Për të analizuar trafikun e rrjetit, është e nevojshme të dërgoni paketën e rrjetit te NTOP/NPROBE ose Out-of-band Network Security and Monitoring Tools. Ekzistojnë dy zgjidhje për këtë problem:
Pasqyrimi i Portit(i njohur edhe si SPAN)
Prekje në rrjet(i njohur edhe si Replikim Tap, Agregim Tap, Aktiv Tap, Bakër Tap, Ethernet Tap, etj.)
Para se të shpjegojmë ndryshimet midis dy zgjidhjeve (Port Mirror dhe Network Tap), është e rëndësishme të kuptojmë se si funksionon Ethernet. Në 100Mbit e lart, hostet zakonisht flasin në full duplex, që do të thotë se një host mund të dërgojë (Tx) dhe të marrë (Rx) njëkohësisht. Kjo do të thotë që në një kabllo 100 Mbit të lidhur me një host, sasia totale e trafikut të rrjetit që një host mund të dërgojë/marrë (Tx/Rx)) është 2 × 100 Mbit = 200 Mbit.
Pasqyrimi i portit është replikim aktiv i paketave, që do të thotë se pajisja e rrjetit është fizikisht përgjegjëse për kopjimin e paketës në portin e pasqyruar.
Kjo do të thotë që pajisja duhet ta kryejë këtë detyrë duke përdorur ndonjë burim (siç është CPU-ja), dhe të dy drejtimet e trafikut do të replikohen në të njëjtën port. Siç u përmend më parë, në një lidhje të plotë dupleks, kjo do të thotë që
A - > B dhe B -> A
Shuma e A nuk do ta kalojë shpejtësinë e rrjetit përpara se të ndodhë humbja e paketave. Kjo ndodh sepse fizikisht nuk ka hapësirë për të kopjuar paketat. Rezulton se pasqyrimi i porteve është një teknikë e shkëlqyer pasi mund të kryhet nga shumë switch-a (por jo të gjithë), sepse shumica e switch-ave kanë pengesën e humbjes së paketave, nëse monitoroni një lidhje me mbi 50% ngarkesë, ose pasqyroni portet në një port më të shpejtë (p.sh. pasqyroni portet 100 Mbit në një port 1 Gbit). Pa përmendur që pasqyrimi i paketave mund të kërkojë shkëmbimin e burimeve të switch-ave, gjë që mund të ngarkojë pajisjen dhe të shkaktojë degradimin e performancës së shkëmbimit. Vini re se mund të lidhni 1 port me një port, ose 1 VLAN me një port, por në përgjithësi nuk mund të kopjoni shumë porte në 1. (Pra, pasi pasqyrimi i paketave) mungon.
Një TAP i Rrjetit (Pikë Qasjeje në Terminal)është një pajisje harduerike plotësisht pasive, e cila mund të kapë në mënyrë pasive trafikun në një rrjet. Përdoret zakonisht për të monitoruar trafikun midis dy pikave në rrjet. Nëse rrjeti midis këtyre dy pikave përbëhet nga një kabllo fizike, një TAP rrjeti mund të jetë mënyra më e mirë për të kapur trafikun.
TAP-i i rrjetit ka të paktën tre porta: një port A, një port B dhe një port monitorimi. Për të vendosur një portë lidhëse midis pikave A dhe B, kablloja e rrjetit midis pikës A dhe pikës B zëvendësohet me një palë kabllosh, njëri që shkon në portën A të TAP-it dhe tjetri që shkon në portën B të TAP-it. TAP-i kalon të gjithë trafikun midis dy pikave të rrjetit, kështu që ato janë ende të lidhura me njëra-tjetrën. TAP-i gjithashtu kopjon trafikun në portën e tij të monitorimit, duke i mundësuar kështu një pajisjeje analize të dëgjojë.
TAP-et e rrjetit përdoren zakonisht nga pajisjet e monitorimit dhe mbledhjes, të tilla si APS. TAP-et mund të përdoren gjithashtu në aplikacionet e sigurisë sepse nuk janë të bezdisshme, nuk dallohen në rrjet, mund të merren me rrjete full-duplex dhe jo të përbashkëta, dhe zakonisht do të kalojnë trafikun edhe nëse rubineti ndalon së punuari ose humbet energjinë.
Meqenëse portet Network Taps nuk marrin, por vetëm transmetojnë, switch-i nuk ka idenë se kush është pas porteve. Pasoja është se ai transmeton paketat në të gjitha portet. Prandaj, nëse e lidhni pajisjen tuaj të monitorimit me switch-in, një pajisje e tillë do të marrë të gjitha paketat. Vini re se ky mekanizëm funksionon nëse pajisja e monitorimit nuk dërgon asnjë paketë te switch-i; përndryshe, switch-i do të supozojë se paketat e përgjuara nuk janë për një pajisje të tillë. Për ta arritur këtë, mund të përdorni një kabllo rrjeti në të cilën nuk i keni lidhur telat TX, ose të përdorni një ndërfaqe rrjeti pa IP (dhe pa DHCP) që nuk transmeton fare paketa. Së fundmi, vini re se nëse doni të përdorni një përgjues për të mos humbur paketa, atëherë ose mos i bashkoni udhëzimet ose përdorni një switch ku udhëzimet e përgjuara janë më të ngadalta (p.sh. 100 Mbit) sesa porta e bashkimit (p.sh. 1 Gbit).
Pra, si të kapni trafikun e rrjetit? Rrjeti i tapave kundrejt portave të ndërruesit.
1- Konfigurim i lehtë: Prekja e rrjetit > Pasqyra e portave
2- Ndikimi në Performancën e Rrjetit: Prekja e Rrjetit < Pasqyra e Portave
3- Kapja, Replikimi, Agregimi, Aftësia e Përcjelljes: Prekja e Rrjetit > Pasqyra e Portave
4- Vonesa e Përcjelljes së Trafikut: Prekja e Rrjetit < Pasqyra e Portit
5- Kapaciteti i Parapërpunimit të Trafikut: Prekja e Rrjetit > Pasqyra e Portave
Koha e postimit: 30 Mars 2022
