потребно је послати мрежни пакет на НТОП/НПРОБЕ или Оут-оф-банд Нетворк Сецурити анд Мониторинг Тоолс. Постоје два решења за овај проблем:
Порт Мирроринг(познат и као СПАН)
Мрежа Додирните(такође познат као реплицатион Тап, Аггрегатион Тап, Ацтиве Тап, Цоппер Тап, Етхернет Тап, итд.)
Пре него што објасните разлике између ова два решења (Порт Миррор и Нетворк Тап), важно је разумети како Етхернет функционише. На 100 Мбита и више, домаћини обично говоре у пуном дуплексу, што значи да један хост може истовремено да шаље (Тк) и прима (Рк). То значи да на каблу од 100 Мбит који је повезан са једним хостом, укупна количина мрежног саобраћаја који један хост може да пошаље/прими (Тк/Рк)) износи 2 × 100 Мбит = 200 Мбит.
Пресликавање порта је активна репликација пакета, што значи да је мрежни уређај физички одговоран за копирање пакета на пресликани порт.
То значи да уређај мора да изврши овај задатак користећи неки ресурс (као што је ЦПУ), а оба смера саобраћаја ће се реплицирати на исти порт. Као што је раније поменуто, у пуној дуплекс вези, то значи да
А - > Б и Б -> А
Збир А неће премашити брзину мреже пре него што дође до губитка пакета. То је зато што физички нема простора за копирање пакета. Испоставило се да је пресликавање портова одлична техника јер га могу извести многи свичеви (али не сви), јер већина свичева са недостатком губитка пакета, ако надгледате везу са преко 50% оптерећења, или пресликавате портове на бржи порт (нпр. пресликајте портове од 100 Мбит на порт од 1 Гбит). Да не помињемо да пресликавање пакета може захтевати размену ресурса комутатора, што може да учита уређај и изазове смањење перформанси размене. Имајте на уму да можете да повежете 1 порт на један порт, или 1 ВЛАН на један порт, али генерално не можете да копирате много портова на 1. (Тако да недостаје огледало пакета).
Мрежни ТАП (терминална приступна тачка)је потпуно пасивни хардверски уређај, који може пасивно да ухвати саобраћај на мрежи. Обично се користи за праћење саобраћаја између две тачке у мрежи. Ако се мрежа између ове две тачке састоји од физичког кабла, мрежни ТАП може бити најбољи начин да се ухвати саобраћај.
Мрежни ТАП има најмање три порта: А порт, Б порт и порт за монитор. Да бисте поставили славину између тачака А и Б, мрежни кабл између тачке А и тачке Б се замењује са паром каблова, од којих један иде до А порта ТАП-а, а други до Б порта ТАП-а. ТАП пропушта сав саобраћај између две мрежне тачке, тако да су оне и даље повезане једна са другом. ТАП такође копира саобраћај на свој порт за монитор, омогућавајући тако уређају за анализу да слуша.
Мрежне ТАП-ове обично користе уређаји за праћење и прикупљање података као што је АПС. ТАП-ови се такође могу користити у безбедносним апликацијама јер нису наметљиви, не могу се открити на мрежи, могу да раде са фулл-дуплекс и не-дељеним мрежама, и обично ће проћи кроз саобраћај чак и ако славина престане да ради или изгуби напајање .
Како портови мрежних тапа не примају већ само емитују, комутатор нема појма ко седи иза портова. Последица је да емитује пакете на све портове. Стога, ако повежете свој надзорни уређај са прекидачем, такав уређај ће примити све пакете. Имајте на уму да овај механизам функционише ако уређај за праћење не шаље ниједан пакет комутатору; у супротном, прекидач ће претпоставити да прислушкивани пакети нису за такав уређај. Да бисте то постигли, можете користити мрежни кабл на који нисте повезали ТКС жице или користити мрежни интерфејс без ИП-а (и без ДХЦП-а) који уопште не преноси пакете. Коначно, имајте на уму да ако желите да користите тап да не изгубите пакете, онда или немојте спајати упутства или користите прекидач где су тапнута упутства спорија (нпр. 100 Мбит) од порта за спајање (нпр. 1 Гбит).
Дакле, како ухватити мрежни саобраћај? Мрежне славине наспрам огледала за пребацивање портова
1- Једноставна конфигурација: Додирните Мрежа > Огледало порта
2- Утицај на перформансе мреже: Тапните на мрежу < Порт Миррор
3- Способност снимања, репликације, агрегације, прослеђивања: Мрежни додир > Огледало порта
4- Кашњење прослеђивања саобраћаја: Тапните на мрежу < Порт Миррор
5- Капацитет за претходну обраду саобраћаја: Додирните Мрежа > Огледало порта
Време поста: 30.03.2022