For at analysere netværkstrafikken er det nødvendigt at sende netværkspakken til NTOP/NPROBE eller Out-of-band Network Security and Monitoring Tools. Der er to løsninger på dette problem:
Portspejling(også kendt som SPAN)
Netværkstap(også kendt som replikeringstap, aggregeringstap, aktivt tap, kobbertap, Ethernet-tap osv.)
Før vi forklarer forskellene mellem de to løsninger (Port Mirror og Network Tap), er det vigtigt at forstå, hvordan Ethernet fungerer. Ved 100 Mbit og derover taler værter normalt i fuld duplex, hvilket betyder, at én vært kan sende (Tx) og modtage (Rx) samtidigt. Det betyder, at på et 100 Mbit-kabel forbundet til én vært, er den samlede mængde netværkstrafik, som én vært kan sende/modtage (Tx/Rx)), 2 × 100 Mbit = 200 Mbit.
Portspejling er aktiv pakkereplikering, hvilket betyder, at netværksenheden er fysisk ansvarlig for at kopiere pakken til den spejlede port.
Det betyder, at enheden skal udføre denne opgave ved hjælp af en ressource (f.eks. CPU'en), og begge trafikretninger vil blive replikeret til den samme port. Som nævnt tidligere betyder det i et fuld duplex-link, at
A -> B og B -> A
Summen af A vil ikke overstige netværkshastigheden, før der opstår pakketab. Dette skyldes, at der fysisk ikke er plads til at kopiere pakker. Det viser sig, at portspejling er en fremragende teknik, da den kan udføres af mange switche (men ikke alle), fordi de fleste switche har ulempen ved pakketab, hvis man overvåger et link med over 50% belastning eller spejler portene til en hurtigere port (f.eks. spejler 100 Mbit-porte til en 1 Gbit-port). For ikke at nævne, at pakkespejling kan kræve udveksling af switchressourcer, hvilket kan belaste enheden og forringe udbyderens ydeevne. Bemærk, at du kan tilslutte 1 port til én port eller 1 VLAN til én port, men du kan generelt ikke kopiere mange porte til 1. (Så pakkespejlet) mangler.
Et netværks-TAP (terminaladgangspunkt)er en fuldt passiv hardwareenhed, der passivt kan opfange trafik på et netværk. Den bruges almindeligvis til at overvåge trafikken mellem to punkter i netværket. Hvis netværket mellem disse to punkter består af et fysisk kabel, kan en netværks-TAP være den bedste måde at opfange trafik på.
Netværks-TAP'en har mindst tre porte: en A-port, en B-port og en monitorport. For at placere en tap mellem punkt A og B, erstattes netværkskablet mellem punkt A og punkt B med et par kabler, hvor det ene går til TAP'ens A-port og det andet til TAP'ens B-port. TAP'en sender al trafik mellem de to netværkspunkter, så de stadig er forbundet med hinanden. TAP'en kopierer også trafikken til sin monitorport, hvilket gør det muligt for en analyseenhed at lytte.
Netværks-TAP'er bruges almindeligvis af overvågnings- og indsamlingsenheder såsom APS'er. TAP'er kan også bruges i sikkerhedsapplikationer, fordi de ikke er påtrængende, ikke kan detekteres på netværket, kan håndtere fuld-duplex og ikke-delte netværk og normalt vil sende trafik igennem, selvom tap'en holder op med at virke eller mister strømmen.
Da Network Taps-porte ikke modtager, men kun sender, har switchen ingen anelse om, hvem der sidder bag portene. Konsekvensen er, at den sender pakkerne til alle porte. Hvis du derfor tilslutter din overvågningsenhed til switchen, vil denne enhed modtage alle pakker. Bemærk, at denne mekanisme fungerer, hvis overvågningsenheden ikke sender nogen pakker til switchen; ellers antager switchen, at de tappede pakker ikke er til den pågældende enhed. For at opnå dette kan du enten bruge et netværkskabel, hvor du ikke har tilsluttet TX-ledningerne, eller bruge en IP-løs (og DHCP-løs) netværksgrænseflade, der slet ikke sender pakker. Bemærk endelig, at hvis du vil bruge en tappeport til ikke at miste pakker, skal du enten undlade at flette retninger eller bruge en switch, hvor tappede retninger er langsommere (f.eks. 100 Mbit) end fletteporten (f.eks. 1 Gbit).
Så, hvordan opfanger man netværkstrafik? Netværksudtag vs. switchporte spejl
1- Nem konfiguration: Netværk Tryk > Portspejling
2- Netværksydelsesindflydelse: Netværkstap < Portspejling
3- Optagelse, replikering, aggregering, videresendelsesfunktion: Netværkstryk > Portspejling
4- Latens for videresendelse af trafik: Netværkstap < Portspejl
5- Trafikforbehandlingskapacitet: Netværkstryk > Portspejl
Opslagstidspunkt: 30. marts 2022
