नेटवर्क ट्राफिकको विश्लेषण गर्न, नेटवर्क प्याकेटलाई NTOP/NPROBE वा आउट-अफ-ब्यान्ड नेटवर्क सुरक्षा र अनुगमन उपकरणहरूमा पठाउन आवश्यक छ। यो समस्याको दुई समाधानहरू छन्:
पोर्ट मिररिङ(स्प्यान भनेर पनि चिनिन्छ)
नेटवर्क ट्याप(प्रतिकृति ट्याप, एकत्रीकरण ट्याप, सक्रिय ट्याप, कपर ट्याप, इथरनेट ट्याप, आदि भनेर पनि चिनिन्छ)
दुई समाधानहरू (पोर्ट मिरर र नेटवर्क ट्याप) बीचको भिन्नताहरू व्याख्या गर्नु अघि, इथरनेटले कसरी काम गर्छ भनेर बुझ्नु महत्त्वपूर्ण छ। १००Mbit र माथिकोमा, होस्टहरू सामान्यतया पूर्ण डुप्लेक्समा बोल्छन्, जसको अर्थ एउटा होस्टले एकैसाथ पठाउन (Tx) र प्राप्त गर्न (Rx) सक्छ। यसको अर्थ एउटा होस्टमा जडान गरिएको १०० Mbit केबलमा, एउटा होस्टले पठाउन/प्राप्त गर्न सक्ने नेटवर्क ट्राफिकको कुल मात्रा (Tx/Rx)) २ × १०० Mbit = २०० Mbit हो।
पोर्ट मिररिङ सक्रिय प्याकेट प्रतिकृति हो, जसको अर्थ नेटवर्क उपकरण मिरर गरिएको पोर्टमा प्याकेट प्रतिलिपि गर्न भौतिक रूपमा जिम्मेवार हुन्छ।
यसको अर्थ उपकरणले केही स्रोत (जस्तै CPU) प्रयोग गरेर यो कार्य गर्नुपर्छ, र दुवै ट्राफिक निर्देशनहरू एउटै पोर्टमा दोहोरिनेछन्। पहिले उल्लेख गरिएझैं, पूर्ण डुप्लेक्स लिङ्कमा, यसको अर्थ यो हो कि
A - > B र B -> A
प्याकेट हराउनु अघि A को योगफल नेटवर्क गति भन्दा बढी हुने छैन। यो किनभने प्याकेटहरू प्रतिलिपि गर्न भौतिक रूपमा कुनै ठाउँ छैन। यो बाहिर निस्कन्छ कि पोर्ट मिररिङ एक उत्कृष्ट प्रविधि हो किनकि यो धेरै स्विचहरू (तर सबै होइन) द्वारा गर्न सकिन्छ, किनभने धेरैजसो स्विचहरूमा प्याकेट हराउने कमजोरी हुन्छ, यदि तपाईंले ५०% भन्दा बढी लोड भएको लिङ्क निगरानी गर्नुहुन्छ, वा पोर्टहरूलाई छिटो पोर्टमा मिरर गर्नुहुन्छ (जस्तै १ Gbit पोर्टमा १०० Mbit पोर्टहरू मिरर गर्नुहोस्)। प्याकेट मिररिङलाई स्विच स्रोतहरू आदानप्रदान गर्न आवश्यक पर्न सक्छ भन्ने कुरा उल्लेख नगर्नुहोस्, जसले उपकरण लोड गर्न सक्छ र विनिमय कार्यसम्पादन घटाउन सक्छ। ध्यान दिनुहोस् कि तपाईं १ पोर्टलाई एउटा पोर्टमा, वा १ VLAN लाई एउटा पोर्टमा जडान गर्न सक्नुहुन्छ, तर तपाईं सामान्यतया धेरै पोर्टहरूलाई १ मा प्रतिलिपि गर्न सक्नुहुन्न। (जस्तै प्याकेट मिरर) हराइरहेको छ।
नेटवर्क ट्याप (टर्मिनल एक्सेस पोइन्ट)यो पूर्ण रूपमा निष्क्रिय हार्डवेयर उपकरण हो, जसले नेटवर्कमा निष्क्रिय रूपमा ट्राफिक क्याप्चर गर्न सक्छ। यो सामान्यतया नेटवर्कमा दुई बिन्दुहरू बीचको ट्राफिक निगरानी गर्न प्रयोग गरिन्छ। यदि यी दुई बिन्दुहरू बीचको नेटवर्कमा भौतिक केबल छ भने, नेटवर्क TAP ट्राफिक क्याप्चर गर्ने उत्तम तरिका हुन सक्छ।
नेटवर्क TAP मा कम्तिमा तीन पोर्टहरू हुन्छन्: एउटा A पोर्ट, एउटा B पोर्ट, र एउटा मनिटर पोर्ट। बिन्दु A र B बीच ट्याप राख्नको लागि, बिन्दु A र बिन्दु B बीचको नेटवर्क केबललाई केबलहरूको जोडीले प्रतिस्थापन गरिन्छ, एउटा TAP को A पोर्टमा जान्छ, अर्को TAP को B पोर्टमा जान्छ। TAP ले दुई नेटवर्क बिन्दुहरू बीचको सबै ट्राफिक पास गर्छ, त्यसैले तिनीहरू अझै पनि एकअर्कासँग जोडिएका हुन्छन्। TAP ले ट्राफिकलाई यसको मनिटर पोर्टमा पनि प्रतिलिपि गर्छ, जसले गर्दा विश्लेषण उपकरण सुन्न सक्षम हुन्छ।
नेटवर्क TAP हरू सामान्यतया APS जस्ता अनुगमन र सङ्कलन उपकरणहरूद्वारा प्रयोग गरिन्छ। TAP हरू सुरक्षा अनुप्रयोगहरूमा पनि प्रयोग गर्न सकिन्छ किनभने तिनीहरू गैर-अवरोधक हुन्छन्, नेटवर्कमा पत्ता लगाउन सकिँदैनन्, पूर्ण-डुप्लेक्स र गैर-साझेदारी नेटवर्कहरूसँग व्यवहार गर्न सक्छन्, र ट्यापले काम गर्न छोडे पनि वा पावर गुमाए पनि सामान्यतया ट्राफिक पास-थ्रु हुनेछन्।
नेटवर्क ट्याप्स पोर्टहरूले प्राप्त नगर्ने तर प्रसारण मात्र गर्ने भएकाले, स्विचलाई पोर्टहरूको पछाडि को बसिरहेको छ भन्ने कुनै जानकारी हुँदैन। परिणामस्वरूप यसले प्याकेटहरूलाई सबै पोर्टहरूमा प्रसारण गर्दछ। त्यसकारण, यदि तपाईंले आफ्नो निगरानी उपकरणलाई स्विचमा जडान गर्नुभयो भने, त्यस्तो उपकरणले सबै प्याकेटहरू प्राप्त गर्नेछ। ध्यान दिनुहोस् कि यदि अनुगमन उपकरणले स्विचमा कुनै प्याकेट पठाउँदैन भने यो संयन्त्रले काम गर्छ; अन्यथा, स्विचले मान्नेछ कि ट्याप गरिएका प्याकेटहरू त्यस्तो उपकरणको लागि होइनन्। त्यो प्राप्त गर्नको लागि, तपाईंले या त TX तारहरू जडान गर्नुभएको नेटवर्क केबल प्रयोग गर्न सक्नुहुन्छ, वा IP-रहित (र DHCP-रहित) नेटवर्क इन्टरफेस प्रयोग गर्न सक्नुहुन्छ जसले प्याकेटहरू बिल्कुलै प्रसारण गर्दैन। अन्तमा ध्यान दिनुहोस् कि यदि तपाईं प्याकेटहरू नगुमाउनको लागि ट्याप प्रयोग गर्न चाहनुहुन्छ भने, या त निर्देशनहरू मर्ज नगर्नुहोस् वा ट्याप गरिएका निर्देशनहरू मर्ज पोर्ट (जस्तै १ Gbit) भन्दा ढिलो (जस्तै १०० Mbit) भएको स्विच प्रयोग नगर्नुहोस्।
त्यसो भए, नेटवर्क ट्राफिक कसरी कैद गर्ने? नेटवर्क ट्याप्स बनाम स्विच पोर्ट मिरर
१- सजिलो कन्फिगरेसन: नेटवर्क ट्याप > पोर्ट मिरर
२- नेटवर्क कार्यसम्पादन प्रभाव: नेटवर्क ट्याप <पोर्ट मिरर
३- क्याप्चर, प्रतिकृति, एकत्रीकरण, फर्वार्डिङ क्षमता: नेटवर्क ट्याप > पोर्ट मिरर
४- ट्राफिक फर्वार्डिङ लेटन्सी: नेटवर्क ट्याप <पोर्ट मिरर
५- ट्राफिक प्रिप्रोसेसिङ क्षमता: नेटवर्क ट्याप > पोर्ट मिरर
पोस्ट समय: मार्च-३०-२०२२
