Şəbəkə trafikini təhlil etmək üçün şəbəkə paketini NTOP/NPROBE və ya Out-of-band Network Security and Monitoring Tools-a göndərmək lazımdır. Bu problemin iki həlli var:
Port Güzgüləmə(SPAN kimi də tanınır)
Şəbəkə Tap(həmçinin Replikasiya Kranı, Aqreqasiya Kranı, Aktiv Kran, Mis Kranı, Ethernet Kranı və s. kimi tanınır)
İki həll yolu (Port Mirror və Network Tap) arasındakı fərqləri izah etməzdən əvvəl, Ethernet-in necə işlədiyini anlamaq vacibdir. 100 Mbit və daha yüksək tezliklərdə hostlar adətən tam dupleks rejimində danışırlar, yəni bir host eyni vaxtda (Tx) göndərə və qəbul edə (Rx) bilər. Bu o deməkdir ki, bir hosta qoşulmuş 100 Mbit kabeldə bir hostin göndərə/qəbul edə biləcəyi şəbəkə trafikinin ümumi miqdarı (Tx/Rx) 2 × 100 Mbit = 200 Mbit-dir.
Port güzgüləməsi aktiv paket replikasiyasıdır, yəni şəbəkə cihazı paketi güzgüləşdirilmiş porta kopyalamaqdan fiziki olaraq məsuldur.
Bu o deməkdir ki, cihaz bu tapşırığı müəyyən bir resursdan (məsələn, CPU) istifadə edərək yerinə yetirməlidir və hər iki trafik istiqaməti eyni porta təkrarlanacaq. Daha əvvəl qeyd edildiyi kimi, Tam dupleks əlaqədə bu o deməkdir ki
A - > B və B -> A
Paket itkisi baş verməzdən əvvəl A cəmi şəbəkə sürətini keçməyəcək. Bunun səbəbi, paketləri kopyalamaq üçün fiziki olaraq yer olmamasıdır. Məlum olur ki, port güzgüləməsi əla bir texnikadır, çünki bir çox kommutator tərəfindən yerinə yetirilə bilər (amma hamısı deyil), çünki kommutatorların əksəriyyətində paket itkisi çatışmazlığı var, əgər 50%-dən çox yükü olan bir əlaqəni izləsəniz və ya portları daha sürətli bir porta güzgüləşdirsəniz (məsələn, 100 Mbit portu 1 Gbit porta güzgüləşdirsəniz). Paket güzgüləməsinin kommutator resurslarının mübadiləsini tələb edə biləcəyini və bu da cihazı yükləyə və mübadilə performansının pisləşməsinə səbəb ola biləcəyini qeyd etmək lazımdır. Qeyd edək ki, 1 portu bir porta və ya 1 VLAN-ı bir porta qoşa bilərsiniz, lakin ümumiyyətlə bir çox portu 1-ə kopyalaya bilməzsiniz. (Paket güzgüsü olduğu üçün) yoxdur.
Şəbəkə TAP (Terminal Giriş Nöqtəsi)şəbəkədəki trafiki passiv şəkildə tuta bilən tam passiv aparat cihazıdır. Şəbəkədəki iki nöqtə arasındakı trafiki izləmək üçün adətən istifadə olunur. Bu iki nöqtə arasındakı şəbəkə fiziki kabeldən ibarətdirsə, şəbəkə TAP trafiki tutmağın ən yaxşı yolu ola bilər.
Şəbəkə TAP-ın ən azı üç portu var: A portu, B portu və monitor portu. A və B nöqtələri arasında kran yerləşdirmək üçün A nöqtəsi ilə B nöqtəsi arasındakı şəbəkə kabeli bir cüt kabel ilə əvəz olunur, biri TAP-ın A portuna, digəri isə TAP-ın B portuna gedir. TAP iki şəbəkə nöqtəsi arasındakı bütün trafiki ötürür, beləliklə, onlar hələ də bir-birinə bağlıdırlar. TAP həmçinin trafiki monitor portuna kopyalayır və beləliklə, analiz cihazının dinləməsinə imkan verir.
Şəbəkə TAP-ları adətən APS kimi monitorinq və toplama cihazları tərəfindən istifadə olunur. TAP-lar təhlükəsizlik tətbiqlərində də istifadə edilə bilər, çünki onlar diqqəti yayındırmır, şəbəkədə aşkarlana bilmir, tam dupleks və paylaşılmayan şəbəkələrlə işləyə bilir və adətən kran işləməyi dayandırsa və ya enerji kəsilsə belə, trafikdən keçir.
Şəbəkə Tapları portları qəbul etmədiyindən, yalnız ötürdüyündən, kommutatorun portların arxasında kimin oturduğundan xəbəri yoxdur. Nəticədə, paketləri bütün portlara ötürür. Buna görə də, monitorinq cihazınızı kommutatora qoşsanız, belə bir cihaz bütün paketləri alacaq. Qeyd edək ki, monitorinq cihazı kommutatora heç bir paket göndərmədikdə bu mexanizm işləyir; əks halda, kommutator toxunulan paketlərin belə bir cihaz üçün olmadığını güman edəcək. Buna nail olmaq üçün ya TX naqillərini qoşmadığınız şəbəkə kabelindən istifadə edə bilərsiniz, ya da paketləri ümumiyyətlə ötürməyən IP-siz (və DHCP-siz) şəbəkə interfeysindən istifadə edə bilərsiniz. Sonda qeyd edək ki, paketləri itirməmək üçün toxunulan istifadə etmək istəyirsinizsə, ya istiqamətləri birləşdirməyin, ya da toxunulan istiqamətlərin birləşmə portundan (məsələn, 1 Gbit) daha yavaş olduğu bir kommutatordan istifadə edin.
Beləliklə, Şəbəkə Trafikini Necə Tutmaq Olar? Şəbəkə Tapları və Switch Ports Mirror
1- Asan konfiqurasiya: Şəbəkə Tap > Port Güzgü
2- Şəbəkə Performansının Təsiri: Şəbəkə Tap < Port Güzgü
3- Çəkmə, Replikasiya, Aqreqasiya, Yönləndirmə Bacarığı: Şəbəkə Tap > Port Güzgü
4- Trafik Yönləndirmə Gecikməsi: Şəbəkə Tap < Port Güzgü
5- Trafikin Əvvəlcədən İşlənməsi Tutumu: Şəbəkə Tap > Port Güzgü
Yazı vaxtı: 30 Mart 2022
